IEXPLORER.EXE病毒请审查劫持日志

nitingaur · ＃1 2008年09月21 ， 12:02

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于下午12点01分37秒，在2008年9月21日
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常
正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ csrss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\英特尔\无线\斌\ S24EvMon.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Centenn.ial \审计\ CAgent32.exe
ç ： \ Centenn.ial \审计\ xferwan.exe
ç ： \ Program Files文件\思科VPN客户端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特尔\无线\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特尔\无线\斌\ RegSrvc.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\联想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ System32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\联想\调度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\联想\系统更新\ suservice.exe
ç ： \窗口\ System32 \ alg.exe
ç ： \窗口\ system32 \计算器
ç ： \窗口\ system32 \计算器
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ tp4mon.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ NWTRAY.EXE
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \ Program Files文件\联想\热键\ TPOSDSVC.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \窗口\ system32 \欧\ tfswctrl.exe
ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
ç ： \窗口\ system32 \ TpShocks.exe
ç ： \ Program Files文件\联想\热键\ TPONSCR.exe
ç ： \ Program Files文件\共同文件\联想\调度\ scheduler_proxy.exe
ç ： \ Program Files文件\联想\变焦\ TpScrex.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\雅虎\传送\ ymsgr_tray.exe
ç ： \窗口\ system32 \ taskmgr.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \窗口\ system32 \ wbem \ wmiprvse.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe
ç ： \窗口\ system32 \ wbem \ wmiprvse.exe
F2代-注册：的System.ini ： UserInit = C的： \窗户\ system32 \ userinit.exe为C ： \ _inte梯度\斌\ shstart.exe
氧- BHO ： AcroIEHlprObj类- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： DriveLetterAccess - （ 5CA3D70E - 1895 - 11CF - 8E15 - 001234567890 ） - ç ： \窗口\ system32 \欧\ tfswshx.dll
物理学- HKLM \ .. \运行： [ TrackPointSrv ] tp4mon.exe
物理学- HKLM \ .. \运行： [ IgfxTray ] ç ： \窗口\ system32 \ igfxtray.exe
物理学- HKLM \ .. \运行： [ HotKeysCmds ] ç ： \窗口\ system32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [持久] ç ： \窗口\ system32 \ igfxpers.exe
物理学- HKLM \ .. \运行： [ NWTRAY ] NWTRAY.EXE
物理学- HKLM \ .. \运行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ”
物理学- HKLM \ .. \运行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理学- HKLM \ .. \运行： [ TPHOTKEY ] ç ： \ Program Files文件\联想\热键\ TPOSDSVC.exe
物理学- HKLM \ .. \运行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新经理\ sgtray.exe ” /住宅
物理学- HKLM \ .. \运行： [欧] ç ： \窗口\ system32 \欧\ tfswctrl.exe
物理学- HKLM \ .. \运行： [ EZEJMNAP ] ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
物理学- HKLM \ .. \运行： [ LPManager ] ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
物理学- HKLM \ .. \运行： [ TpShocks ] TpShocks.exe
物理学- HKLM \ .. \运行： [遵循调度代理] ç ： \ Program Files文件\共同文件\联想\调度\ scheduler_proxy.exe
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [雅虎！传呼机]的“ C ： \ Program Files文件\雅虎\传送\ YahooMessenger.exe ”安静
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户的默认用户' ）
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器：（ 215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A ）（趋势科技的ActiveX扫描代理6.6 ） - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \系统\ CCS的\服务\ Tcpip \ .. \ （ B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74 ）：域= keane.com
O23 -服务： Lavasoft的Ad - Aware服务（ aawservice ） - Lavasoft - ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
O23 -服务：应用管理服务（ AppMgSvc ） -未知所有者- ç ： \ Program.exe （档案遗失）
O23 -服务： BHCP服务（ BHsrv ） -未知所有者- ç ： \ Program.exe （档案遗失）
O23 -服务：赛门铁克事件管理器（ ccEvtMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
O23 -服务：赛门铁克设置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
O23 -服务： CentennialClientAgent -百年软件有限公司- ç ： \ Centenn.ial \审计\ CAgent32.exe
O23 -服务： CentennialIPTransferAgent -百年软件有限公司- ç ： \ Centenn.ial \审计\ xferwan.exe
O23 -服务：客户端更新服务为Novell （ cusrvc ） - Novell公司- ç ： \窗口\ system32 \ cusrvc.exe
O23 -服务：思科系统公司的VPN服务（ CVPND ） -思科系统公司- ç ： \ Program Files文件\思科VPN客户端\ cvpnd.exe
O23 -服务：赛门铁克防病毒定义观察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服务：英特尔（ R ） PROSet /无线事件日志（ EvtEng ） -英特尔公司- ç ： \ Program Files文件\英特尔\无线\斌\ EvtEng.exe
O23 -服务：的ThinkPad下午事务（ IBMPMSVC ） -联想- ç ： \窗口\ system32 \ ibmpmsvc.exe
O23 -服务：的LiveUpdate - Symantec公司- ç ： \ PROGRA 〜 1 \赛门铁克\ LIVEUP 〜 1 \ LUCOMS 〜 1
O23 -服务：英特尔（ R ） PROSet /无线注册表服务（ RegSrvc ） -英特尔公司- ç ： \ Program Files文件\英特尔\无线\斌\ RegSrvc.exe
O23 -服务：英特尔（ R ） PROSet /无线服务（ S24EventMonitor ） -英特尔公司- ç ： \ Program Files文件\英特尔\无线\斌\ S24EvMon.exe
O23 -服务： SAVRoam （ SavRoam ） -赛门铁克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服务：赛门铁克网络驱动器服务（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SNDSrvc.exe
O23 -服务：赛门铁克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
O23 -服务：系统更新（ SUService ） -联想集团有限公司- ç ： \ Program Files文件\联想\系统更新\ suservice.exe
O23 -服务：赛门铁克杀毒软件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
O23 -服务：的ThinkVantage注册表监控服务-联想集团有限公司- ç ： \ Program Files文件\共同文件\联想\ tvt_reg_monitor_svc.exe
O23 -服务：黄芪多糖的ThinkPad硬盘记录服务（ TPHDEXLGSVC ） -联想集团。 - ç ： \窗口\ System32 \ TPHDEXLG.exe
O23 -服务：遵循调度-联想集团有限公司- ç ： \ Program Files文件\共同文件\联想\调度\ tvtsched.exe
O23 -服务：赛门铁克LiveState代理的Windows （ WControl ） -赛门铁克公司- ç ： \ _integra \斌\ ccmagent.exe
-
文件结尾- 8621字节

**evilfantasy** · ＃2 2008年09月21 ， 15:30

下载 Malwarebytes '反恶意软件（ MBAM ）

双击 mbam -的Setup.exe 并按照提示安装程序。
结束时，请务必一对号放在旁边，如下：
- 更新Malwarebytes '反恶意软件
- 发射Malwarebytes '反恶意软件
然后单击完成。
如果更新发现，它会下载并安装最新版本。
一旦该程序已加载，请选择 执行快速扫描，然后按一下扫描。
当扫描完成后，单击行，然后 显示结果 以查看结果。
确保所有被选中，然后点击 删除所选。
当消毒完成后，日志会打开记事本，并可能会提示您重新启动。（见额外注）
该日志是自动保存的MBAM ，可以通过点击浏览日志标签MBAM 。
复制并粘贴整个报告会在下次答复。

特注： 如果MBAM遇到文件，很难去除，你会看到1 2提示，单击确定以要么让MBAM进行消毒过程中，如果要求重新启动计算机时，请立即这样做。

nitingaur · ＃3 2008年09月21 ， 18:18

没有发现恶意软件，这是报告
-------------------------------------------------- ----
2600年5月1号的Windows Service Pack 2的
2008年9月21日下午6时16分07秒
mbam日志- 2008 - 09 - 21 （ 18-16-07 ）。文本
扫描类型：快速扫描
物体扫描： 52621
间隔时间： 4分钟（ s ）款，四一秒（县）
记忆过程感染： 0
内存感染： 0
受感染的注册表项： 0
注册表值感染： 0
注册表数据项目感染： 0
文件夹感染： 0
文件感染： 0
记忆过程感染：
（没有恶意项目检测）
内存感染：
（没有恶意项目检测）
受感染的注册表项：
（没有恶意项目检测）
注册表值感染：
（没有恶意项目检测）
注册表数据项目感染：
（没有恶意项目检测）
受感染的文件夹：
（没有恶意项目检测）
文件感染：
（没有恶意项目检测）

**evilfantasy** · ＃4 2008年09月21 ， 18:40

不存在任何恶意软件显示在日志中。

到底是什么回事？

nitingaur · ＃5 2008年09月21 ， 19:23

多个IEXPLORER.EXE进程spwaning在进程列表中。他们立即弹出如果我杀死他们一个接一个。有时候，我也听到一些听起来像一个人的任何浏览器窗口中运行，但没有明显的。有肯定是错误的，他们不应该存在。

**evilfantasy** · ＃6 2008年09月21 ， 19:26

下载ComboFix由潜艇从以下链接。请务必将它保存到顶部的桌面。

链接＃ 1
链接＃ 2

**注：重要的是，它是直接保存到桌面

关闭所有打开Web浏览器。（火狐时， Internet Explorer等），开始之前ComboFix 。

暂时 丧失能力 你的 防病毒和任何 反间谍 实时保护前执行扫描。点击此链接看到一个列表的安全计划，应该被禁用，以及如何禁用。

双击combofix.exe ＆按照提示操作。
当完成时，将产生ComboFix日志您。
邮政的 ComboFix日志 和一个新的 HijackThis日志 在您下次答复。

重要提示： 不要mouseclick ComboFix的窗口同时运行。这可能会导致它摊档。

记得要重新启用您的防病毒和反间谍保护时ComboFix完成。

nitingaur · ＃7 2008年09月21 ， 19时42分

ComboFix日志
-----------------------
ComboFix 08-09-20.05 - 012466 2008年9月21日19:31:50.1 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.2.1252.1.1033.18.473 [格林尼治标准时间-7:00 ]
运行中： C ： \ Keanetools \ ComboFix.exe
*创建了一个新的还原点
警告，这台机器没有故障恢复控制台安装！！
。
(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。
ç ： \的Documents and Settings \ LocalService \曲奇\ system@ad.yieldmanag呃[ 1 ] 。文本
ç ： \窗口\ system32 \ 64位
。
(((((((((((((((((((((((((((((((((((((((司机/服务)))))))) )))))))))))))))))))))))))))))))))))))))))
。
------- \ Legacy_BHSRV
------- \ Service_BHsrv

(((((((((((((((((((((((((创建的文件从2008年8月22日至2008年9月22日))))))))))) ))))))))))))))))))))
。
2008年9月21日18时09分。 2008年9月21日18:10 <DIR> d -------- ç ： \ Program Files文件\ Malwarebytes '反恶意软件
2008年9月21日18时09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \所有用户\应用数据\ Malwarebytes
2008年9月21日18时09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \012466 \应用数据\ Malwarebytes
2008年9月21日18时09分。 2008年9月10号00:04 38528 -一个------ ç ： \窗口\ system32 \驱动程序\ mbamswissarmy.sys
2008年9月21日18时09分。 2008年9月10号00:03 17200 -一个------ ç ： \窗口\ system32 \驱动程序\ mbam.sys
2008年9月21日11点零七。 2008年9月21日十一时07 <DIR> d -------- ç ： \ Program Files文件\ Lavasoft
2008年9月21日11点零七。 2008年9月21日11:08 <DIR> d -------- ç ： \的Documents and Settings \所有用户\应用数据\ Lavasoft
2008年9月21日11点06分。 2008年9月21日11点06分<DIR> d -------- ç ： \ Program Files文件\共同文件\智者安装向导
2008年9月20号23:40 。 2008年9月20号23:40 <DIR> d -------- ç ： \ Program Files文件\趋势科技
2008年9月19号09:03 。 2008年9月19号09:08 <DIR> d -------- ç ： \窗口\ SxsCaPendDel
2008年9月19号00:49 。 2008年9月19号00:52 <DIR> d -------- ç ： \的Documents and Settings \012466 \ 。 housecall6.6
2008年9月19号00:27 。 2008年9月19号09:04 <DIR>大------ ç ： \的Documents and Settings \所有用户\应用数据的\ Temp
2008年9月18号20:25 。 2002年2月4日06:22 1230336 -一个------ ç ： \窗口\ system32 \ msxml4.dll的
2008年9月18号20:25 。 2007年9月14号05:01 922920 --------- ç ： \窗口\ system32 \ ahlprun.exe
2008年9月18号20:25 。 2002年2月4日06:13 82432 -一个------ ç ： \窗口\ system32 \ msxml4r.dll
2008年9月18号20:25 。 2002年2月4日06:13 44544 -一个------ ç ： \窗口\ system32 \ msxml4a.dll
2008年9月18号20:25 。 2002年2月7日18:43 9679 -一个------ ç ： \窗口\ system32 \ msxml4r.cat
2008年9月18号20:25 。 2002年2月7日18:43 9675 -一个------ ç ： \窗口\ system32 \ msxml4.cat
2008年9月18号20:25 。 2002年2月6日20:31 3489 -一个------ ç ： \窗口\ system32 \ msxml4.Manifest
2008年9月18号20:25 。 2002年2月6日20:31 500 - 1 ------ ç ： \窗口\ system32 \ msxml4r.Manifest
2008年9月18号20:21 。 2008年9月18号20:21 <DIR> d -------- ç ： \ Program Files文件\共同文件\联想
2008年9月18号18:27 。 2008年9月21日11:54 21272 -一个------ ç ： \窗口\ system32 \ bynpea.key
2008年9月18号18:25 。 2008年9月18号18:25 1 - 1 ------ ç ： \窗口\ system32 \004fdb9.imi
2008年9月15号14时23 。 2008年9月15号14时23 332800 ---高速---- ç ： \窗口\ system32 \ _Bhsrv.msi
2008年9月15号12:15 。 2008年9月18号15:57 69942 -一个------ ç ： \窗口\ system32 \ rrjack.key
2008年9月15号12:15 。 2008年9月15号12:15 1 - 1 ------ ç ： \窗口\ system32 \0048444.imi
2008年9月13号19:27 。 2008年9月13号19:27 24 - 1 ------ ç ： \窗口\ cdplayer.ini
2008年9月13号19:26 。 2008年9月13号19:26 <DIR> d -------- ç ： \ Program Files文件\房地产
2008年9月13号19:26 。 2008年9月13号19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\星共享
2008年9月13号19:26 。 2008年9月13号19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\房地产
。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年9月22日02:33 --------- d -----钨： \ Program Files文件\赛门铁克防病毒
2008年9月22日02:33 --------- d -----钨： \ Program Files文件\思科VPN客户端
2008年9月21日18:56 16 -上海-研究ç ： \ MSCIOTL.SYS
2008年9月21日18:55 8416 ----胡ç ： \窗口\ system32 \驱动程序\ CDProbe.SYS
2008年9月20号19:26 430816 -上海-钨： \ Program Files文件\ _MsInfo.msi
2008年9月19号03:25 ---------数d - h -钨： \ Program Files文件\ InstallShield安装信息
2008年9月19号03:25 --------- d -----钨： \ Program Files文件\的ThinkVantage
2008年9月19号03:21 --------- d -----钨： \ Program Files文件\联想
。
(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4
[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日15360 ]
“雅虎传呼机” =的“ C ： \ Program Files文件\雅虎\传送\ YahooMessenger.exe ” [ 07年8月30号4670704 ]
[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ IgfxTray ” =的“ C ： \窗口\ system32 \ igfxtray.exe ” [ 2007年8月15号141848 ]
“ HotKeysCmds ” =的“ C ： \窗口\ system32 \ hkcmd.exe ” [ 2007年8月15号162328 ]
“坚持” =的“ C ： \窗口\ system32 \ igfxpers.ex E ”类[ 2007年8月15日137752 ]
“ ccApp ” =的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ” [ 2006年3月24日53408 ]
“ vptray ” =的“ C ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe ” [ 2006年6月14日124656 ]
“ TPHOTKEY ” =的“ C ： \ Program Files文件\联想\热键\ TPOSDSVC.exe ” [ 2007年3月9日66176 ]
“ UpdateManager ” =的“ C ： \ Program Files文件\共同文件\索尼克\更新经理\ sgtray.exe ” [ 2003年8月18号110592 ]
“凝聚” =的“ C ： \窗口\ system32 \欧\ tfswctrl.exe ” [ 2005年5月19号127037 ]
“ EZEJMNAP ” =的“ C ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp的。 exe ” [ 2007年4月26日243248 ]
“ LPManager ” =的“ C ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe ” [ 2007年3月22日120368 ]
“遵循调度代理” =的“ C ： \ Program Files文件\共同文件\联想\调度\ scheduler_proxy.exe ” [ 2008年3月4日487424 ]
“ TkBellExe ” =的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” [ 2008年9月13日185896 ]
“ TrackPointSrv ” = “ tp4mon.exe ” [ 2004年8月3日ç ： \窗口\ system32 \ tp4mon.exe ]
“ NWTRAY ” = “ NWTRAY.EXE ” [ 2002年3月12号ç ： \窗口\ system32 \ nwtray.exe ]
“ TpShocks ” = “ TpShocks.exe ” [ 2007年3月29日ç ： \窗口\ system32 \ TpShocks.exe ]
[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“通讯” =的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” [ 2005年5月12号4167376 ]
[ HKEY_LOCAL_MACHINE \软件\微软\窗户\当前entversion \政策\制度]
“ CompatibleRUPSecurity ” = 1 （ 0x1 ）
[ HKEY_USERS \ 。预设\软件\微软\窗户\当前rentversion \政策\总管]
“ StartMenuLogOff ” = 1 （ 0x1 ）
[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ tpfnf2 ]
2006年9月6日13时37分34344 ç ： \ Program Files文件\联想\热键\ notifyf2.dll
[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ tphotkey ]
2006年12月14号08:06 28672 ç ： \ Program Files文件\联想\热键\ tphklock.dll
[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \控制\的LSA ]
认证套餐REG_MULTI_SZ msv1_0 nwv1_0
[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001
[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \传送\ \ YahooMessenger.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \传送\ \ YServer.exe ” =
R0 Shockprf ; Shockprf ; ç ： \窗口\ system32 \驱动程序\ Apsx 86.sys [ 2007年3月2日100656 ]
R0 TPDIGIMN ; TPDIGIMN ; ç ： \窗口\ system32 \驱动程序\ ApsH M86.sys [ 2007年3月2日19760 ]
R2的smefs ; SMEFileSystem ; ç ： \窗口\ system32 \驱动程序\动向efs.sys [ 2006年2月8日20508 ]
R3的CdProbe ; CdProbe ; ç ： \窗口\ system32 \驱动程序\ cdprob e.sys [ 2008年9月21日8416 ]
R3的smedrv ; SMEDriver ; ç ： \窗口\ system32 \驱动程序\ smedr v.sys [ 2006年2月8日9516 ]
二AppMgSvc ;应用管理服务; ç ： \ Program Files文件\共同文件\微软共享\ MSINFO \ MsInfo.msi [ 08年9月20号430816 ]
二yraebbgi ; yraebbgi ; ç ： \窗口\ system32 \驱动程序\ bynp ea.sys [ ]
二yrtxzgwh ; yrtxzgwh ; ç ： \窗口\ system32 \驱动程序\ rrja ck.sys [ ]
[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \的Svchost ]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
。
。
补充扫描------- -------
。
R0 - ： HKCU -主，初始页= hxxp ： / / www.google.com/
O8 - ：汇出至Microsoft Excel - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
。
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008年9月21日19时35分12秒的rootkit扫描
2600年5月1号的Windows Service Pack 2中的NTFS
扫描隐藏的进程...
扫描隐藏的自动启动项...
扫描隐藏的文件...
扫描顺利完成
隐藏的文件： 0
************************************************** ************************
[ HKEY_LOCAL_MACHINE \系统\ ControlSet001 \服务\阿ppMgSvc ]
“ ImagePath ” =的“ C ： \ Program Files文件\共同文件\微软共享\ MSINFO \ MsInfo.msi ”
。
---------------------的DLL加载运行的进程---------------------
过程中： C ： \窗口\ system32 \ winlogon.exe
- “ ç ： \ Program Files文件\联想\热键\ tphklock.dll
。
------------------------其他正在运行的进程----------------------- -
。
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \ Program Files文件\英特尔\无线\斌\ S24EvMon.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \ Program Files文件\联想\热键\ TPONSCR.exe
ç ： \ Program Files文件\联想\放大\ TpScrex.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DoScan.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ CENTENN.IAL \审计\ CAgent32.exe
ç ： \ CENTENN.IAL \审计\ xferwan.exe
ç ： \ Program Files文件\思科VPN客户端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特尔\无线\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特尔\无线\斌\ RegSrvc.exe
ç ： \ Program Files文件\雅虎\传送\ Ymsgr_tray.exe
ç ： \窗口\ system32 \计算器
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\联想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ system32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\联想\调度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\联想\系统更新\ SUService.exe
ç ： \窗口\ system32 \ wscntfy.exe
ç ： \ ComboFix \ pv.cfexe
。
************************************************** ************************
。
完成时间： 2008年9月21日19时36分58秒-机器重启
ComboFix -隔离- files.txt 2008年9月22日2时36分54秒
预运行： 64333811712字节免费
后运行：六百四十五万二千三百二十六点四〇万字节免费
175

HijackThis日志
-----------------------------------
日志文件的趋势科技了HijackThis v2.0.2
扫描储存于下午7时38分41秒，在2008年9月21日
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常
正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\英特尔\无线\斌\ S24EvMon.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ system32 \ tp4mon.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ NWTRAY.EXE
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \ Program Files文件\联想\热键\ TPOSDSVC.exe
ç ： \窗口\ system32 \欧\ tfswctrl.exe
ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
ç ： \ Program Files文件\联想\热键\ TPONSCR.exe
ç ： \ Program Files文件\联想\变焦\ TpScrex.exe
ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
ç ： \窗口\ system32 \ TpShocks.exe
ç ： \ Program Files文件\共同文件\联想\调度\ scheduler_proxy.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Centenn.ial \审计\ CAgent32.exe
ç ： \ Centenn.ial \审计\ xferwan.exe
ç ： \ Program Files文件\思科VPN客户端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特尔\无线\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特尔\无线\斌\ RegSrvc.exe
ç ： \ Program Files文件\雅虎\传送\ ymsgr_tray.exe
ç ： \窗口\ system32 \计算器
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\联想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ System32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\联想\调度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\联想\系统更新\ suservice.exe
ç ： \窗口\ system32 \ wscntfy.exe
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \窗口\ Explorer.exe的
ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
氧- BHO ： AcroIEHlprObj类- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： DriveLetterAccess - （ 5CA3D70E - 1895 - 11CF - 8E15 - 001234567890 ） - ç ： \窗口\ system32 \欧\ tfswshx.dll
物理学- HKLM \ .. \运行： [ TrackPointSrv ] tp4mon.exe
物理学- HKLM \ .. \运行： [ IgfxTray ] ç ： \窗口\ system32 \ igfxtray.exe
物理学- HKLM \ .. \运行： [ HotKeysCmds ] ç ： \窗口\ system32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [持久] ç ： \窗口\ system32 \ igfxpers.exe
物理学- HKLM \ .. \运行： [ NWTRAY ] NWTRAY.EXE
物理学- HKLM \ .. \运行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ”
物理学- HKLM \ .. \运行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理学- HKLM \ .. \运行： [ TPHOTKEY ] ç ： \ Program Files文件\联想\热键\ TPOSDSVC.exe
物理学- HKLM \ .. \运行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新经理\ sgtray.exe ” /住宅
物理学- HKLM \ .. \运行： [欧] ç ： \窗口\ system32 \欧\ tfswctrl.exe
物理学- HKLM \ .. \运行： [ EZEJMNAP ] ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
物理学- HKLM \ .. \运行： [ LPManager ] ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
物理学- HKLM \ .. \运行： [ TpShocks ] TpShocks.exe
物理学- HKLM \ .. \运行： [遵循调度代理] ç ： \ Program Files文件\共同文件\联想\调度\ scheduler_proxy.exe
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [雅虎！传呼机]的“ C ： \ Program Files文件\雅虎\传送\ YahooMessenger.exe ”安静
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [通讯]的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” （用户的默认用户' ）
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器：（ 215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A ）（趋势科技的ActiveX扫描代理6.6 ） - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \系统\ CCS的\服务\ Tcpip \ .. \ （ B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74 ）：域= keane.com
O17 - HKLM \系统\ CCS的\服务\ Tcpip \ .. \ （ D239A412 - 22C2 - 4683 - 95BC - 1FFAA687D0DF ）：名称服务器= 172.21.18.101,172.21.18.102
O23 -服务： Lavasoft的Ad - Aware服务（ aawservice ） - Lavasoft - ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
O23 -服务：应用管理服务（ AppMgSvc ） -未知所有者- ç ： \ Program.exe （档案遗失）
O23 -服务：赛门铁克事件管理器（ ccEvtMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
O23 -服务：赛门铁克设置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
O23 -服务： CentennialClientAgent -百年软件有限公司- ç ： \ Centenn.ial \审计\ CAgent32.exe
O23 -服务： CentennialIPTransferAgent -百年软件有限公司- ç ： \ Centenn.ial \审计\ xferwan.exe
O23 -服务：客户端更新服务为Novell （ cusrvc ） - Novell公司- ç ： \窗口\ system32 \ cusrvc.exe
O23 -服务：思科系统公司的VPN服务（ CVPND ） -思科系统公司- ç ： \ Program Files文件\思科VPN客户端\ cvpnd.exe
O23 -服务：赛门铁克防病毒定义观察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服务：英特尔（ R ） PROSet /无线事件日志（ EvtEng ） -英特尔公司- ç ： \ Program Files文件\英特尔\无线\斌\ EvtEng.exe
O23 -服务：的ThinkPad下午事务（ IBMPMSVC ） -联想- ç ： \窗口\ system32 \ ibmpmsvc.exe
O23 -服务：的LiveUpdate - Symantec公司- ç ： \ PROGRA 〜 1 \赛门铁克\ LIVEUP 〜 1 \ LUCOMS 〜 1
O23 -服务：英特尔（ R ） PROSet /无线注册表服务（ RegSrvc ） -英特尔公司- ç ： \ Program Files文件\英特尔\无线\斌\ RegSrvc.exe
O23 -服务：英特尔（ R ） PROSet /无线服务（ S24EventMonitor ） -英特尔公司- ç ： \ Program Files文件\英特尔\无线\斌\ S24EvMon.exe
O23 -服务： SAVRoam （ SavRoam ） -赛门铁克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服务：赛门铁克网络驱动器服务（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SNDSrvc.exe
O23 -服务：赛门铁克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
O23 -服务：系统更新（ SUService ） -联想集团有限公司- ç ： \ Program Files文件\联想\系统更新\ suservice.exe
O23 -服务：赛门铁克杀毒软件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
O23 -服务：的ThinkVantage注册表监控服务-联想集团有限公司- ç ： \ Program Files文件\共同文件\联想\ tvt_reg_monitor_svc.exe
O23 -服务：黄芪多糖的ThinkPad硬盘记录服务（ TPHDEXLGSVC ） -联想集团。 - ç ： \窗口\ System32 \ TPHDEXLG.exe
O23 -服务：遵循调度-联想集团有限公司- ç ： \ Program Files文件\共同文件\联想\调度\ tvtsched.exe
O23 -服务：赛门铁克LiveState代理的Windows （ WControl ） -赛门铁克公司- ç ： \ _integra \斌\ ccmagent.exe
-
文件结尾- 8581字节

**evilfantasy** · ＃8 2008年09月21 ， 21:24

注：下面的指示，成立专门为这一用户。如果您不是此用户，切忌请依照下列指示，因为它们可能会损害您的系统的运作

删除这些文件/文件夹，如下：

1 。转到开始 “ 跑 “型 记事本 并点击行打开记事本。
它必须将记事本，而不是写字板。
2 。复制文字在下面代码中强调的所有文字和紧迫 按Ctrl + C

码：

KillAll ： ：驱动器： ： BHSRV BHsrv档案：中： C ： \窗口\ system32 \ bynpea.key ç ： \窗口\ system32 \ 004fdb9.imi ç ： \窗口\ system32 \ _Bhsrv.msi ç ： \窗口\ system32 \ rrjack 。关键ç ： \窗口\ system32 \ 0048444.imi ç ： \窗口\ system32 \驱动程序\ bynpea.sys ç ： \窗口\ system32 \驱动程序\ rrjack.sys ç ： \窗口\ system32 \计算器

3 。去记事本窗口，并点击编辑 “ 粘贴
4 。然后单击文件 “ 保存
5 。将该文件命名为 CFScript.txt -将文件保存到桌面
6 。然后拖动 CFScript （按住鼠标左键的同时拖动文件）拖放（释放鼠标左键）到ComboFix.exe因为你看到在下面的截图。 重要提示： 执行此指令仔细！

ComboFix将开始执行，只要按照提示操作。
之后重新启动（如果它要求重新启动），这将会产生一个日志你。
邮报记录（ Combofix.txt ）在您下一次的答复。

注： 不要mouseclick ComboFix的窗口同时运行。可能会导致您的系统冻结

nitingaur · ＃9 2008年09月21 ， 22:20

ComboFix登录后运行CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008年9月21日22:11:45.2 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.2.1252.1.1033.18.598 [格林尼治标准时间-7:00 ]
运行中： C ： \ Keanetools \ ComboFix.exe
命令交换机使用：中： C ： \的Documents and Settings \012466 \桌面\ CFScript.txt
*创建了一个新的还原点
警告，这台机器没有故障恢复控制台安装！！
文件：：
ç ： \窗口\ system32 \ _Bhsrv.msi
ç ： \窗口\ system32 \0048444.imi
ç ： \窗口\ system32 \004fdb9.imi
ç ： \窗口\ system32 \ bynpea.key
ç ： \窗口\ system32 \计算器
ç ： \窗口\ system32 \驱动程序\ bynpea.sys
ç ： \窗口\ system32 \驱动程序\ rrjack.sys
ç ： \窗口\ system32 \ rrjack.key
。
(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。
ç ： \窗口\ system32 \ _Bhsrv.msi
ç ： \窗口\ system32 \0048444.imi
ç ： \窗口\ system32 \004fdb9.imi
ç ： \窗口\ system32 \ bynpea.key
ç ： \窗口\ system32 \计算器
ç ： \窗口\ system32 \ rrjack.key
。
(((((((((((((((((((((((((创建的文件从2008年8月22日至2008年9月22日))))))))))) ))))))))))))))))))))
。
2008年9月21日18时09分。 2008年9月21日18:10 <DIR> d -------- ç ： \ Program Files文件\ Malwarebytes '反恶意软件
2008年9月21日18时09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \所有用户\应用数据\ Malwarebytes
2008年9月21日18时09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \012466 \应用数据\ Malwarebytes
2008年9月21日18时09分。 2008年9月10号00:04 38528 -一个------ ç ： \窗口\ system32 \驱动程序\ mbamswissarmy.sys
2008年9月21日18时09分。 2008年9月10号00:03 17200 -一个------ ç ： \窗口\ system32 \驱动程序\ mbam.sys
2008年9月21日11点零七。 2008年9月21日十一时07 <DIR> d -------- ç ： \ Program Files文件\ Lavasoft
2008年9月21日11点零七。 2008年9月21日11:08 <DIR> d -------- ç ： \的Documents and Settings \所有用户\应用数据\ Lavasoft
2008年9月21日11点06分。 2008年9月21日11点06分<DIR> d -------- ç ： \ Program Files文件\共同文件\智者安装向导
2008年9月20号23:40 。 2008年9月20号23:40 <DIR> d -------- ç ： \ Program Files文件\趋势科技
2008年9月19号09:03 。 2008年9月19号09:08 <DIR> d -------- ç ： \窗口\ SxsCaPendDel
2008年9月19号00:49 。 2008年9月19号00:52 <DIR> d -------- ç ： \的Documents and Settings \012466 \ 。 housecall6.6
2008年9月19号00:27 。 2008年9月19号09:04 <DIR>大------ ç ： \的Documents and Settings \所有用户\应用数据的\ Temp
2008年9月18号20:25 。 2002年2月4日06:22 1230336 -一个------ ç ： \窗口\ system32 \ msxml4.dll的
2008年9月18号20:25 。 2007年9月14号05:01 922920 --------- ç ： \窗口\ system32 \ ahlprun.exe
2008年9月18号20:25 。 2002年2月4日06:13 82432 -一个------ ç ： \窗口\ system32 \ msxml4r.dll
2008年9月18号20:25 。 2002年2月4日06:13 44544 -一个------ ç ： \窗口\ system32 \ msxml4a.dll
2008年9月18号20:25 。 2002年2月7日18:43 9679 -一个------ ç ： \窗口\ system32 \ msxml4r.cat
2008年9月18号20:25 。 2002年2月7日18:43 9675 -一个------ ç ： \窗口\ system32 \ msxml4.cat
2008年9月18号20:25 。 2002年2月6日20:31 3489 -一个------ ç ： \窗口\ system32 \ msxml4.Manifest
2008年9月18号20:25 。 2002年2月6日20:31 500 - 1 ------ ç ： \窗口\ system32 \ msxml4r.Manifest
2008年9月18号20:21 。 2008年9月18号20:21 <DIR> d -------- ç ： \ Program Files文件\共同文件\联想
2008年9月13号19:27 。 2008年9月13号19:27 24 - 1 ------ ç ： \窗口\ cdplayer.ini
2008年9月13号19:26 。 2008年9月13号19:26 <DIR> d -------- ç ： \ Program Files文件\房地产
2008年9月13号19:26 。 2008年9月13号19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\星共享
2008年9月13号19:26 。 2008年9月13号19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\房地产
。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年9月22日05:14 8416 ----胡ç ： \窗口\ system32 \驱动程序\ CDProbe.SYS
2008年9月22日05:14 16 -上海-研究ç ： \ MSCIOTL.SYS
2008年9月22日05:14 --------- d -----钨： \ Program Files文件\赛门铁克防病毒
2008年9月22日03:07 --------- d -----钨： \ Program Files文件\思科VPN客户端
2008年9月20号19:26 430816 -上海-钨： \ Program Files文件\ _MsInfo.msi
2008年9月19号03:25 ---------数d - h -钨： \ Program Files文件\ InstallShield安装信息
2008年9月19号03:25 --------- d -----钨： \ Program Files文件\的ThinkVantage
2008年9月19号03:21 --------- d -----钨： \ Program Files文件\联想
。
((((((((((((((((((((((((((((( snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
。
- 2008年9月21日18时59分45秒71370 ----胡ç ： \窗口\ system32 \ perfc009.dat
+ 2008年9月22日2时39分43秒71370 ----胡ç ： \窗口\ system32 \ perfc009.dat
- 2008年9月21日18时59分45秒439832 ----胡ç ： \窗口\ system32 \ perfh009.dat
+ 2008年9月22日2时39分43秒439832 ----胡ç ： \窗口\ system32 \ perfh009.dat
。
(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4
[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日15360 ]
“雅虎传呼机” =的“ C ： \ Program Files文件\雅虎\传送\ YahooMessenger.exe ” [ 07年8月30号4670704 ]
[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ IgfxTray ” =的“ C ： \窗口\ system32 \ igfxtray.exe ” [ 2007年8月15号141848 ]
“ HotKeysCmds ” =的“ C ： \窗口\ system32 \ hkcmd.exe ” [ 2007年8月15号162328 ]
“坚持” =的“ C ： \窗口\ system32 \ igfxpers.ex E ”类[ 2007年8月15日137752 ]
“ ccApp ” =的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ” [ 2006年3月24日53408 ]
“ vptray ” =的“ C ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe ” [ 2006年6月14日124656 ]
“ TPHOTKEY ” =的“ C ： \ Program Files文件\联想\热键\ TPOSDSVC.exe ” [ 2007年3月9日66176 ]
“ UpdateManager ” =的“ C ： \ Program Files文件\共同文件\索尼克\更新经理\ sgtray.exe ” [ 2003年8月18号110592 ]
“凝聚” =的“ C ： \窗口\ system32 \欧\ tfswctrl.exe ” [ 2005年5月19号127037 ]
“ EZEJMNAP ” =的“ C ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp的。 exe ” [ 2007年4月26日243248 ]
“ LPManager ” =的“ C ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe ” [ 2007年3月22日120368 ]
“遵循调度代理” =的“ C ： \ Program Files文件\共同文件\联想\调度\ scheduler_proxy.exe ” [ 2008年3月4日487424 ]
“ TkBellExe ” =的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” [ 2008年9月13日185896 ]
“ TrackPointSrv ” = “ tp4mon.exe ” [ 2004年8月3日ç ： \窗口\ system32 \ tp4mon.exe ]
“ NWTRAY ” = “ NWTRAY.EXE ” [ 2002年3月12号ç ： \窗口\ system32 \ nwtray.exe ]
“ TpShocks ” = “ TpShocks.exe ” [ 2007年3月29日ç ： \窗口\ system32 \ TpShocks.exe ]
[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“通讯” =的“ C ： \ Program Files文件\微软Office Communicator \ Communicator.exe ” [ 2005年5月12号4167376 ]
[ HKEY_LOCAL_MACHINE \软件\微软\窗户\当前entversion \政策\制度]
“ CompatibleRUPSecurity ” = 1 （ 0x1 ）
[ HKEY_USERS \ 。预设\软件\微软\窗户\当前rentversion \政策\总管]
“ StartMenuLogOff ” = 1 （ 0x1 ）
[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ tpfnf2 ]
2006年9月6日13时37分34344 ç ： \ Program Files文件\联想\热键\ notifyf2.dll
[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ tphotkey ]
2006年12月14号08:06 28672 ç ： \ Program Files文件\联想\热键\ tphklock.dll
[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \控制\的LSA ]
认证套餐REG_MULTI_SZ msv1_0 nwv1_0
[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001
[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \传送\ \ YahooMessenger.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \传送\ \ YServer.exe ” =
R0 Shockprf ; Shockprf ; ç ： \窗口\ system32 \驱动程序\ Apsx 86.sys [ 2007年3月2日100656 ]
R0 TPDIGIMN ; TPDIGIMN ; ç ： \窗口\ system32 \驱动程序\ ApsH M86.sys [ 2007年3月2日19760 ]
R2的smefs ; SMEFileSystem ; ç ： \窗口\ system32 \驱动程序\动向efs.sys [ 2006年2月8日20508 ]
R3的CdProbe ; CdProbe ; ç ： \窗口\ system32 \驱动程序\ cdprob e.sys [ 2008年9月21日8416 ]
R3的smedrv ; SMEDriver ; ç ： \窗口\ system32 \驱动程序\ smedr v.sys [ 2006年2月8日9516 ]
二AppMgSvc ;应用管理服务; ç ： \ Program Files文件\共同文件\微软共享\ MSINFO \ MsInfo.msi [ 08年9月20号430816 ]
二yraebbgi ; yraebbgi ; ç ： \窗口\ system32 \驱动程序\ bynp ea.sys [ ]
二yrtxzgwh ; yrtxzgwh ; ç ： \窗口\ system32 \驱动程序\ rrja ck.sys [ ]
[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \的Svchost ]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
。
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008年9月21日22点16分04秒的rootkit扫描
2600年5月1号的Windows Service Pack 2中的NTFS
扫描隐藏的进程...
扫描隐藏的自动启动项...
扫描隐藏的文件...

ç ： \窗口\ system32 \计算器
扫描顺利完成
隐藏的文件： 1
************************************************** ************************
[ HKEY_LOCAL_MACHINE \系统\ ControlSet001 \服务\阿ppMgSvc ]
“ ImagePath ” =的“ C ： \ Program Files文件\共同文件\微软共享\ MSINFO \ MsInfo.msi ”
。
---------------------的DLL加载运行的进程---------------------
过程中： C ： \窗口\ system32 \ winlogon.exe
- “ ç ： \ Program Files文件\联想\热键\ tphklock.dll
。
------------------------其他正在运行的进程----------------------- -
。
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \ Program Files文件\英特尔\无线\斌\ S24EvMon.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ CENTENN.IAL \审计\ CAgent32.exe
ç ： \ CENTENN.IAL \审计\ xferwan.exe
ç ： \ Program Files文件\思科VPN客户端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特尔\无线\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特尔\无线\斌\ RegSrvc.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\联想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ system32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\联想\调度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\联想\系统更新\ SUService.exe
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \ Program Files文件\联想\热键\ TPONSCR.exe
ç ： \ Program Files文件\联想\放大\ TpScrex.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DoScan.exe
ç ： \ Program Files文件\雅虎\传送\ Ymsgr_tray.exe
ç ： \ ComboFix \ pv.cfexe
。
************************************************** ************************
。
完成时间： 2008年9月21日22时十七分28秒-机器重启
ComboFix -隔离- files.txt 2008年9月22日5点17分23秒
ComboFix2.txt 2008年9月22日2时36分59秒
预运行： 64509464576字节免费
后运行： 64505421824字节免费
181

**evilfantasy** · ＃10 2008年09月21 ， 22:26

下载 OTMoveIt2的OldTimer并储存到您的桌面。

注：如果您正在运行在Vista上，右键单击并选择OTMoveIt2.exe 以管理员身份运行。

1 。 双击 OTMoveIt2.exe 运行它。
2 。 复制线codebox如下。

码：

[杀死总管] ç ： \窗口\ system32 \计算器HKEY_LOCAL_MACHINE \系统\ ControlSet001 \服务\ AppMgSvc EmptyTemp [启动资源管理器]

3 。 返回OTMoveIt2 ，右击在 粘贴列表文件/文件夹移动 窗口（下黄色栏中），并选择粘贴
4 。 单击红色 Moveit ！ 按钮。
5 。复制的结果窗口（根据绿色栏中），并贴在您下次答复。
6 。 关闭 OTMoveIt2

注意：：如果一个文件或文件夹无法移动立即可能会要求您重新启动计算机，以便完成搬迁过程。如果要求重新启动，选择是。如果没有，重新启动反正。