IEXPLORER.EXE病毒請審查劫持日誌

nitingaur · ＃1 2008年09月21 ， 12:02

日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於下午12點01分37秒，在2008年9月21日
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
啟動模式：正常
正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ csrss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\英特爾\無線\斌\ S24EvMon.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Centenn.ial \審計\ CAgent32.exe
ç ： \ Centenn.ial \審計\ xferwan.exe
ç ： \ Program Files文件\思科VPN客戶端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特爾\無線\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特爾\無線\斌\ RegSrvc.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\聯想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ System32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\聯想\調度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\聯想\系統更新\ suservice.exe
ç ： \窗口\ System32 \ alg.exe
ç ： \窗口\ system32 \計算器
ç ： \窗口\ system32 \計算器
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ tp4mon.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ NWTRAY.EXE
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \ Program Files文件\聯想\熱鍵\ TPOSDSVC.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \窗口\ system32 \歐\ tfswctrl.exe
ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
ç ： \窗口\ system32 \ TpShocks.exe
ç ： \ Program Files文件\聯想\熱鍵\ TPONSCR.exe
ç ： \ Program Files文件\共同文件\聯想\調度\ scheduler_proxy.exe
ç ： \ Program Files文件\聯想\變焦\ TpScrex.exe
ç ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\雅虎\傳送\ ymsgr_tray.exe
ç ： \窗口\ system32 \ taskmgr.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \窗口\ system32 \ wbem \ wmiprvse.exe
ç ： \ Program Files文件\趨勢科技\了HijackThis \ HijackThis.exe
ç ： \窗口\ system32 \ wbem \ wmiprvse.exe
F2代-註冊：的System.ini ： UserInit = C的： \窗戶\ system32 \ userinit.exe為C ： \ _inte梯度\斌\ shstart.exe
氧- BHO ： AcroIEHlprObj類- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： DriveLetterAccess - （ 5CA3D70E - 1895 - 11CF - 8E15 - 001234567890 ） - ç ： \窗口\ system32 \歐\ tfswshx.dll
物理學- HKLM \ .. \運行： [ TrackPointSrv ] tp4mon.exe
物理學- HKLM \ .. \運行： [ IgfxTray ] ç ： \窗口\ system32 \ igfxtray.exe
物理學- HKLM \ .. \運行： [ HotKeysCmds ] ç ： \窗口\ system32 \ hkcmd.exe
物理學- HKLM \ .. \運行： [持久] ç ： \窗口\ system32 \ igfxpers.exe
物理學- HKLM \ .. \運行： [ NWTRAY ] NWTRAY.EXE
物理學- HKLM \ .. \運行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe ”
物理學- HKLM \ .. \運行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理學- HKLM \ .. \運行： [ TPHOTKEY ] ç ： \ Program Files文件\聯想\熱鍵\ TPOSDSVC.exe
物理學- HKLM \ .. \運行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新經理\ sgtray.exe ” /住宅
物理學- HKLM \ .. \運行： [歐] ç ： \窗口\ system32 \歐\ tfswctrl.exe
物理學- HKLM \ .. \運行： [ EZEJMNAP ] ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
物理學- HKLM \ .. \運行： [ LPManager ] ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
物理學- HKLM \ .. \運行： [ TpShocks ] TpShocks.exe
物理學- HKLM \ .. \運行： [遵循調度代理] ç ： \ Program Files文件\共同文件\聯想\調度\ scheduler_proxy.exe
物理學- HKLM \ .. \運行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” - osboot
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [雅虎！傳呼機]的“ C ： \ Program Files文件\雅虎\傳送\ YahooMessenger.exe ”安靜
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 20 \ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶的網絡服務' ）
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶的默認用戶' ）
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -額外的按鈕： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器：（ 215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A ）（趨勢科技的ActiveX掃描代理6.6 ） - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \系統\ CCS的\服務\ Tcpip \ .. \ （ B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74 ）：域= keane.com
O23 -服務： Lavasoft的Ad - Aware服務（ aawservice ） - Lavasoft - ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
O23 -服務：應用管理服務（ AppMgSvc ） -未知所有者- ç ： \ Program.exe （檔案遺失）
O23 -服務： BHCP服務（ BHsrv ） -未知所有者- ç ： \ Program.exe （檔案遺失）
O23 -服務：賽門鐵克事件管理器（ ccEvtMgr ） - Symantec Corporation的- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
O23 -服務：賽門鐵克設置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
O23 -服務： CentennialClientAgent -百年軟件有限公司- ç ： \ Centenn.ial \審計\ CAgent32.exe
O23 -服務： CentennialIPTransferAgent -百年軟件有限公司- ç ： \ Centenn.ial \審計\ xferwan.exe
O23 -服務：客戶端更新服務為Novell （ cusrvc ） - Novell公司- ç ： \窗口\ system32 \ cusrvc.exe
O23 -服務：思科系統公司的VPN服務（ CVPND ） -思科系統公司- ç ： \ Program Files文件\思科VPN客戶端\ cvpnd.exe
O23 -服務：賽門鐵克防病毒定義觀察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服務：英特爾（ R ） PROSet /無線事件日誌（ EvtEng ） -英特爾公司- ç ： \ Program Files文件\英特爾\無線\斌\ EvtEng.exe
O23 -服務：的ThinkPad下午事務（ IBMPMSVC ） -聯想- ç ： \窗口\ system32 \ ibmpmsvc.exe
O23 -服務：的LiveUpdate - Symantec公司- ç ： \ PROGRA 〜 1 \賽門鐵克\ LIVEUP 〜 1 \ LUCOMS 〜 1
O23 -服務：英特爾（ R ） PROSet /無線註冊表服務（ RegSrvc ） -英特爾公司- ç ： \ Program Files文件\英特爾\無線\斌\ RegSrvc.exe
O23 -服務：英特爾（ R ） PROSet /無線服務（ S24EventMonitor ） -英特爾公司- ç ： \ Program Files文件\英特爾\無線\斌\ S24EvMon.exe
O23 -服務： SAVRoam （ SavRoam ） -賽門鐵克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服務：賽門鐵克網絡驅動器服務（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SNDSrvc.exe
O23 -服務：賽門鐵克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
O23 -服務：系統更新（ SUService ） -聯想集團有限公司- ç ： \ Program Files文件\聯想\系統更新\ suservice.exe
O23 -服務：賽門鐵克殺毒軟件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
O23 -服務：的ThinkVantage註冊表監控服務-聯想集團有限公司- ç ： \ Program Files文件\共同文件\聯想\ tvt_reg_monitor_svc.exe
O23 -服務：黃芪多醣的ThinkPad硬盤記錄服務（ TPHDEXLGSVC ） -聯想集團。 - ç ： \窗口\ System32 \ TPHDEXLG.exe
O23 -服務：遵循調度-聯想集團有限公司- ç ： \ Program Files文件\共同文件\聯想\調度\ tvtsched.exe
O23 -服務：賽門鐵克LiveState代理的Windows （ WControl ） -賽門鐵克公司- ç ： \ _integra \斌\ ccmagent.exe
-
文件結尾- 8621字節

**evilfantasy** · ＃2 2008年09月21 ， 15:30

下載 Malwarebytes '反惡意軟件（ MBAM ）

雙擊 mbam -的Setup.exe 並按照提示安裝程序。
結束時，請務必一對號放在旁邊，如下：
- 更新Malwarebytes '反惡意軟件
- 發射Malwarebytes '反惡意軟件
然後單擊完成。
如果更新發現，它會下載並安裝最新版本。
一旦該程序已加載，請選擇 執行快速掃描，然後按一下掃描。
當掃描完成後，單擊行，然後 顯示結果 以查看結果。
確保所有被選中，然後點擊 刪除所選。
當消毒完成後，日誌會打開記事本，並可能會提示您重新啟動。（見額外注）
該日誌是自動保存的MBAM ，可以通過點擊瀏覽日誌標籤MBAM 。
複製並粘貼整個報告會在下次答复。

特注： 如果MBAM遇到文件，很難去除，你會看到1 2提示，單擊確定以要么讓MBAM進行消毒過程中，如果要求重新啟動計算機時，請立即這樣做。

nitingaur · ＃3 2008年09月21 ， 18:18

沒有發現惡意軟件，這是報告
-------------------------------------------------- ----
2600年5月1號的Windows Service Pack 2的
2008年9月21日下午6時16分07秒
mbam日誌- 2008 - 09 - 21 （ 18-16-07 ）。文本
掃描類型：快速掃描
物體掃描： 52621
間隔時間： 4分鐘（ s ）款， 41秒（縣）
記憶過程感染： 0
內存感染： 0
受感染的註冊表項： 0
註冊表值感染： 0
註冊表數據項目感染： 0
文件夾感染： 0
文件感染： 0
記憶過程感染：
（沒有惡意項目檢測）
內存感染：
（沒有惡意項目檢測）
受感染的註冊表項：
（沒有惡意項目檢測）
註冊表值感染：
（沒有惡意項目檢測）
註冊表數據項目感染：
（沒有惡意項目檢測）
受感染的文件夾：
（沒有惡意項目檢測）
文件感染：
（沒有惡意項目檢測）

**evilfantasy** · ＃4 2008年09月21 ， 18:40

不存在任何惡意軟件顯示在日誌中。

到底是什麼回事？

nitingaur · ＃5 2008年09月21 ， 19:23

多個IEXPLORER.EXE進程spwaning在進程列表中。他們立即彈出如果我殺死他們一個接一個。有時候，我也聽到一些聽起來像一個人的任何瀏覽器窗口中運行，但沒有明顯的。有肯定是錯誤的，他們不應該存在。

**evilfantasy** · ＃6 2008年09月21 ， 19:26

下載ComboFix由潛艇從以下鏈接。請務必將它保存到頂部的桌面。

鏈接＃ 1
鏈接＃ 2

**注：重要的是，它是直接保存到桌面

關閉所有打開Web瀏覽器。（火狐時， Internet Explorer等），開始之前ComboFix 。

暫時 喪失能力 你的 防病毒和任何 反間諜 實時保護前執行掃描。點擊此鏈接看到一個列表的安全計劃，應該被禁用，以及如何禁用。

雙擊combofix.exe ＆按照提示操作。
當完成時，將產生ComboFix日誌您。
郵政的 ComboFix日誌 和一個新的 HijackThis日誌 在您下次答复。

重要提示： 不要mouseclick ComboFix的窗口同時運行。這可能會導致它攤檔。

記得要重新啟用您的防病毒和反間諜保護時ComboFix完成。

nitingaur · ＃7 2008年09月21 ， 19時42分

ComboFix日誌
-----------------------
ComboFix 08-09-20.05 - 012466 2008年9月21日19:31:50.1 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.2.1252.1.1033.18.473 [格林尼治標準時間-7:00 ]
運行中： C ： \ Keanetools \ ComboFix.exe
*創建了一個新的還原點
警告，這台機器沒有故障恢復控制台安裝！！
。
(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。
ç ： \的Documents and Settings \ LocalService \曲奇\ system@ad.yieldmanag呃[ 1 ] 。文本
ç ： \窗口\ system32 \ 64位
。
(((((((((((((((((((((((((((((((((((((((司機/服務)))))))) )))))))))))))))))))))))))))))))))))))))))
。
------- \ Legacy_BHSRV
------- \ Service_BHsrv

(((((((((((((((((((((((((創建的文件從2008年8月22日至2008年9月22日))))))))))) ))))))))))))))))))))
。
2008年9月21日18時09分。 2008年9月21日18:10 <DIR> d -------- ç ： \ Program Files文件\ Malwarebytes '反惡意軟件
2008年9月21日18時09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \所有用戶\應用數據\ Malwarebytes
2008年9月21日18時09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \012466 \應用數據\ Malwarebytes
2008年9月21日18時09分。 2008年9月10號00:04 38528 -一個------ ç ： \窗口\ system32 \驅動程序\ mbamswissarmy.sys
2008年9月21日18時09分。 2008年9月10號00:03 17200 -一個------ ç ： \窗口\ system32 \驅動程序\ mbam.sys
2008年9月21日11點零七。 2008年9月21日十一時07 <DIR> d -------- ç ： \ Program Files文件\ Lavasoft
2008年9月21日11點零七。 2008年9月21日11:08 <DIR> d -------- ç ： \的Documents and Settings \所有用戶\應用數據\ Lavasoft
2008年9月21日11點06分。 2008年9月21日11點06分<DIR> d -------- ç ： \ Program Files文件\共同文件\智者安裝嚮導
2008年9月20號23:40 。 2008年9月20號23:40 <DIR> d -------- ç ： \ Program Files文件\趨勢科技
2008年9月19號09:03 。 2008年9月19號09:08 <DIR> d -------- ç ： \窗口\ SxsCaPendDel
2008年9月19號00:49 。 2008年9月19號00:52 <DIR> d -------- ç ： \的Documents and Settings \012466 \ 。 housecall6.6
2008年9月19號00:27 。 2008年9月19號09:04 <DIR>大------ ç ： \的Documents and Settings \所有用戶\應用數據的\ Temp
2008年9月18號20:25 。 2002年2月4日06:22 1230336 -一個------ ç ： \窗口\ system32 \ msxml4.dll的
2008年9月18號20:25 。 2007年9月14號05:01 922920 --------- ç ： \窗口\ system32 \ ahlprun.exe
2008年9月18號20:25 。 2002年2月4日06:13 82432 -一個------ ç ： \窗口\ system32 \ msxml4r.dll
2008年9月18號20:25 。 2002年2月4日06:13 44544 -一個------ ç ： \窗口\ system32 \ msxml4a.dll
2008年9月18號20:25 。 2002年2月7日18:43 9679 -一個------ ç ： \窗口\ system32 \ msxml4r.cat
2008年9月18號20:25 。 2002年2月7日18:43 9675 -一個------ ç ： \窗口\ system32 \ msxml4.cat
2008年9月18號20:25 。 2002年2月6日20:31 3489 -一個------ ç ： \窗口\ system32 \ msxml4.Manifest
2008年9月18號20:25 。 2002年2月6日20:31 500 - 1 ------ ç ： \窗口\ system32 \ msxml4r.Manifest
2008年9月18號20:21 。 2008年9月18號20:21 <DIR> d -------- ç ： \ Program Files文件\共同文件\聯想
2008年9月18號18:27 。 2008年9月21日11:54 21272 -一個------ ç ： \窗口\ system32 \ bynpea.key
2008年9月18號18:25 。 2008年9月18號18:25 1 - 1 ------ ç ： \窗口\ system32 \004fdb9.imi
2008年9月15號14時23 。 2008年9月15號14時23 332800 ---高速---- ç ： \窗口\ system32 \ _Bhsrv.msi
2008年9月15號12:15 。 2008年9月18號15:57 69942 -一個------ ç ： \窗口\ system32 \ rrjack.key
2008年9月15號12:15 。 2008年9月15號12:15 1 - 1 ------ ç ： \窗口\ system32 \0048444.imi
2008年9月13號19:27 。 2008年9月13號19:27 24 - 1 ------ ç ： \窗口\ cdplayer.ini
2008年9月13號19:26 。 2008年9月13號19:26 <DIR> d -------- ç ： \ Program Files文件\房地產
2008年9月13號19:26 。 2008年9月13號19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\星共享
2008年9月13號19:26 。 2008年9月13號19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\房地產
。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年9月22日02:33 --------- d -----鎢： \ Program Files文件\賽門鐵克防病毒
2008年9月22日02:33 --------- d -----鎢： \ Program Files文件\思科VPN客戶端
2008年9月21日18:56 16 -上海-研究ç ： \ MSCIOTL.SYS
2008年9月21日18:55 8416 ----胡ç ： \窗口\ system32 \驅動程序\ CDProbe.SYS
2008年9月20號19:26 430816 -上海-鎢： \ Program Files文件\ _MsInfo.msi
2008年9月19號03:25 ---------數d - h -鎢： \ Program Files文件\ InstallShield安裝信息
2008年9月19號03:25 --------- d -----鎢： \ Program Files文件\的ThinkVantage
2008年9月19號03:21 --------- d -----鎢： \ Program Files文件\聯想
。
(((((((((((((((((((((((((((((((((((((註冊裝載點)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白條目與合法默認項不會顯示
REGEDIT4
[ HKEY_CURRENT_USER \軟件\微軟\的Windows \曲線ntVersion \運行]
“ Ctfmon.exe會” =的“ C ： \窗口\ system32 \ Ctfmon.exe會” [ 2004年8月4日15360 ]
“雅虎傳呼機” =的“ C ： \ Program Files文件\雅虎\傳送\ YahooMessenger.exe ” [ 07年8月30號4670704 ]
[ HKEY_LOCAL_MACHINE \軟件\微軟\的Windows \當前entVersion \運行]
“ IgfxTray ” =的“ C ： \窗口\ system32 \ igfxtray.exe ” [ 2007年8月15號141848 ]
“ HotKeysCmds ” =的“ C ： \窗口\ system32 \ hkcmd.exe ” [ 2007年8月15號162328 ]
“堅持” =的“ C ： \窗口\ system32 \ igfxpers.ex E ”類[ 2007年8月15日137752 ]
“ ccApp ” =的“ C ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe ” [ 2006年3月24日53408 ]
“ vptray ” =的“ C ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe ” [ 2006年6月14日124656 ]
“ TPHOTKEY ” =的“ C ： \ Program Files文件\聯想\熱鍵\ TPOSDSVC.exe ” [ 2007年3月9日66176 ]
“ UpdateManager ” =的“ C ： \ Program Files文件\共同文件\索尼克\更新經理\ sgtray.exe ” [ 2003年8月18號110592 ]
“凝聚” =的“ C ： \窗口\ system32 \歐\ tfswctrl.exe ” [ 2005年5月19號127037 ]
“ EZEJMNAP ” =的“ C ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp的。 exe ” [ 2007年4月26日243248 ]
“ LPManager ” =的“ C ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe ” [ 2007年3月22日120368 ]
“遵循調度代理” =的“ C ： \ Program Files文件\共同文件\聯想\調度\ scheduler_proxy.exe ” [ 2008年3月4日487424 ]
“ TkBellExe ” =的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” [ 2008年9月13日185896 ]
“ TrackPointSrv ” = “ tp4mon.exe ” [ 2004年8月3日ç ： \窗口\ system32 \ tp4mon.exe ]
“ NWTRAY ” = “ NWTRAY.EXE ” [ 2002年3月12號ç ： \窗口\ system32 \ nwtray.exe ]
“ TpShocks ” = “ TpShocks.exe ” [ 2007年3月29日ç ： \窗口\ system32 \ TpShocks.exe ]
[ HKEY_USERS \ 。缺省\軟件\微軟\的Windows \薑黃素rentVersion \運行]
“通訊” =的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” [ 2005年5月12號4167376 ]
[ HKEY_LOCAL_MACHINE \軟件\微軟\窗戶\當前entversion \政策\制度]
“ CompatibleRUPSecurity ” = 1 （ 0x1 ）
[ HKEY_USERS \ 。預設\軟件\微軟\窗戶\當前rentversion \政策\總管]
“ StartMenuLogOff ” = 1 （ 0x1 ）
[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \ winlogon \通知\ tpfnf2 ]
2006年9月6日13時37分34344 ç ： \ Program Files文件\聯想\熱鍵\ notifyf2.dll
[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \ winlogon \通知\ tphotkey ]
2006年12月14號08:06 28672 ç ： \ Program Files文件\聯想\熱鍵\ tphklock.dll
[ HKEY_LOCAL_MACHINE \系統\ currentcontrolset \控制\的LSA ]
認證套餐REG_MULTI_SZ msv1_0 nwv1_0
[ HKEY_LOCAL_MACHINE \軟件\微軟\安全中心\監測\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001
[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ AuthorizedApplications \名單]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \傳送\ \ YahooMessenger.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \傳送\ \ YServer.exe ” =
R0 Shockprf ; Shockprf ; ç ： \窗口\ system32 \驅動程序\ Apsx 86.sys [ 2007年3月2日100656 ]
R0 TPDIGIMN ; TPDIGIMN ; ç ： \窗口\ system32 \驅動程序\ ApsH M86.sys [ 2007年3月2日19760 ]
R2的smefs ; SMEFileSystem ; ç ： \窗口\ system32 \驅動程序\動向efs.sys [ 2006年2月8日20508 ]
R3的CdProbe ; CdProbe ; ç ： \窗口\ system32 \驅動程序\ cdprob e.sys [ 2008年9月21日8416 ]
R3的smedrv ; SMEDriver ; ç ： \窗口\ system32 \驅動程序\ smedr v.sys [ 2006年2月8日9516 ]
二AppMgSvc ;應用管理服務; ç ： \ Program Files文件\共同文件\微軟共享\ MSINFO \ MsInfo.msi [ 08年9月20號430816 ]
二yraebbgi ; yraebbgi ; ç ： \窗口\ system32 \驅動程序\ bynp ea.sys [ ]
二yrtxzgwh ; yrtxzgwh ; ç ： \窗口\ system32 \驅動程序\ rrja ck.sys [ ]
[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \的Svchost ]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
。
。
補充掃描------- -------
。
R0 - ： HKCU -主，初始頁= hxxp ： / / www.google.com/
O8 - ：匯出至Microsoft Excel - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
。
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
2008年9月21日19時35分12秒的rootkit掃描
2600年5月1號的Windows Service Pack 2中的NTFS
掃描隱藏的進程...
掃描隱藏的自動啟動項...
掃描隱藏的文件...
掃描順利完成
隱藏的文件： 0
************************************************** ************************
[ HKEY_LOCAL_MACHINE \系統\ ControlSet001 \服務\阿ppMgSvc ]
“ ImagePath ” =的“ C ： \ Program Files文件\共同文件\微軟共享\ MSINFO \ MsInfo.msi ”
。
---------------------的DLL加載運行的進程---------------------
過程中： C ： \窗口\ system32 \ winlogon.exe
- “ ç ： \ Program Files文件\聯想\熱鍵\ tphklock.dll
。
------------------------其他正在運行的進程----------------------- -
。
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \ Program Files文件\英特爾\無線\斌\ S24EvMon.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \ Program Files文件\聯想\熱鍵\ TPONSCR.exe
ç ： \ Program Files文件\聯想\放大\ TpScrex.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DoScan.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ CENTENN.IAL \審計\ CAgent32.exe
ç ： \ CENTENN.IAL \審計\ xferwan.exe
ç ： \ Program Files文件\思科VPN客戶端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特爾\無線\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特爾\無線\斌\ RegSrvc.exe
ç ： \ Program Files文件\雅虎\傳送\ Ymsgr_tray.exe
ç ： \窗口\ system32 \計算器
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\聯想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ system32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\聯想\調度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\聯想\系統更新\ SUService.exe
ç ： \窗口\ system32 \ wscntfy.exe
ç ： \ ComboFix \ pv.cfexe
。
************************************************** ************************
。
完成時間： 2008年9月21日19時36分58秒-機器重啟
ComboFix -隔離- files.txt 2008年9月22日2時36分54秒
預運行： 64333811712字節免費
後運行：六百四十五萬二千三百二十六點四零萬字節免費
175

HijackThis日誌
-----------------------------------
日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於下午7時38分41秒，在2008年9月21日
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
啟動模式：正常
正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\英特爾\無線\斌\ S24EvMon.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ system32 \ tp4mon.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ NWTRAY.EXE
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \ Program Files文件\聯想\熱鍵\ TPOSDSVC.exe
ç ： \窗口\ system32 \歐\ tfswctrl.exe
ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
ç ： \ Program Files文件\聯想\熱鍵\ TPONSCR.exe
ç ： \ Program Files文件\聯想\變焦\ TpScrex.exe
ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
ç ： \窗口\ system32 \ TpShocks.exe
ç ： \ Program Files文件\共同文件\聯想\調度\ scheduler_proxy.exe
ç ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Centenn.ial \審計\ CAgent32.exe
ç ： \ Centenn.ial \審計\ xferwan.exe
ç ： \ Program Files文件\思科VPN客戶端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特爾\無線\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特爾\無線\斌\ RegSrvc.exe
ç ： \ Program Files文件\雅虎\傳送\ ymsgr_tray.exe
ç ： \窗口\ system32 \計算器
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\聯想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ System32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\聯想\調度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\聯想\系統更新\ suservice.exe
ç ： \窗口\ system32 \ wscntfy.exe
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \窗口\ Explorer.exe的
ç ： \ Program Files文件\趨勢科技\了HijackThis \ HijackThis.exe
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受體1 - HKLM \軟件\微軟\的Internet Explorer \主，搜索頁面= http://go.microsoft.com/fwlink/?LinkId=54896
氧- BHO ： AcroIEHlprObj類- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： DriveLetterAccess - （ 5CA3D70E - 1895 - 11CF - 8E15 - 001234567890 ） - ç ： \窗口\ system32 \歐\ tfswshx.dll
物理學- HKLM \ .. \運行： [ TrackPointSrv ] tp4mon.exe
物理學- HKLM \ .. \運行： [ IgfxTray ] ç ： \窗口\ system32 \ igfxtray.exe
物理學- HKLM \ .. \運行： [ HotKeysCmds ] ç ： \窗口\ system32 \ hkcmd.exe
物理學- HKLM \ .. \運行： [持久] ç ： \窗口\ system32 \ igfxpers.exe
物理學- HKLM \ .. \運行： [ NWTRAY ] NWTRAY.EXE
物理學- HKLM \ .. \運行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe ”
物理學- HKLM \ .. \運行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理學- HKLM \ .. \運行： [ TPHOTKEY ] ç ： \ Program Files文件\聯想\熱鍵\ TPOSDSVC.exe
物理學- HKLM \ .. \運行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新經理\ sgtray.exe ” /住宅
物理學- HKLM \ .. \運行： [歐] ç ： \窗口\ system32 \歐\ tfswctrl.exe
物理學- HKLM \ .. \運行： [ EZEJMNAP ] ç ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp.Exe
物理學- HKLM \ .. \運行： [ LPManager ] ç ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
物理學- HKLM \ .. \運行： [ TpShocks ] TpShocks.exe
物理學- HKLM \ .. \運行： [遵循調度代理] ç ： \ Program Files文件\共同文件\聯想\調度\ scheduler_proxy.exe
物理學- HKLM \ .. \運行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” - osboot
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [雅虎！傳呼機]的“ C ： \ Program Files文件\雅虎\傳送\ YahooMessenger.exe ”安靜
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 20 \ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶的網絡服務' ）
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [通訊]的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” （用戶的默認用戶' ）
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -額外的按鈕： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器：（ 215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A ）（趨勢科技的ActiveX掃描代理6.6 ） - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \系統\ CCS的\服務\ Tcpip \ .. \ （ B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74 ）：域= keane.com
O17 - HKLM \系統\ CCS的\服務\ Tcpip \ .. \ （ D239A412 - 22C2 - 4683 - 95BC - 1FFAA687D0DF ）：名稱服務器= 172.21.18.101,172.21.18.102
O23 -服務： Lavasoft的Ad - Aware服務（ aawservice ） - Lavasoft - ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
O23 -服務：應用管理服務（ AppMgSvc ） -未知所有者- ç ： \ Program.exe （檔案遺失）
O23 -服務：賽門鐵克事件管理器（ ccEvtMgr ） - Symantec Corporation的- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
O23 -服務：賽門鐵克設置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
O23 -服務： CentennialClientAgent -百年軟件有限公司- ç ： \ Centenn.ial \審計\ CAgent32.exe
O23 -服務： CentennialIPTransferAgent -百年軟件有限公司- ç ： \ Centenn.ial \審計\ xferwan.exe
O23 -服務：客戶端更新服務為Novell （ cusrvc ） - Novell公司- ç ： \窗口\ system32 \ cusrvc.exe
O23 -服務：思科系統公司的VPN服務（ CVPND ） -思科系統公司- ç ： \ Program Files文件\思科VPN客戶端\ cvpnd.exe
O23 -服務：賽門鐵克防病毒定義觀察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服務：英特爾（ R ） PROSet /無線事件日誌（ EvtEng ） -英特爾公司- ç ： \ Program Files文件\英特爾\無線\斌\ EvtEng.exe
O23 -服務：的ThinkPad下午事務（ IBMPMSVC ） -聯想- ç ： \窗口\ system32 \ ibmpmsvc.exe
O23 -服務：的LiveUpdate - Symantec公司- ç ： \ PROGRA 〜 1 \賽門鐵克\ LIVEUP 〜 1 \ LUCOMS 〜 1
O23 -服務：英特爾（ R ） PROSet /無線註冊表服務（ RegSrvc ） -英特爾公司- ç ： \ Program Files文件\英特爾\無線\斌\ RegSrvc.exe
O23 -服務：英特爾（ R ） PROSet /無線服務（ S24EventMonitor ） -英特爾公司- ç ： \ Program Files文件\英特爾\無線\斌\ S24EvMon.exe
O23 -服務： SAVRoam （ SavRoam ） -賽門鐵克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服務：賽門鐵克網絡驅動器服務（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SNDSrvc.exe
O23 -服務：賽門鐵克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
O23 -服務：系統更新（ SUService ） -聯想集團有限公司- ç ： \ Program Files文件\聯想\系統更新\ suservice.exe
O23 -服務：賽門鐵克殺毒軟件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
O23 -服務：的ThinkVantage註冊表監控服務-聯想集團有限公司- ç ： \ Program Files文件\共同文件\聯想\ tvt_reg_monitor_svc.exe
O23 -服務：黃芪多醣的ThinkPad硬盤記錄服務（ TPHDEXLGSVC ） -聯想集團。 - ç ： \窗口\ System32 \ TPHDEXLG.exe
O23 -服務：遵循調度-聯想集團有限公司- ç ： \ Program Files文件\共同文件\聯想\調度\ tvtsched.exe
O23 -服務：賽門鐵克LiveState代理的Windows （ WControl ） -賽門鐵克公司- ç ： \ _integra \斌\ ccmagent.exe
-
文件結尾- 8581字節

**evilfantasy** · ＃8 2008年09月21 ， 21:24

注：下面的指示，成立專門為這一用戶。如果您不是此用戶，切忌請依照下列指示，因為它們可能會損害您的系統的運作

刪除這些文件/文件夾，如下：

1 。轉到開始 “ 跑 “型 記事本 並點擊行打開記事本。
它必須將記事本，而不是寫字板。
2 。複製文字在下面代碼中強調的所有文字和緊迫 按Ctrl + C

碼：

KillAll ： ：驅動器： ： BHSRV BHsrv檔案：中： C ： \窗口\ system32 \ bynpea.key ç ： \窗口\ system32 \ 004fdb9.imi ç ： \窗口\ system32 \ _Bhsrv.msi ç ： \窗口\ system32 \ rrjack 。關鍵ç ： \窗口\ system32 \ 0048444.imi ç ： \窗口\ system32 \驅動程序\ bynpea.sys ç ： \窗口\ system32 \驅動程序\ rrjack.sys ç ： \窗口\ system32 \計算器

3 。去記事本窗口，並點擊編輯 “ 粘貼
4 。然後單擊文件 “ 保存
5 。將該文件命名為 CFScript.txt -將文件保存到桌面
6 。然後拖動 CFScript （按住鼠標左鍵的同時拖動文件）拖放（釋放鼠標左鍵）到ComboFix.exe因為你看到在下面的截圖。 重要提示： 執行此指令仔細！

ComboFix將開始執行，只要按照提示操作。
之後重新啟動（如果它要求重新啟動），這將會產生一個日誌你。
郵報記錄（ Combofix.txt ）在您下一次的答复。

注： 不要mouseclick ComboFix的窗口同時運行。可能會導致您的系統凍結

nitingaur · ＃9 2008年09月21 ， 22:20

ComboFix登錄後運行CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008年9月21日22:11:45.2 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.2.1252.1.1033.18.598 [格林尼治標準時間-7:00 ]
運行中： C ： \ Keanetools \ ComboFix.exe
命令交換機使用：中： C ： \的Documents and Settings \012466 \桌面\ CFScript.txt
*創建了一個新的還原點
警告，這台機器沒有故障恢復控制台安裝！！
文件：：
ç ： \窗口\ system32 \ _Bhsrv.msi
ç ： \窗口\ system32 \0048444.imi
ç ： \窗口\ system32 \004fdb9.imi
ç ： \窗口\ system32 \ bynpea.key
ç ： \窗口\ system32 \計算器
ç ： \窗口\ system32 \驅動程序\ bynpea.sys
ç ： \窗口\ system32 \驅動程序\ rrjack.sys
ç ： \窗口\ system32 \ rrjack.key
。
(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。
ç ： \窗口\ system32 \ _Bhsrv.msi
ç ： \窗口\ system32 \0048444.imi
ç ： \窗口\ system32 \004fdb9.imi
ç ： \窗口\ system32 \ bynpea.key
ç ： \窗口\ system32 \計算器
ç ： \窗口\ system32 \ rrjack.key
。
(((((((((((((((((((((((((創建的文件從2008年8月22日至2008年9月22日))))))))))) ))))))))))))))))))))
。
2008年9月21日18時09分。 2008年9月21日18:10 <DIR> d -------- ç ： \ Program Files文件\ Malwarebytes '反惡意軟件
2008年9月21日18時09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \所有用戶\應用數據\ Malwarebytes
2008年9月21日18時09分。 2008年9月21日18:09 <DIR> d -------- ç ： \的Documents and Settings \012466 \應用數據\ Malwarebytes
2008年9月21日18時09分。 2008年9月10號00:04 38528 -一個------ ç ： \窗口\ system32 \驅動程序\ mbamswissarmy.sys
2008年9月21日18時09分。 2008年9月10號00:03 17200 -一個------ ç ： \窗口\ system32 \驅動程序\ mbam.sys
2008年9月21日11點零七。 2008年9月21日十一時07 <DIR> d -------- ç ： \ Program Files文件\ Lavasoft
2008年9月21日11點零七。 2008年9月21日11:08 <DIR> d -------- ç ： \的Documents and Settings \所有用戶\應用數據\ Lavasoft
2008年9月21日11點06分。 2008年9月21日11點06分<DIR> d -------- ç ： \ Program Files文件\共同文件\智者安裝嚮導
2008年9月20號23:40 。 2008年9月20號23:40 <DIR> d -------- ç ： \ Program Files文件\趨勢科技
2008年9月19號09:03 。 2008年9月19號09:08 <DIR> d -------- ç ： \窗口\ SxsCaPendDel
2008年9月19號00:49 。 2008年9月19號00:52 <DIR> d -------- ç ： \的Documents and Settings \012466 \ 。 housecall6.6
2008年9月19號00:27 。 2008年9月19號09:04 <DIR>大------ ç ： \的Documents and Settings \所有用戶\應用數據的\ Temp
2008年9月18號20:25 。 2002年2月4日06:22 1230336 -一個------ ç ： \窗口\ system32 \ msxml4.dll的
2008年9月18號20:25 。 2007年9月14號05:01 922920 --------- ç ： \窗口\ system32 \ ahlprun.exe
2008年9月18號20:25 。 2002年2月4日06:13 82432 -一個------ ç ： \窗口\ system32 \ msxml4r.dll
2008年9月18號20:25 。 2002年2月4日06:13 44544 -一個------ ç ： \窗口\ system32 \ msxml4a.dll
2008年9月18號20:25 。 2002年2月7日18:43 9679 -一個------ ç ： \窗口\ system32 \ msxml4r.cat
2008年9月18號20:25 。 2002年2月7日18:43 9675 -一個------ ç ： \窗口\ system32 \ msxml4.cat
2008年9月18號20:25 。 2002年2月6日20:31 3489 -一個------ ç ： \窗口\ system32 \ msxml4.Manifest
2008年9月18號20:25 。 2002年2月6日20:31 500 - 1 ------ ç ： \窗口\ system32 \ msxml4r.Manifest
2008年9月18號20:21 。 2008年9月18號20:21 <DIR> d -------- ç ： \ Program Files文件\共同文件\聯想
2008年9月13號19:27 。 2008年9月13號19:27 24 - 1 ------ ç ： \窗口\ cdplayer.ini
2008年9月13號19:26 。 2008年9月13號19:26 <DIR> d -------- ç ： \ Program Files文件\房地產
2008年9月13號19:26 。 2008年9月13號19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\星共享
2008年9月13號19:26 。 2008年9月13號19:26 <DIR> d -------- ç ： \ Program Files文件\共同文件\房地產
。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年9月22日05:14 8416 ----胡ç ： \窗口\ system32 \驅動程序\ CDProbe.SYS
2008年9月22日05:14 16 -上海-研究ç ： \ MSCIOTL.SYS
2008年9月22日05:14 --------- d -----鎢： \ Program Files文件\賽門鐵克防病毒
2008年9月22日03:07 --------- d -----鎢： \ Program Files文件\思科VPN客戶端
2008年9月20號19:26 430816 -上海-鎢： \ Program Files文件\ _MsInfo.msi
2008年9月19號03:25 ---------數d - h -鎢： \ Program Files文件\ InstallShield安裝信息
2008年9月19號03:25 --------- d -----鎢： \ Program Files文件\的ThinkVantage
2008年9月19號03:21 --------- d -----鎢： \ Program Files文件\聯想
。
((((((((((((((((((((((((((((( snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
。
- 2008年9月21日18時59分45秒71370 ----胡ç ： \窗口\ system32 \ perfc009.dat
+ 2008年9月22日2時39分43秒71370 ----胡ç ： \窗口\ system32 \ perfc009.dat
- 2008年9月21日18時59分45秒439832 ----胡ç ： \窗口\ system32 \ perfh009.dat
+ 2008年9月22日2時39分43秒439832 ----胡ç ： \窗口\ system32 \ perfh009.dat
。
(((((((((((((((((((((((((((((((((((((註冊裝載點)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白條目與合法默認項不會顯示
REGEDIT4
[ HKEY_CURRENT_USER \軟件\微軟\的Windows \曲線ntVersion \運行]
“ Ctfmon.exe會” =的“ C ： \窗口\ system32 \ Ctfmon.exe會” [ 2004年8月4日15360 ]
“雅虎傳呼機” =的“ C ： \ Program Files文件\雅虎\傳送\ YahooMessenger.exe ” [ 07年8月30號4670704 ]
[ HKEY_LOCAL_MACHINE \軟件\微軟\的Windows \當前entVersion \運行]
“ IgfxTray ” =的“ C ： \窗口\ system32 \ igfxtray.exe ” [ 2007年8月15號141848 ]
“ HotKeysCmds ” =的“ C ： \窗口\ system32 \ hkcmd.exe ” [ 2007年8月15號162328 ]
“堅持” =的“ C ： \窗口\ system32 \ igfxpers.ex E ”類[ 2007年8月15日137752 ]
“ ccApp ” =的“ C ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe ” [ 2006年3月24日53408 ]
“ vptray ” =的“ C ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe ” [ 2006年6月14日124656 ]
“ TPHOTKEY ” =的“ C ： \ Program Files文件\聯想\熱鍵\ TPOSDSVC.exe ” [ 2007年3月9日66176 ]
“ UpdateManager ” =的“ C ： \ Program Files文件\共同文件\索尼克\更新經理\ sgtray.exe ” [ 2003年8月18號110592 ]
“凝聚” =的“ C ： \窗口\ system32 \歐\ tfswctrl.exe ” [ 2005年5月19號127037 ]
“ EZEJMNAP ” =的“ C ： \ PROGRA 〜 1 \的ThinkPad \ UTILIT 〜 1 \ EzEjMnAp的。 exe ” [ 2007年4月26日243248 ]
“ LPManager ” =的“ C ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe ” [ 2007年3月22日120368 ]
“遵循調度代理” =的“ C ： \ Program Files文件\共同文件\聯想\調度\ scheduler_proxy.exe ” [ 2008年3月4日487424 ]
“ TkBellExe ” =的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” [ 2008年9月13日185896 ]
“ TrackPointSrv ” = “ tp4mon.exe ” [ 2004年8月3日ç ： \窗口\ system32 \ tp4mon.exe ]
“ NWTRAY ” = “ NWTRAY.EXE ” [ 2002年3月12號ç ： \窗口\ system32 \ nwtray.exe ]
“ TpShocks ” = “ TpShocks.exe ” [ 2007年3月29日ç ： \窗口\ system32 \ TpShocks.exe ]
[ HKEY_USERS \ 。缺省\軟件\微軟\的Windows \薑黃素rentVersion \運行]
“通訊” =的“ C ： \ Program Files文件\微軟Office Communicator \ Communicator.exe ” [ 2005年5月12號4167376 ]
[ HKEY_LOCAL_MACHINE \軟件\微軟\窗戶\當前entversion \政策\制度]
“ CompatibleRUPSecurity ” = 1 （ 0x1 ）
[ HKEY_USERS \ 。預設\軟件\微軟\窗戶\當前rentversion \政策\總管]
“ StartMenuLogOff ” = 1 （ 0x1 ）
[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \ winlogon \通知\ tpfnf2 ]
2006年9月6日13時37分34344 ç ： \ Program Files文件\聯想\熱鍵\ notifyf2.dll
[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \ winlogon \通知\ tphotkey ]
2006年12月14號08:06 28672 ç ： \ Program Files文件\聯想\熱鍵\ tphklock.dll
[ HKEY_LOCAL_MACHINE \系統\ currentcontrolset \控制\的LSA ]
認證套餐REG_MULTI_SZ msv1_0 nwv1_0
[ HKEY_LOCAL_MACHINE \軟件\微軟\安全中心\監測\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001
[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ AuthorizedApplications \名單]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \傳送\ \ YahooMessenger.exe ” =
的“ C ： \ \ Program Files文件\ \雅虎\ \傳送\ \ YServer.exe ” =
R0 Shockprf ; Shockprf ; ç ： \窗口\ system32 \驅動程序\ Apsx 86.sys [ 2007年3月2日100656 ]
R0 TPDIGIMN ; TPDIGIMN ; ç ： \窗口\ system32 \驅動程序\ ApsH M86.sys [ 2007年3月2日19760 ]
R2的smefs ; SMEFileSystem ; ç ： \窗口\ system32 \驅動程序\動向efs.sys [ 2006年2月8日20508 ]
R3的CdProbe ; CdProbe ; ç ： \窗口\ system32 \驅動程序\ cdprob e.sys [ 2008年9月21日8416 ]
R3的smedrv ; SMEDriver ; ç ： \窗口\ system32 \驅動程序\ smedr v.sys [ 2006年2月8日9516 ]
二AppMgSvc ;應用管理服務; ç ： \ Program Files文件\共同文件\微軟共享\ MSINFO \ MsInfo.msi [ 08年9月20號430816 ]
二yraebbgi ; yraebbgi ; ç ： \窗口\ system32 \驅動程序\ bynp ea.sys [ ]
二yrtxzgwh ; yrtxzgwh ; ç ： \窗口\ system32 \驅動程序\ rrja ck.sys [ ]
[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \的Svchost ]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
。
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
2008年9月21日22點16分04秒的rootkit掃描
2600年5月1號的Windows Service Pack 2中的NTFS
掃描隱藏的進程...
掃描隱藏的自動啟動項...
掃描隱藏的文件...

ç ： \窗口\ system32 \計算器
掃描順利完成
隱藏的文件： 1
************************************************** ************************
[ HKEY_LOCAL_MACHINE \系統\ ControlSet001 \服務\阿ppMgSvc ]
“ ImagePath ” =的“ C ： \ Program Files文件\共同文件\微軟共享\ MSINFO \ MsInfo.msi ”
。
---------------------的DLL加載運行的進程---------------------
過程中： C ： \窗口\ system32 \ winlogon.exe
- “ ç ： \ Program Files文件\聯想\熱鍵\ tphklock.dll
。
------------------------其他正在運行的進程----------------------- -
。
ç ： \窗口\ system32 \ ibmpmsvc.exe
ç ： \ Program Files文件\英特爾\無線\斌\ S24EvMon.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ CENTENN.IAL \審計\ CAgent32.exe
ç ： \ CENTENN.IAL \審計\ xferwan.exe
ç ： \ Program Files文件\思科VPN客戶端\ cvpnd.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\英特爾\無線\斌\ EvtEng.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\英特爾\無線\斌\ RegSrvc.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\聯想\ tvt_reg_monitor_svc.exe
ç ： \窗口\ system32 \ TPHDEXLG.exe
ç ： \ Program Files文件\共同文件\聯想\調度\ tvtsched.exe
ç ： \ _integra \斌\ ccmagent.exe
ç ： \ Program Files文件\聯想\系統更新\ SUService.exe
ç ： \ _integra \斌\ shstart.exe
ç ： \窗口\ system32 \ igfxsrvc.exe
ç ： \ Program Files文件\聯想\熱鍵\ TPONSCR.exe
ç ： \ Program Files文件\聯想\放大\ TpScrex.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DoScan.exe
ç ： \ Program Files文件\雅虎\傳送\ Ymsgr_tray.exe
ç ： \ ComboFix \ pv.cfexe
。
************************************************** ************************
。
完成時間： 2008年9月21日22時十七分28秒-機器重啟
ComboFix -隔離- files.txt 2008年9月22日5點17分23秒
ComboFix2.txt 2008年9月22日2時36分59秒
預運行： 64509464576字節免費
後運行： 64505421824字節免費
181

**evilfantasy** · ＃10 2008年09月21 ， 22:26

下載 OTMoveIt2的OldTimer並儲存到您的桌面。

注：如果您正在運行在Vista上，右鍵單擊並選擇OTMoveIt2.exe 以管理員身份運行。

1 。 雙擊 OTMoveIt2.exe 運行它。
2 。 複製線codebox如下。

碼：

[殺死總管] ç ： \窗口\ system32 \計算器HKEY_LOCAL_MACHINE \系統\ ControlSet001 \服務\ AppMgSvc EmptyTemp [啟動資源管理器]

3 。 返回OTMoveIt2 ，右擊在 粘貼列表文件/文件夾移動 窗口（下黃色欄中），並選擇粘貼
4 。 單擊紅色 Moveit ！ 按鈕。
5 。複製的結果窗口（根據綠色欄中），並貼在您下次答复。
6 。 關閉 OTMoveIt2

注意：：如果一個文件或文件夾無法移動立即可能會要求您重新啟動計算機，以便完成搬遷過程。如果要求重新啟動，選擇是。如果沒有，重新啟動反正。