|
|
#1
2009年6月23日, 10:38
| |||
| |||
 感染MultiPacked.Multi.Generic恶意软件! 我最近下载了一个主题应用。安装时,卡巴斯基提示警告说,电脑感染MultiPacked.Multi.Generic恶意软件。我的卡巴斯基停止工作和我的Windows主题是去,我坚持使用Windows经典。帮助请! |
|
#2
2009年6月23日, 11:25
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! 尝试让我有任何的记录,您可以从这里。 http://www.computer-juice.com/forums...-posting-7476/
__________________  |
|
#3
2009年6月24日, 11:44
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! 好像论坛有故障。请发布这些DDS的记录。 下载频率从 |位置| 或 |位置| 或 |位置| 并储存到您的桌面。 Vista用户 右击 直接数字频率合成器 并选择 以管理员身份运行 (您将收到的UAC提示,请允许它) * XP用户 双击 直接数字频率合成器 运行它。 *如果您的防病毒或防火墙阻止DDS的,那么请允许它运行。 *当完成频率将开放两个( 2 )日志。 1 ) DDS.txt 2 ) Attach.txt *节省记录到您的桌面。 *请复制并粘贴的全部内容都记录在您下次答复。 注: 直接数字频率合成器将指示您张贴的Attach.txt日志作为附件。 请刚刚发布你是否有任何其他日志复制并粘贴到的答复。
__________________ |
|
#4
2009年6月24日, 13时55分
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! 直接数字频率合成器( Ver_09 - 05 - 1月14日) - NTFSx86 由鼠标16:53:23.36在周三2009年6月24日 是Internet Explorer : 6.0.2900.5512 BrowserJavaVersion : 1.6.0_13 Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.2046.1294 [格林尼治标准时间-4:00 ] 影音:卡巴斯基互联网安全*在访问扫描禁用* (更新) ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 防火墙:卡巴斯基互联网安全*使* ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 正在运行的进程=============== ============== ç : \窗口\ system32 \的Svchost钾DcomLaunch svchost.exe ç : \窗口\ System32 \ svchost.exe - K报表netsvcs ç : \窗口\ system32 \ svchost.exe - K报表WudfServiceGroup svchost.exe ç : \窗口\ system32 \ spoolsv.exe ç : \ Program Files文件\创新\共享文件\ CTAudSvc.exe ç : \窗口\ Explorer.exe的 ç : \窗口\ system32 \ CTHELPER.EXE ç : \窗口\ system32 \ CTXFIHLP.EXE ç : \ Program Files文件\创新\声霸卡X - Fi \ DVDAudio \ CTDVDDET.EXE ç : \ Program Files文件\创新\共享文件\模块装载机\ DLLML.exe ç : \ Program Files文件\创新\声霸卡X - Fi \卷小组\ VolPanlu.exe ç : \窗口\ system32 \ RUNDLL32.EXE ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ avp.exe ç : \ Program Files文件\的iTunes \ iTunesHelper.exe ç : \窗口\ SYSTEM32 \ CTXFISPI.EXE ç : \窗口\ system32 \ Ctfmon.exe会 ç : \ Program Files文件\微软ActiveSync \ wcescomm.exe ç : \ PROGRA 〜 1 \微〜 4 \ rapimgr.exe svchost.exe ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ avp.exe ç : \ Program Files文件\卓悦\ mDNSResponder.exe ç : \窗口\ system32 \ nvsvc32.exe ç : \窗口\ system32 \ PnkBstrA.exe ç : \窗口\ System32 \ svchost.exe - K报表imgsvc ç : \ Program Files文件\创新\声霸卡X - Fi \娱乐中心\ EAXLoadr.exe ç : \ Program Files文件\观\共同\ ViewpointService.exe ç : \ Program Files文件\苹果\斌\ iPodService.exe ç : \窗口\ System32 \ svchost.exe - K报表HTTPFilter ç : \ Program Files文件\是Mozilla Firefox \ firefox.exe ç : \ Program Files文件\ LimeWire \ LimeWire.exe ç : \的Documents and Settings \鼠标\桌面\ dds.com ==============伪HJT报告=============== uStart页= hxxp : / / google.com / uInternet设置, ProxyOverride = *.地方 BHO :的Adobe PDF Reader链接帮手: ( 06849e9f - c8d7 - 4d59 - b87d - 784b7d6be0b3 ) - ç : \ Program Files文件\共同文件\ Adobe公司\杂技\的ActiveX \ AcroIEHelper.dll BHO : Skype的插件(策划) : ( 22bf413b - c6d2 - 4d91 - 82a9 - a0f997ba588c ) - ç : \ Program Files文件\ Skype软件\工具\ Internet Explorer的\ SkypeIEPlugin.dll BHO : IEVkbdBHO类: ( 59273ab4 - e7d3 - 40f9 - a1a8 - 6fa9cca1862c ) - ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ ievkbd.dll BHO : Java (商标)插件2 SSV助手: ( dbc80044 - a445 - 435b - bc74 - 9c25c1c588a9 ) - ç : \ Program Files文件\爪哇\ jre6 \斌\ jp2ssv.dll BHO : JQSIEStartDetectorImpl类: ( e7e6f031 - 17ce - 4c07 - bc86 - eabfe594f69c ) - ç : \ Program Files文件\爪哇\ jre6 \库\部署\实验台\即\ jqs_plugin.dll 结核病: Veoh浏览器插件: ( d0943516 - 5076 - 4020 - a3b5 - aefaf26ab263 ) - ç : \ Program Files文件\ veoh网络\ veoh \插件\第\ VeohToolbar.dll 电子束: ( 32683183 - 48a0 - 441b - a342 - 7c2a440a9478 ) -没有档案 uRun : [ Ctfmon.exe会] ç : \窗户\ system32 \ Ctfmon.exe会 uRun : [的H / PC连接代理]的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” mRun : [ NvCplDaemon ] RUNDLL32.EXE ç : \窗户\ system32 \ NvCpl.dll , NvStartup mRun : [ CTHelper ] CTHELPER.EXE mRun : [ CTxfiHlp ] CTXFIHLP.EXE mRun : [ CTDVDDET ]的“ C : \ Program Files文件\创意\声霸卡X - Fi \ dvdaudio \ CTDVDDET.EXE ” mRun : [ RCSystem ]的“ C : \ Program Files文件\创意\共享文件\模块装载机\ DLLML.exe ” RCSystem *启动 mRun : [ AudioDrvEmulator ]的“ C : \ Program Files文件\创意\共享文件\模块装载机\ dllml.exe ” -1 audiodrvemulator的“ C : \ Program Files文件\创意\共享文件\模块装载机\音频模拟器\ AudDrvEm.dll ” mRun : [ VolPanel ]的“ C : \ Program Files文件\创意\声霸卡X - Fi \体积小组\ VolPanlu.exe ”商业/住宅 mRun : [ NvMediaCenter ] RUNDLL32.EXE ç : \窗户\ system32 \ NvMcTray.dll , NvTaskbarInit mRun : [素]的“ C : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ avp.exe ” mRun : [ QuickTime的工作]的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime mRun : [ AppleSyncNotifier ] ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleSyncNotifier.exe mRun : [ iTunesHelper ]的“ C : \ Program Files文件\的iTunes \ iTunesHelper.exe ” 即:添加到横幅广告拦截器- ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ ie_banner_deny.htm 即:汇出至Microsoft Excel - ç : \ progra 〜 1 \百万分之一〜 2 \ office10 \ EXCEL.EXE/3000 即: ( e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ) - % windir % \网络诊断\ xpnetdiag.exe 即: ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\信使\ msmsgs.exe 即: ( 1F460357 - 8A94 - 4D71 - 9CA3 - AA4ACF32ED8E ) - ( 85E0B171 - 04FA - 11D1 - B7DA - 00A0C90348D6 ) - ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ SCIEPlgn.dll 即: ( 2EAF5BB1 - 070F - 11D3 - 9307 - 00C04FAE2D4F ) - ( 2EAF5BB0 - 070F - 11D3 - 9307 - 00C04FAE2D4F ) - ç : \ progra 〜 1 \百万分之一〜 4 \ INetRepl.dll 即: ( 2EAF5BB2 - 070F - 11D3 - 9307 - 00C04FAE2D4F ) - ( 2EAF5BB0 - 070F - 11D3 - 9307 - 00C04FAE2D4F ) - ç : \ progra 〜 1 \百万分之一〜 4 \ INetRepl.dll 即: ( 77BF5300 - 1474 - 4EC7 - 9980 - D32B190E9B07 ) - ( 77BF5300 - 1474 - 4EC7 - 9980 - D32B190E9B07 ) - ç : \ Program Files文件\ Skype软件\工具\ Internet Explorer的\ SkypeIEPlugin.dll 柴油机微粒过滤器: Microsoft XML分析器的Java -文件: / /炭: \窗户\爪哇\班\ xmldso.cab 柴油机微粒过滤器: ( 17492023 - C23A - 453E - A040 - C7C580BBF700 ) - hxxp : / / go.microsoft.com / fwlink / ? linkid = 39204 柴油机微粒过滤器: ( 45B69029 - F3AB - 4204 - 92DE - D5140C3E8E74 ) - hxxps : / / portal.apogentech.com / vdesk /终端/ InstallerControl.cab 柴油机微粒过滤器: ( 463ED66E - 431B - 11D2 - ADB0 - 0080C83DA4EB ) - hxxps : / / w3s.webmoney.ru/WMAcceptor.dll 柴油机微粒过滤器: ( 57C76689 - F052 - 487B - A19F - 855AFDDF28EE ) - hxxps : / / portal.apogentech.com/vdesk/terminal/f5InspectionHost.cab #版= 6030,2008,0904,1939 柴油机微粒过滤器: ( 8AD9C840 - 044E - 11D1 - B3E9 - 00805F499D93 ) - hxxp : / / java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab 柴油机微粒过滤器: ( CAFEEFAC - 0016 - 0000 - 0004 - ABCDEFFEDCBA ) - hxxp : / / java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab 柴油机微粒过滤器: ( CAFEEFAC - 0016 - 0000 - 0005 - ABCDEFFEDCBA ) - hxxp : / / java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab 柴油机微粒过滤器: ( CAFEEFAC - 0016 - 0000 - 0007 - ABCDEFFEDCBA ) - hxxp : / / java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab 柴油机微粒过滤器: ( CAFEEFAC - 0016 - 0000 - 0013 - ABCDEFFEDCBA ) - hxxp : / / java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab 柴油机微粒过滤器: ( CAFEEFAC - FFFF - FFFF - FFFF - ABCDEFFEDCBA ) - hxxp : / / java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab 柴油机微粒过滤器: ( E615C9EA - AD69 - 4AE9 - 83C9 - 9D906A0ACA6D ) - hxxps : / / portal.apogentech.com/policy/download_binary.php/win32/f5syschk.cab #版本= 6030,2008,0904,1947 处理程序: CDO程式- ( CD00020A - 8B95 - 11D1 - 82DB - 00C04FB1625D ) - ç : \ Program Files文件\共同文件\微软共享\ Web文件夹\ PKMCDO.DLL 处理程序: skype4com - ( FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ) - ç : \ progra 〜 1 \共同〜 1 \ Skype的\ SKYPE4 〜 1.DLL 通知: ! SASWinLogon - ç : \ Program Files文件\ superantispyware \ SASWINLO.DLL 通知: klogon - ç : \窗户\ system32 \ klogon.dll AppInit_DLLs目标: c : \ progra 〜 1 \卡斯帕〜 1 \卡斯帕〜 1 \ mzvkbd.dll为C : \ progra 〜 1 \卡斯帕〜 1 \卡斯帕〜 1 \ adialhk.dll为C : \ progra 〜 1 \ kaspe r 〜 1 \卡斯帕〜 1 \ kloehk.dll SSODL : WPDShServiceObj - ( AAA288BA - 9A4C - 45B0 - 95D7 - 94D524869DB5 ) - ç : \窗户\ system32 \ WPDShServiceObj.dll 脑室: SABShellExecuteHook类: ( 5ae067d3 - 9afb - 48e0 - 853a - ebb7f4a000da ) - ç : \ Program Files文件\ superantispyware \ SASSEH.DLL =================火狐=================== 法国法郎- ProfilePath - =============服务/司机=============== R0 kl1 ; Kl1 ; ç : \窗户\ system32 \驱动程序\ kl1.sys [ 2007年10月31号112144 ] R0 klbg ;卡巴斯基实验室启动卫队司机; ç : \窗户\ system32 \驱动程序\ klbg.sys [ 2008年1月29日33808 ] 受体1 klif ;卡巴斯基实验室司机; ç : \窗户\ system32 \驱动程序\ klif.sys [ 2008年4月18号213520 ] 受体1 SASKUTIL ; SASKUTIL ; ç : \ Program Files文件\ superantispyware \ SASKUTIL.SYS [ 2008年2月29日55024 ] 受体1 UGURU ; UGURU ; ç : \窗户\ system32 \驱动程序\ uGuru.sys [ 2008年5月12日14592 ] R2的加压素; Kaspersky网络安全产品; ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ avp.exe - R的- “ ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ avp.exe - R的[ ? ] R2的观点管理服务;观管理服务; ç : \ Program Files文件\观点\共同\ ViewpointService.exe [ 2008年12月7号24652 ] R3的KLFLTDEV ;卡巴斯基实验室KLFltDev ; ç : \窗户\ system32 \驱动程序\ klfltdev.sys [ 2008年3月13日26640 ] R3的klim5 ;卡巴斯基反病毒的NDIS过滤器; ç : \窗户\ system32 \驱动程序\ klim5.sys [ 2007年12月13号24592 ] R3的SASENUM ; SASENUM ; ç : \ Program Files文件\ superantispyware \ SASENUM.SYS [ 2006年2月16号4096 ] 一SASDIFSV ; SASDIFSV ; ç : \ Program Files文件\ superantispyware \ SASDIFSV.SYS [ 2008年2月29日9968 ] 二Cubase32 ; Cubase32 ; ç : \窗户\ system32 \驱动程序\古巴se32.sys [ 2009年4月5日11808 ] 三IlvMoneyDRIVER53 ; IlvMoneyDRIVER53 ; ç : \窗户\系统m32 \驱动程序\ IlvMoney1215.sys [ 2008年8月21日3.008万] ===============创建近30 ================ 2009年6月17号13:58 <DIR> - d ----- ç : \ Program Files文件\ LSoft技术 2009年6月13日12时32 <DIR> - d ----- ç : \ Program Files文件\苹果 2009年6月13日12时32 <DIR> - d ----- ç : \ Program Files文件\的iTunes ==================== Find3M ==================== =============表面处理: 16:54:12.42 =============== 除非特别指示,请勿张贴此日志。 如果提出要求,邮编它与附加 直接数字频率合成器( Ver_09 - 05 - 1月14日) 微软Windows XP专业版 启动设备: \装置\ HarddiskVolume1 安装日期: 2008年5月12号下午2时38分20秒 系统正常运行时间: 2009年6月24日下午12时33分35秒( 4小时以前) 主板: http://www.abit.com.tw/ | | IP35专业(主板+ ICH9R ) 处理器: Intel ( R )奔腾( R ) 4处理器2.80GHz |插座775 | 3024/216mhz ====分区========================= 答:是移动存储卡 ç :这是一个固定的( NTFS的) - 128培养基,共计60.146培养基自由。 D组:这是一个固定的( NTFS的) - 69培养基,共计60.479培养基自由。 电子邮件:是光盘(两者结合起来) 传真:是光盘(两者结合起来) 答:这是一个固定的( NTFS的) - 245培养基,共计138.326培养基自由。 答:是光盘( ) 一:是光盘( ) 记者:是光盘( ) K :是光盘( ) ====禁用设备管理器项目============= 类的GUID : ( 4D36E972 - E325 - 11CE - BFC1 - 08002BE10318 ) 描述:瑞昱RTL8169/8110系列千兆以太网网卡 设备ID :的PCI \ VEN_10EC & DEV_8167 & SUBSYS_1083147B & REV_10 \ 4 & BB2 9FA6 & 0 & 00F0 制造厂商:瑞昱半导体公司 姓名:瑞昱RTL8169/8110系列千兆以太网网卡# 3 的PNP设备ID :的PCI \ VEN_10EC & DEV_8167 & SUBSYS_1083147B & REV_10 \ 4 & BB2 9FA6 & 0 & 00F0 服务: RTL8023xp 类的GUID : ( 4D36E972 - E325 - 11CE - BFC1 - 08002BE10318 ) 描述:陆委会大桥微 设备ID :根\ MS_BRIDGEMP \ 0000 制造厂商:微软 姓名:陆委会大桥微 的PNP设备ID :根\ MS_BRIDGEMP \ 0000 服务: BridgeMP ====系统还原点=================== RP202 : 2009年3月26日下午6时十四分01秒-系统检查 RP203 : 2009年3月27日下午九点06分08秒-系统检查 RP204 : 2009年3月30号下午十二时43分20秒-系统检查 RP205 : 2009年4月1日下午5时11分23秒-系统检查 RP206 : 2009年4月3日下午3时31分49秒-系统检查 RP207 : 2009年4月6日上午11时三十〇分33秒-系统检查 RP208 : 2009年4月8日上午01时48分55秒-删除MapleStory冰川。 RP209 : 2009年4月8日上午1点四十九分05秒-安装MapleStory 。 RP210 : 2009年4月8日上午02时00分33秒-删除MapleStory 。 RP211 : 2009年4月8日上午二点12分11秒-安装MapleStory 。 RP212 : 2009年4月9日下午1点53分58秒-系统检查 RP213 : 09年4月11日上午六时22分36秒-系统检查 RP214 : 2009年4月14号上午11点18分28秒-系统检查 RP215 : 2009年4月15号下午5时50分23秒-软件分发服务3.0 RP216 : 2009年4月18号上午01点32分37秒-系统检查 RP217 : 2009年4月21日下午2点37分36秒-系统检查 RP218 : 2009年4月22日下午五点07分27秒-系统检查 RP219 : 2009年4月24日下午2时41分28秒-系统检查 RP220 : 2009年4月25日下午10点○七分27秒-系统检查 RP221 : 2009年4月28日上午06点48分10秒-安装Java (商标) 6更新13 RP222 : 2009年5月2日下午七时23分06秒-系统检查 RP223 : 2009年5月3日下午11时36分十八秒-系统检查 RP224 : 2009年5月5日下午2点29分10秒-系统检查 RP225 : 2009年5月6日下午8点29分33秒-系统检查 RP226 : 2009年5月7日上午三时00分17秒-软件分发服务3.0 RP227 : 2009年5月7日上午11时16分03秒-安装Windows XP WgaNotify 。 RP228 : 2009年5月9日上午11时12分四十二秒-系统检查 RP229 : 09年5月10日下午五时10分12秒-系统检查 RP230 : 2009年5月11号下午九点02分07秒-系统检查 RP231 : 09年5月13日上午12时二十六分07秒-软件分发服务3.0 RP232 : 2009年5月14号下午二点28分00秒-删除俎在线 RP233 : 2009年5月15号下午2点47分49秒-系统检查 RP234 : 2009年5月17号上午01点28分31秒-系统检查 RP235 : 2009年5月17号下午四点58分00秒-安装LG电子的USB调制解调器驱动程序 RP236 : 2009年5月19号上午11点34分48秒-系统检查 RP237 : 2009年5月20号下午12时47分48秒-系统检查 RP238 : 2009年5月23日上午10时08分○八秒-系统检查 RP239 : 2009年6月1日上午十点03分十秒-系统检查 RP240 : 2009年6月2日上午10时03分三十秒-系统检查 RP241 : 2009年6月3日上午11时47分56秒-系统检查 RP242 : 2009年6月5日下午11时10分53秒-系统检查 RP243 : 2009年6月7日下午2时46分24秒-系统检查 RP244 : 2009年6月9日上午11时32分41秒-系统检查 RP245 : 2009年6月10日下午5时52分30秒-系统检查 RP246 : 2009年6月10日下午11时00分09秒-软件分发服务3.0 RP247 : 2009年6月12号下午12时14分34秒-系统检查 RP248 : 2009年6月13日下午1时12分33秒-系统检查 RP249 : 2009年6月14号下午9点20分14秒-系统检查 RP250 : 2009年6月15号下午九时53分46秒-系统检查 RP251 : 09年6月17日上午12时27分01秒-系统检查 RP252 : 2009年6月21日下午7时28分06秒-系统检查 RP253 : 2009年6月22日下午8点08分五十○秒-系统检查 RP254 : 2009年6月23日下午二时54分41秒-删除Garmin公司城市导航北美新台币2009年更新 RP255 : 2009年6月23日下午二时58分20秒-删除奔迈 RP256 : 2009年6月24日下午3时58分十八秒-系统检查 ====安装的程序====================== ====事件查看器消息过去一周======== ====文件结尾=========================== |
|
#5
2009年6月24日, 14:05
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! 下载ComboFix ©由潜艇从以下链接。请务必将它保存到顶部的 桌面。 链接# 1 链接# 2 **注:重要的是,它是直接保存到桌面 切忌 运行它尚未! 注: 下面的指示,成立专门为这一用户。如果您不是此用户, 切忌 请依照下列指示,因为它们可能会损害您的系统的运作 删除这些文件/文件夹,如下: 1 。转到 开始 “ 跑 “型 记事本 并点击 行 打开记事本。 它 必须 将记事本,而不是写字板。 2 。复制文字在下面代码中强调的所有文字和紧迫 按Ctrl + C 码: KillAll : :直接数字频率合成器: : uInternet设置, ProxyOverride = *.地方电子束: ( 32683183 - 48a0 - 441b - a342 - 7c2a440a9478 ) -没有文件即: ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\信使\ msmsgs.exe柴油机微粒过滤器: ( 463ED66E - 431B - 11D2 - ADB0 - 0080C83DA4EB ) - hxxps : / / w3s.webmoney.ru/WMAcceptor.dll驱动程序: :观管理服务文件夹:中: C : \ Program Files文件\观点 4 。然后单击 文件 “ 保存 5 。将该文件命名为 CFScript.txt -将文件保存到桌面 6 。然后拖动 CFScript (按住鼠标左键的同时拖动文件)拖放(释放鼠标左键)到ComboFix.exe因为你看到在下面的截图。 重要提示: 执行此指令仔细!  ComboFix将开始执行,只要按照提示操作。 之后重新启动(如果它要求重新启动) ,这将会产生一个日志你。 邮报记录( Combofix.txt )在您下一次的答复。 注: 不要mouseclick ComboFix的窗口同时运行。可能会导致您的系统冻结
__________________ |
|
#6
2009年6月25日, 08:45
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! ComboFix 09-06-23.01 -鼠标2009年6月24日17:18.4 - NTFSx86 Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.2046.1452 [格林尼治标准时间-4:00 ] 运行中: C : \文件和设置\鼠标\桌面\ ComboFix.exe 命令交换机使用:目标: c : \文件和设置\鼠标\桌面\ CFScript.txt 影音:卡巴斯基互联网安全*在访问扫描禁用* (更新) ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 防火墙:卡巴斯基互联网安全*使* ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 。 (((((((((((((((((((((((((((((((((((((((其他缺失))))))))) )))))))))))))))))))))))))))))))))))))))) 。 ç : \ Program Files文件\观点 ç : \再造\的S - 1 - 5 - 21 - 1957994488 - 1801674531 - 1177238915 - 1004 ç : \再造\的S - 1 - 5 - 21 - 789336058 - 2025429265 - 1644491937 - 1003 ç : \窗户\ system32 \驱动程序\ kl1.sys ç : \ Program Files文件\信使\ msmsgs.exe ç : \ Program Files文件\观点\共同\ ViewpointService.exe ç : \ Program Files文件\观点\共同\ VistaBoot.sdll ç : \ Program Files文件\观点\观媒体播放器\ AxMetaStream.dll ç : \ Program Files文件\观点\观媒体播放器\ ClassIDs.ini ç : \ Program Files文件\观点\观媒体播放器\ ComponentMgr.dll ç : \ Program Files文件\观点\观媒体播放器\ MetaStreamID.ini ç : \ Program Files文件\观点\观媒体播放器\ MtsAxInstaller.exe ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ AOLUserShell.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ Cursors.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ JpegReader.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ Mts3Reader.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ SceneComponent.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ SreeDMMX.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ SWFView.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ VETScriptInterpreter.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ VMPSpeech.dll ç : \ Program Files文件\观点\观媒体播放器\ NewComponents \ VMPVideo2.dll ç : \ Program Files文件\观点\观媒体播放器\ npViewpoint.dll ç : \ Program Files文件\观点\观媒体播放器\ npViewpoint.xpt ç : \再造\的S - 1 - 5 - 21 - 1957994488 - 1801674531 - 1177238915 - 1004 \的Desktop.ini ç : \再造\的S - 1 - 5 - 21 - 1957994488 - 1801674531 - 1177238915 - 1004 \ INFO2 ç : \再造\的S - 1 - 5 - 21 - 789336058 - 2025429265 - 1644491937 - 1003 \的Desktop.ini ç : \再造\的S - 1 - 5 - 21 - 789336058 - 2025429265 - 1644491937 - 1003 \ INFO2 ç : \窗户\ emMON.exe ç : \窗户\ system32 \解码器\ 7zAES.dll ç : \窗户\ system32 \解码器\ AES.dll ç : \窗户\ system32 \解码器\ Branch.dll ç : \窗户\ system32 \解码器\ BZip2.dll ç : \窗户\ system32 \解码器\ Copy.dll ç : \窗户\ system32 \解码器\ Deflate.dll ç : \窗户\ system32 \解码器\ LZMA.dll ç : \窗户\ system32 \解码器\ PPMd.dll ç : \窗户\ system32 \解码器\ Rar29.dll ç : \窗户\ system32 \解码器\ Swap.dll ç : \窗户\ system32 \驱动程序\ ctoss2k.sys ç : \窗户\ system32 \格式\ 7z.dll 。 (((((((((((((((((((((((((((((((((((((((司机/服务)))))))) ))))))))))))))))))))))))))))))))))))))))) 。 ------- \ Legacy_ILVMONEYDRIVER53 ------- \ Legacy_VIEWPOINT_MANAGER_SERVICE ------- \ Service_IlvMoneyDRIVER53 ------- \ Service_Viewpoint管理服务 ------- \ Legacy_ossrv ------- \ Service_ossrv (((((((((((((((((((((((((创建的文件从2009年5月24日至2009年6月24日))))))))))) )))))))))))))))))))) 。 2009年6月23日18:47 。 2009年6月24日16时37 117760 ----胡碳: \文件和设置\鼠标\应用数据\ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL 2009年6月17号17点58分。 2009年6月17号18:10 -------- d -----瓦特碳: \ Program Files文件\ LSoft技术 2009年6月13日16时32分。 2009年6月13日16时32 -------- d -----瓦特碳: \ Program Files文件\苹果 2009年6月13日16时32分。 2009年6月13日16时32 -------- d -----瓦特碳: \ Program Files文件\的iTunes 2009年6月13日16时28分。 2009年6月13日16时29 -------- d -----瓦特碳: \ Program Files文件\ QuickTime的 2009年6月13日16:23 。 2009年6月13日16:23 75048 ----胡碳: \文件和设置\所有用户\应用数据\苹果电脑\ Installer缓存\的iTunes 8.2.0.23 \ SetupAdmin.exe 09年6月10日23:14 。 2001年8月18日02:36 462848 - C部分-胡碳: \窗户\ system32 \ dllcache \ a3dapi.dll 09年6月10日23:14 。 2001年8月18日02:36 462848 ----胡碳: \窗户\ system32 \ a3dapi.dll 09年6月10日23:13 。 2009年6月11号07:20 -------- d -----瓦特碳: \ Descent3 09年6月10日23:13 。 09年6月10日23:13 -------- d -----瓦特碳: \游戏 09年6月10日20时13分。 2009年5月7日15:32 345600碳----瓦特碳: \窗户\ system32 \ dllcache \ localspl.dll 09年6月10日20时13分。 2009年4月15日14:51 585216碳----瓦特碳: \窗户\ system32 \ dllcache \ rpcrt4.dll 。 (((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ) ) 。 2009年6月24日23:25 。 2008年5月16号03:35 -------- d -----瓦特碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室 2009年6月24日21时26分。 2008年5月16号03:35 761888 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox2.dat 2009年6月24日21时26分。 2008年5月16号03:35 64388 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox.idx 2009年6月24日21时26分。 2008年5月16号03:35 4571424 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox.dat 2009年6月24日21时26分。 2008年5月16号03:35 29696 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox2.idx 2009年6月24日21:09 。 08年5月17日00:25 -------- d -----的W - ç : \的Documents and Settings \鼠标\应用数据\ LimeWire 2009年6月24日16时37分。 2008年5月19号02:02 -------- d -----瓦特碳: \ Program Files文件\ SUPERAntiSpyware 2009年6月23日19:00 。 2008年10月16号02:40 -------- d -----瓦特碳: \ Program Files文件\潘多网络 2009年6月23日18:59 。 2008年11月29日18:36 -------- d -----瓦特碳: \ Program Files文件\ palmOne的 2009年6月21日23:00 。 2009年2月9日03:50 138184 ----胡碳: \窗户\ system32 \驱动程序\ PnkBstrK.sys 2009年6月21日23:00 。 2009年2月9日03:50 183112 ----胡碳: \窗户\ system32 \ PnkBstrB.exe 2009年6月18日22时35分。 2008年6月17日15:40 -------- d -----瓦特碳: \ Program Files文件\暗黑破坏神II 2009年6月18日22:31 。 2008年6月2日00:09 -------- d ---胡碳: \文件和设置\所有用户\应用数据的\ Temp 2009年6月17号22:51 。 08年5月15日04:41 -------- d -----的W - ç : \的Documents and Settings \鼠标\应用数据\ uTorrent 2009年6月13日16时32分。 08年8月19日04:10 -------- d -----瓦特碳: \ Program Files文件\共同文件\苹果 2009年5月20号16:16 。 2008年5月16号03:36 94643 ----胡碳: \窗户\ system32 \驱动程序\ klick.dat 2009年5月20号16:16 。 2008年5月16号03:36 105395 ----胡碳: \窗户\ system32 \驱动程序\ klin.dat 2009年5月17号20:58 。 2009年5月17号20:58 -------- d -----瓦特碳: \ Program Files文件\ LG电子 2009年5月17号20:58 。 2008年5月12号09:20 --------数d - h -瓦特碳: \ Program Files文件\ InstallShield安装信息 2009年5月17号20:57 。 2008年5月12号09:20 -------- d -----瓦特碳: \ Program Files文件\共同文件\ InstallShield 2009年5月7日15点32分。 2003年3月31日12:00 345600 ----胡碳: \窗户\ system32 \ localspl.dll 2009年4月29日04:46 。 2003年3月31日12:00 666624 ----胡碳: \窗户\ system32 \ wininet.dll 2009年4月29日04:46 。 2008年5月16号21:18 81920 ------瓦特碳: \窗户\ system32 \ ieencode.dll 2009年4月28日10:48 。 08年5月17日00:24 -------- d -----瓦特碳: \ Program Files文件\爪哇 2009年4月28日10时47分。 2009年4月28日10:47 152576 ----胡碳: \文件和设置\鼠标\应用数据\孙\的Java \ jre1.6.0_13 \ lzma.dll 2009年4月26日01:13 。 2009年4月26日00:43 -------- d -----的W - ç : \的Documents and Settings \鼠标\应用数据\移动网络 2009年4月17日12时26分。 2003年3月31日12:00 1847168 ----胡碳: \窗户\ system32 \ Win32k.sys中 2009年4月15日14:51 。 2003年3月31日12:00 585216 ----胡碳: \窗户\ system32 \ rpcrt4.dll 2009年4月8日06:13 。 2009年4月8日06:13 45056 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ MapleStory.exe1_B5F7ED63E4D54BE694F0 F06A2CCC5374.exe 2009年4月8日06:13 。 2009年4月8日06:13 45056 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ MapleStory.exe_B5F7ED63E4D54BE694F0F 06A2CCC5374_1.exe 2009年4月8日06:13 。 2009年4月8日06:13 10134 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ ARPPRODUCTICON.exe 2009年4月5日23时39分。 2008年5月16号02:24 23032 ----胡碳: \文件和设置\鼠标\本地设置\应用数据\ GDIPFONTCACHEV1.DAT 2009年4月5日23:27 。 2009年4月5日23:28 5433520 ----胡碳: \窗户\ system32 \ SpoonUninstall.exe 。 (((((((((((((((((((((((((((((((((((((注册装载点)))))))))) )))))))))))))))))))))))))))))))))))))))) 。 。 *注意*空白条目与合法默认项不会显示 REGEDIT4 [ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行] “ Ctfmon.exe会” =的“ C : \窗户\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ] 的“ H / PC连接代理” =的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” [ 06年11月13号一百二十八点九万] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行] “ NvCplDaemon ” =的“ C : \窗户\ system32 \ NvCpl.dll ” [ 2008年5月3日13529088 ] “ CTDVDDET ” =的“ C : \ Program Files文件\创新\声霸卡X - Fi \ DVDAudio \ CTDVDDET.EXE ” [ 2003年6月18日45056 ] “ RCSystem ” =的“ C : \ Program Files文件\创新\共享文件\模块装载机\ DLLML.exe ” [ 2005年11月4日49152 ] “ AudioDrvEmulator ” =的“ C : \ Program Files文件\创新\共享文件\模块装载机\ DLLML.exe ” [ 2005年11月4号49152 ] “ VolPanel ” =的“ C : \ Program Files文件\创新\声霸卡X - Fi \卷小组\ VolPanlu.exe ” [ 2006年7月28日122880 ] “ NvMediaCenter ” =的“ C : \窗户\ system32 \ NvMcTray 。 DLL的” [ 2008年5月3日86016 ] “素” =的“ C : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009 \ avp.exe ” [ 2009年2月5日201992 ] “ QuickTime的工作” =的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” [ 2009年5月26日413696 ] “ AppleSyncNotifier ” =的“ C : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleSyncNotifier.exe ” [ 2009年5月14日177472 ] “ iTunesHelper ” =的“ C : \ Program Files文件\的iTunes \ iTunesHelper.exe ” [ 2009年6月5日292136 ] “ CTHelper ” = “ CTHELPER.EXE ” - ç : \窗户\ system32 \ CtHelper.exe [ 2008年2月21日19456 ] “ CTxfiHlp ” = “ CTXFIHLP.EXE ” - ç : \窗户\ system32 \ Ctxfihlp.exe [ 2008年2月21日19968 ] [ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ] “ ( 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ) ” =的“ C : \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2009年1月1日77824 ] [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ! SASWinLogon ] 2009年1月1日04:29 356352 ----胡碳: \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL [ HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\ SafeBoot \最小\ Wdf01000.sys ] @ = “驱动器” [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ Adobe公司伽玛Loader.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\ Adobe公司伽玛Loader.lnk 备份= C的: \窗户\藻酸双酯钠\ Adobe公司伽玛Loader.lnkCommon启动 [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ HOTSYNCSHORTCUTNAME.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\ HOTSYNCSHORTCUTNAME.lnk 备份= C的: \窗户\藻酸双酯钠\ HOTSYNCSHORTCUTNAME.lnkCommo ñ启动 [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^微软Office.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\微软Office.lnk 备份= C的: \窗户\藻酸双酯钠\微软Office.lnkCommon启动 [ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \服务] “ StyleXPService ” = 2 ( 0x2 ) “ PLFlash DeviceIoControl服务” = 2 ( 0x2 ) “ NMIndexingService ” = 3 ( 0x3 ) “尼禄BackItUp调度3 ” = 2 ( 0x2 ) “山东” = 2 ( 0x2 ) “ ZuneNetworkSvc ” = 3 ( 0x3 ) “ WMPNetworkSvc ” = 3 ( 0x3 ) “ npkcmsvc ” = 2 ( 0x2 ) “ JavaQuickStarterService ” = 2 ( 0x2 ) “ IDriverT ” = 3 ( 0x3 ) “ iPod服务” = 3 ( 0x3 ) “ idsvc ” = 3 ( 0x3 ) “ Adobe公司长征服务” = 3 ( 0x3 ) [ HKEY_LOCAL_MACHINE \软件\微软\安全中心] “ AntiVirusOverride ” =的DWORD : 00000001 [ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ KasperskyAntiVirus ] “ DisableMonitoring ” =的DWORD : 00000001 [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile ] “ EnableFirewall ” = 0 ( 0x0 ) [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单] “ % windir % \ \ system32 \ \ sessmgr.exe ” = 的“ C : \ \ Program Files文件\ \ uTorrent \ \ uTorrent.exe ” = 的“ C : \ \ Program Files文件\ \ Veoh网络\ \ Veoh \ \ VeohClient.exe ” = 的“ C : \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ” = 的“ C : \ \ Program Files文件\ \塞拉利昂\ \恐惧\ \ FEAR.exe ” = 的“ C : \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Dx9.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Dx10.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Launcher.exe ” = 的“ C : \ \的Documents and Settings \ \所有用户\ \应用程序数据\ \卡巴斯基实验室的安装程序文件\ \卡巴斯基互联网安全2009年\ \英文\ \的Setup.exe ” = 的“ C : \ Program Files文件\微软ActiveSync \ rapimgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ rapimgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的RAPI经理 的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” = C的: \ Program Files文件\微软ActiveSync \ wcescomm.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的连接管理器 的“ C : \ Program Files文件\微软ActiveSync \ WCESMgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ WCESMgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的应用 “ % windir % \ \网络诊断\ \ xpnetdiag.exe ” = 的“ C : \ \ Program Files文件\ \ Skype的\ \电话\ \ Skype.exe ” = 的“ C : \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” = 的“ C : \ \ Program Files文件\ \ AIM6 \ \ aim6.exe ” = 的“ C : \ \ Program Files文件\ \卓悦\ \ mDNSResponder.exe ” = 的“ C : \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ” = [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单] “ 6112 : TCP连接” = 6112 :为tcp :暗黑破坏神2 “ 26675 : TCP连接” = 26675 :为tcp : 169.254.2.0/255.255.255.0 :启用: ActiveSync的服务 “ 58398 : TCP连接” = 58398 :为tcp :潘多媒体助推器 “ 58398 : UDP连接” = 58398 : UDP连接:潘多媒体助推器 R0 klbg ;卡巴斯基实验室启动卫队司机; ç : \窗户\ system32 \驱动程序\ klbg.sys [ 2008年1月29日下午6时29 33808 ] 受体1 SASDIFSV ; SASDIFSV ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASDIFSV.SYS [ 2008年2月29日下午4时03分9968 ] 受体1 SASKUTIL ; SASKUTIL ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASKUTIL.SYS [ 2008年2月29日下午4时03分55024 ] 受体1 UGURU ; UGURU ; ç : \窗户\ system32 \驱动程序\ uGuru.sys [ 2008年5月12日上午05时23 14592 ] R3的KLFLTDEV ;卡巴斯基实验室KLFltDev ; ç : \窗户\ system32 \驱动程序\ klfltdev.sys [ 2008年3月13日下午7点02分26640 ] R3的klim5 ;卡巴斯基反病毒的NDIS过滤器; ç : \窗户\ system32 \驱动程序\ klim5.sys [ 2007年12月13号下午1时28分24592 ] 二Cubase32 ; Cubase32 ; ç : \窗户\ system32 \驱动程序\古巴se32.sys [ 2009年4月5日下午7点02 11808 ] 三SASENUM ; SASENUM ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASENUM.SYS [ 2006年2月16号下午4点51分4096 ] ---其他服务/司机记忆--- * NewlyCreated * - SASDIFSV 。 内容'计划任务的文件夹 2009年6月13日ç : \窗户\任务\ AppleSoftwareUpdate.job - ç : \ Program Files文件\苹果软件更新\ SoftwareUpdate.exe [ 2008年7月30号17点34分] 2009年6月24日ç : \窗户\任务\ Malwarebytes '反Malware.job - ç : \ progra 〜 1 \ MALWAR 〜 1 \ mbam.exe [ 2008年5月19号00:52 ] 。 - - - -孤寡删除- - - - SafeBoot -的AVG反间谍软件驱动程序 SafeBoot -的AVG反间谍软件保护 。 补充扫描------- ------- 。 uStart页= hxxp : / / google.com / 即:添加到横幅广告拦截器- ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ ie_banner_deny.htm 即:汇出至Microsoft Excel - ç : \ progra 〜 1 \微〜 2 \ Office10 \ EXCEL.EXE/3000 柴油机微粒过滤器: Microsoft XML分析器的Java -文件: / /炭: \窗户\爪哇\班\ xmldso.cab 柴油机微粒过滤器: ( 463ED66E - 431B - 11D2 - ADB0 - 0080C83DA4EB ) - hxxps : / / w3s.webmoney.ru/WMAcceptor.dll 法国法郎- ProfilePath - 。 ************************************************** ************************ catchme 0.3.1398 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer , http://www.gmer.net 的rootkit扫描2009年6月24日19:25 2600年5月1号的Windows Service Pack 3中的NTFS 扫描隐藏的进程... 扫描隐藏的自动启动项... 扫描隐藏的文件... 扫描顺利完成 隐藏的文件: 0 ************************************************** ************************ 。 --------------------- ---------------------锁定注册表项 [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 47629D4 β - 2AD3 - 4e50 - B716 - A66C15C63153 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ cd042efbbd7f7af1647644e76e06692b ” =十六进制: 2e , e8 , E1类, 00 ,电子束, 16,2 b ,日,随后, 66,8男, 81岁的素D1 , 34 ,氘, d9 ,的C8 , 28,51 ,自动对焦, B0的, 29日, 3号, 98号,解答9 ,补体C3 ,奥迪A8 , 8A条, 45 ,维生素D3 , 39,87 , E2类, 63,26 ,车队, 3楼的C8 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 604BB98一个A94F - 4a5c - A67C - D8D3582C741C ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ bca643cdc5c2726b20d2ecedcc62c59b ” =十六进制: 71,3 b , 04,66 , 8B条, 46,0天, 96 , c2 , c2 ,直流, E4类,奥迪A8 , 65,45,2英, 71,3 b , 04,66,8 b , 46,0天, 96,21,7 ć ,机管局, e9 ,奥迪A8 , 42 , 2楼, C4和6A条, 9C条,一批D6 , 61 ,自动对焦, 45 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 684373F β - 9CD8 - 4e47 - B990 - 5A4466C16034 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 2c81e34222e8052573023a60d06dd016 ” =十六进制: 25 ,大,欧共体, 7e , 55,20 ,碳九, 26岁,电子束,高速公路A7 ,东风,四维, 25 , c2 , 62,83,25 ,大,欧共体, 7e , 55,20 ,碳九, 26日, 3号, F2代, 65岁的男女, 80,3 é , E4类,适用于F6 ,以后, 7C条, 85 , e0 , 43 , D4类, \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 74554CC名D - F60F - 4708 - AD98 - D0152D08C8B9 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 2582ae41fb52324423be06337561aa48 ” =十六进制: 3E型, 1e , 9e , e0 , 57,5 1 , 93,61 , F2代,格A1中,格B4 , 61,82 , BB心跳,抗体, D 5类, 3E型, 1e , 9e , e0 , 57,5 1 , 93,61,6女, 0e ,第5c ,科,教统会, 4楼型E7 , 8d , 86,8 ć , 21,01 ,是, 91 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 7EB537F 9 - A916 - 4339 - B91B - DED8E83632C0 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ caaeda5fd7a9ed7697d9686d4b818472 ” =十六进制:裁谈会, 44 ,镉,的B9 ,解答6 , 33,6 ć ,裁谈会, 91 , D7类,第7A , 29,97 , C7处理器, 40,4 b ,镉, 44 ,镉,的B9 ,解答6 , 33,6 ç ,镉, 49,19,95,11,6男,交流, 43,68 ,是F5 , 1 ,四维, 73 ,奥迪A8 , 13 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 948395E 8 - 7A56 - 4fb1 - 843B - 3E52D94DB145 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ a4a1bcf2cc2b8bc3716b74b2b4522f5d ” =十六进制:东风, 20,58,62 , 78,6 b ,比照,的C8 , 7e , 4A条, D 5类, 24,8天, 3A条,第49 , C4和B0的, 18日,海关,高速公路A7 , 3楼, 8d , 37 , A4规定, 29 , B5轿车, 53,9 1 ,维生素D3及4A , 02,51 ,东风, 20,58,62,78,6 b , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( AC3ED30乙, 6F1A - 4bfc - A4F6 - 2EBDCCD34C19 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 4d370831d2c43cd13623e232fed27b7b ” =十六进制: 31,77 , E1类,巴中, B1 ,按F8 , 68,02,09 , D4类, 0 B大小的, F3的, 53 , 公元前62,26,31,77 , E1类,广管局中, B1 ,按F8 , 68,02,77 ,补体C3 ,日,胶质瘤, 98,79 , 54,2 ç蛋白原,高速公路A7 , 78 , E6 ,相机12,2楼\ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( DE5654C一个EB84 - 4df9 - 915B - 37E957082D6D ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 1d68fe701cdea33e477eb204b76f993d ” =十六进制: 01,3 1 , 48岁, FC , e8 , 04,4 1 ,车队,东风, 00 , D 5类, 43页, F8键,取消, F3的, 83,6 ć , 56,8 b , a0 , 85,96 ,抗体, D 5类, 19,39,90 ,大, 30 , 2A型, 05,01,3一, 48岁, FC , e8 , 04 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( E39C35E 8 - 7488 - 4926 - 92B2 - 2F94619AC1A5 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 1fac81b91d8e3c5aa4b0a51804d844a3 ” =十六进制:适用于F6 ,正月, 4E条, 58 , 98,5 b , 89 ,碳九, 6A条,电子艺界,按F8 , C4和82 , 第1a , 7层,第8点, 51岁,长发, 6e , 91,28,9 é , 14日,消委会, 82 ,交流,第7A , 83 ,电子束, 90 , 81 ,胶质瘤,于F6 ,正月, 4E条, 58,98,5 b , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( EACAFCE 5 - B0E2 - 4288 - 8073 - C02FF9619B6F ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ f5f62a6129303efb32fbe080bb27835b ” =十六进制:三维, CE认证,公司, 26 ,二维, 45 ,机管局, 78,0 b ,钡, 41,78,8 1 , 碳九, 90,04中, B1 ,镉, 45,5 1 ,奥迪A8 , C4和F8键,的B9 , 6B型,胶质瘤,转A2 , 44,8天, 59岁,解答6 , F5键,三维,行政长官,电子艺界, 26,2天, 45 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( F8F02AD名D - 7366 - 4186 - 9488 - C21CB8B3DCEC ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ fd4e2e1a3940b94dceb5a6a021f2e3c6 ” =十六进制: 2A型, B7分子,连铸, B5轿车,的B9 , 7楼, 41 ,型E7 ,日, 45,06,19,5英, 30,20 , E6 ,相机E3展, 0e , 66 , D 5类,电子束,公元前2楼型,素E1 , 69,31 ,交流,日,钡, 7楼, 02,2 1 , B7分子,连铸, B5轿车,的B9 , 7楼\ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( FEE45DE 2 - A467 - 4bf9 - BF2D - 1411304BCD84 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 8a8aec57dd6508a385616fbc86791ec2 ” =十六进制:发,电子艺界, 66,7男, D4类, 3B款型, 70 ,第5条, 97,0 1 , 6e , 8A条, 比照, 52,73 ,花园,电子艺界, 66,7男, D4类, 3B款型, 70,30,24 ,电子艺界, 79岁的格A1 , 7B条, 08,64,6 ć , 43,2天, 1e ,机管局, 22 , \ [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Installer的\用户数据\本地\成分指标\氢€ |年年¤ • € |恶•阿〜 * ] “ AB141C35E9F4BF344B9FC010BB17F68A ” = “ ” 。 ---------------------的DLL加载运行的进程--------------------- - - - - - - - > “ winlogon.exe ' ( 1028 ) ç : \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL ç : \窗户\ system32 \ klogon.dll - - - - - - - > “ Explorer.exe的' ( 3748 ) ç : \窗户\ system32 \ WPDShServiceObj.dll ç : \窗户\ system32 \ PortableDeviceTypes.dll ç : \窗户\ system32 \ PortableDeviceApi.dll 。 ------------------------其他正在运行的进程----------------------- - 。 ç : \ Program Files文件\创新\共享文件\ CTAudSvc.exe ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe ç : \ Program Files文件\卓悦\ mDNSResponder.exe ç : \窗户\ system32 \ nvsvc32.exe ç : \窗户\ system32 \ PnkBstrA.exe ç : \窗户\ system32 \ rundll32.exe ç : \ progra 〜 1 \微〜 4 \ rapimgr.exe ç : \ Program Files文件\创新\声霸卡X - Fi \娱乐中心\ EAXLoadr.exe ç : \ Program Files文件\苹果\斌\ iPodService.exe ç : \窗户\ system32 \ wscntfy.exe ç : \窗户\ system32 \ CTxfispi.exe 。 ************************************************** ************************ 。 完成时间: 2009年6月24日19:29 -机器重启 ComboFix -隔离- files.txt 2009年6月24日23:29 ComboFix2.txt 2008年5月20号17:05 预运行: 65511231488字节免费 后运行: 67799437312字节免费 视窗- KB310994 - SP2的亲BootDisk - ENU.exe [的Boot Loader ] 超时= 2 默认=多( 0 )磁盘( 0 ) rdisk ( 1 )分区( 1 ) \窗县 [操作系统] ç : \ cmdcons \ BOOTSECT.DAT = “ Microsoft Windows故障恢复控制台” / cmdcons 多( 0 )磁盘( 0 ) rdisk ( 1 )分区( 1 ) \窗口= “微软的Windows XP Professional ” / noexecute =选择启用/ fastdetect 多( 0 )磁盘( 0 ) rdisk ( 0 )分区( 1 ) \窗口= “微软的Windows XP Professional ” / fastdetect / NoExecute =选择启用 当前= 3默认= 3失败= 1 LastKnownGood = 4套= 1,2,3,4 335 --- EOF分析--- 2009年6月11日03:03 |
|
#7
2009年6月25日, 09:58
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! 删除这些文件/文件夹,如下: 1 。转到 开始 “ 跑 “型 记事本 并点击 行 打开记事本。 它 必须 将记事本,而不是写字板。 2 。复制文字在下面代码中强调的所有文字和紧迫 按Ctrl + C 码: KillAll : : RegLock : : [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 47629D4 β - 2AD3 - 4e50 - B716 - A66C15C63153 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 604BB98一个A94F - 4a5c - A67C - D8D3582C741C ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 684373F β - 9CD8 - 4e47 - B990 - 5A4466C16034 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 74554CC名D - F60F - 4708 - AD98 - D0152D08C8B9 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 7EB537F 9 - A916 - 4339 - B91B - DED8E83632C0 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 948395E 8 - 7A56 - 4fb1 - 843B - 3E52D94DB145 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( AC3ED30 β - 6F1A - 4bfc - A4F6 - 2EBDCCD34C19 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( DE5654C一个EB84 - 4df9 - 915B - 37E957082D6D ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( E39C35E 8 - 7488 - 4926 - 92B2 - 2F94619AC1A5 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( EACAFCE 5 - B0E2 - 4288 - 8073 - C02FF9619B6F ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( F8F02AD名D - 7366 - 4186 - 9488 - C21CB8B3DCEC ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( FEE45DE 2 - A467 - 4bf9 - BF2D - 1411304BCD84 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Installer的\用户数据\本地\成分指标\氢€ |年年¤ • € |恶•阿〜 * ] 4 。然后单击 文件 “ 保存 5 。将该文件命名为 CFScript.txt -将文件保存到桌面 6 。然后拖动 CFScript (按住鼠标左键的同时拖动文件)拖放(释放鼠标左键)到ComboFix.exe因为你看到在下面的截图。 重要提示: 执行此指令仔细! ComboFix将开始执行,只要按照提示操作。 之后重新启动(如果它要求重新启动) ,这将会产生一个日志你。 邮报记录( Combofix.txt )在您下一次的答复。 注: 不要mouseclick ComboFix的窗口同时运行。可能会导致您的系统冻结 ---------- 也让我知道的计算机运行的是现在。 。
__________________ |
|
#8
2009年6月25日, 16:17
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! ComboFix 09-06-23.01 -鼠标2009年6月25日19:04.5 - NTFSx86 Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.2046.1597 [格林尼治标准时间-4:00 ] 运行中: C : \文件和设置\鼠标\桌面\ ComboFix.exe 命令交换机使用:目标: c : \文件和设置\鼠标\桌面\ CFScript.txt 影音:卡巴斯基互联网安全*在访问扫描禁用* (更新) ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 防火墙:卡巴斯基互联网安全*残疾人* ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 。 (((((((((((((((((((((((((((((((((((((((其他缺失))))))))) )))))))))))))))))))))))))))))))))))))))) 。 ç : \窗户\ system32 \驱动程序\ kl1.sys 。 (((((((((((((((((((((((((创建的文件从2009年5月25日至2009年6月25日))))))))))) )))))))))))))))))))) 。 2009年6月24日23时28分。 2009年6月24日23:28 --------直流----的W - ç : \窗户\ system32 \ dllcache \缓存 2009年6月23日18:47 。 2009年6月24日16时37 117760 ----胡碳: \文件和设置\鼠标\应用数据\ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL 2009年6月17号17点58分。 2009年6月17号18:10 -------- d -----瓦特碳: \ Program Files文件\ LSoft技术 2009年6月13日16时32分。 2009年6月13日16时32 -------- d -----瓦特碳: \ Program Files文件\苹果 2009年6月13日16时32分。 2009年6月13日16时32 -------- d -----瓦特碳: \ Program Files文件\的iTunes 2009年6月13日16时28分。 2009年6月13日16时29 -------- d -----瓦特碳: \ Program Files文件\ QuickTime的 2009年6月13日16:23 。 2009年6月13日16:23 75048 ----胡碳: \文件和设置\所有用户\应用数据\苹果电脑\ Installer缓存\的iTunes 8.2.0.23 \ SetupAdmin.exe 09年6月10日23:14 。 2001年8月18日02:36 462848 - C部分-胡碳: \窗户\ system32 \ dllcache \ a3dapi.dll 09年6月10日23:14 。 2001年8月18日02:36 462848 ----胡碳: \窗户\ system32 \ a3dapi.dll 09年6月10日23:13 。 2009年6月11号07:20 -------- d -----瓦特碳: \ Descent3 09年6月10日23:13 。 09年6月10日23:13 -------- d -----瓦特碳: \游戏 09年6月10日20时13分。 2009年5月7日15:32 345600碳----瓦特碳: \窗户\ system32 \ dllcache \ localspl.dll 09年6月10日20时13分。 2009年4月15日14:51 585216碳----瓦特碳: \窗户\ system32 \ dllcache \ rpcrt4.dll 。 (((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ) ) 。 2009年6月25日23:11 。 2008年5月16号03:35 -------- d -----瓦特碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室 2009年6月25日23:09 。 2008年5月16号03:35 761888 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox2.dat 2009年6月25日23:09 。 2008年5月16号03:35 64388 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox.idx 2009年6月25日23:09 。 2008年5月16号03:35 4571424 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox.dat 2009年6月25日23:09 。 2008年5月16号03:35 29696 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox2.idx 2009年6月24日23时59分。 2008年1月29日22:29 33808 ----胡碳: \窗户\ system32 \驱动程序\ klbg.sys 2009年6月24日23时59分。 2009年2月5日00:58 33808 ----胡碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室\ AVP8 \数据\更新\临时文件\ temporaryFolder \ AutoPatches \ kav8exec \ 8.0.0.3 57 \ klbg.sys 2009年6月24日23时59分。 2008年5月16号03:36 94643 ----胡碳: \窗户\ system32 \驱动程序\ klick.dat 2009年6月24日23时59分。 2008年5月16号03:36 105395 ----胡碳: \窗户\ system32 \驱动程序\ klin.dat 2009年6月24日23时59分。 2008年7月17号23:08 213520 ----胡碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室\ AVP8 \数据\更新\临时文件\ temporaryFolder \ AutoPatches \ kav8exec \ 8.0.0.3 57 \ XP中\ klif.sys 2009年6月24日23时59分。 2008年7月17号23:08 861448 ----胡碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室\ AVP8 \数据\更新\临时文件\ temporaryFolder \ AutoPatches \ kav8exec \ 8.0.0.3 57 \ updater.dll 2009年6月24日21:09 。 08年5月17日00:25 -------- d -----的W - ç : \的Documents and Settings \鼠标\应用数据\ LimeWire 2009年6月24日16时37分。 2008年5月19号02:02 -------- d -----瓦特碳: \ Program Files文件\ SUPERAntiSpyware 2009年6月23日19:00 。 2008年10月16号02:40 -------- d -----瓦特碳: \ Program Files文件\潘多网络 2009年6月23日18:59 。 2008年11月29日18:36 -------- d -----瓦特碳: \ Program Files文件\ palmOne的 2009年6月21日23:00 。 2009年2月9日03:50 138184 ----胡碳: \窗户\ system32 \驱动程序\ PnkBstrK.sys 2009年6月21日23:00 。 2009年2月9日03:50 183112 ----胡碳: \窗户\ system32 \ PnkBstrB.exe 2009年6月18日22时35分。 2008年6月17日15:40 -------- d -----瓦特碳: \ Program Files文件\暗黑破坏神II 2009年6月18日22:31 。 2008年6月2日00:09 -------- d ---胡碳: \文件和设置\所有用户\应用数据的\ Temp 2009年6月17号22:51 。 08年5月15日04:41 -------- d -----的W - ç : \的Documents and Settings \鼠标\应用数据\ uTorrent 2009年6月13日16时32分。 08年8月19日04:10 -------- d -----瓦特碳: \ Program Files文件\共同文件\苹果 2009年5月17号20:58 。 2009年5月17号20:58 -------- d -----瓦特碳: \ Program Files文件\ LG电子 2009年5月17号20:58 。 2008年5月12号09:20 --------数d - h -瓦特碳: \ Program Files文件\ InstallShield安装信息 2009年5月17号20:57 。 2008年5月12号09:20 -------- d -----瓦特碳: \ Program Files文件\共同文件\ InstallShield 2009年5月7日15点32分。 2003年3月31日12:00 345600 ----胡碳: \窗户\ system32 \ localspl.dll 2009年4月29日04:46 。 2003年3月31日12:00 666624 ----胡碳: \窗户\ system32 \ wininet.dll 2009年4月29日04:46 。 2008年5月16号21:18 81920 ------瓦特碳: \窗户\ system32 \ ieencode.dll 2009年4月28日10:48 。 08年5月17日00:24 -------- d -----瓦特碳: \ Program Files文件\爪哇 2009年4月28日10时47分。 2009年4月28日10:47 152576 ----胡碳: \文件和设置\鼠标\应用数据\孙\的Java \ jre1.6.0_13 \ lzma.dll 2009年4月17日12时26分。 2003年3月31日12:00 1847168 ----胡碳: \窗户\ system32 \ Win32k.sys中 2009年4月15日14:51 。 2003年3月31日12:00 585216 ----胡碳: \窗户\ system32 \ rpcrt4.dll 2009年4月8日06:13 。 2009年4月8日06:13 45056 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ MapleStory.exe1_B5F7ED63E4D54BE694F0 F06A2CCC5374.exe 2009年4月8日06:13 。 2009年4月8日06:13 45056 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ MapleStory.exe_B5F7ED63E4D54BE694F0F 06A2CCC5374_1.exe 2009年4月8日06:13 。 2009年4月8日06:13 10134 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ ARPPRODUCTICON.exe 2009年4月5日23时39分。 2008年5月16号02:24 23032 ----胡碳: \文件和设置\鼠标\本地设置\应用数据\ GDIPFONTCACHEV1.DAT 2009年4月5日23:27 。 2009年4月5日23:28 5433520 ----胡碳: \窗户\ system32 \ SpoonUninstall.exe 。 ((((((((((((((((((((((((((((( SnapShot@2009-06-24_23.25.37 )))))))))))) ))))))))))))))))))))))))))))) 。 + 2008年3月26日00:07 。 2008年3月26日00:07 24592 ç : \窗户\ system32 \驱动程序\ klim5.sys - 2007年12月13号17:28 。 2008年3月26日00:07 24592 ç : \窗户\ system32 \驱动程序\ klim5.sys + 2009年6月24日23:28 。 2008年10月16号19:09 51224 ç : \窗户\ system32 \ dllcache \缓存\ wuauclt.exe + 2009年6月24日23:28 。 2008年4月14日00:12 82432 ç : \窗户\ system32 \ dllcache \缓存\ ws2_32.dll + 2009年6月24日23:28 。 2008年4月14日00:12 26112 ç : \窗户\ system32 \ dllcache \缓存\ userinit.exe + 2009年6月24日23:28 。 2008年4月14日00:12 14336 ç : \窗户\ system32 \ dllcache \缓存\ svchost.exe + 2009年6月24日23:28 。 2008年4月14日00:12 57856 ç : \窗户\ system32 \ dllcache \缓存\ spoolsv.exe + 2009年6月24日23:28 。 2008年4月14日00:12 17408 ç : \窗户\ system32 \ dllcache \缓存\ powrprof.dll + 2009年6月24日23:28 。 2008年4月14日00:12 13312 ç : \窗户\ system32 \ dllcache \缓存\ Lsass.exe中 + 2009年6月24日23:28 。 2008年4月13号18:39 24576 ç : \窗户\ system32 \ dllcache \缓存\ kbdclass.sys + 2009年6月24日23:28 。 2008年4月13号18:53 36608 ç : \窗户\ system32 \ dllcache \缓存\ ip6fw.sys + 2009年6月24日23:28 。 2008年4月14日00:12一点五三六万ç : \窗户\ system32 \ dllcache \缓存\ Ctfmon.exe会 - 2008年4月18号17:53 。 2009年2月5日00:58 213520 ç : \窗户\ system32 \驱动程序\ klif.sys + 2008年4月18号17:53 。 2009年6月24日23:59 213520 ç : \窗户\ system32 \驱动程序\ klif.sys + 2009年6月24日23:28 。 2008年4月14日00:12五十零万七千九百〇四ç : \窗户\ system32 \ dllcache \缓存\ winlogon.exe + 2009年6月24日23:28 。 2009年4月29日04:46 666624 ç : \窗户\ system32 \ dllcache \缓存\ wininet.dll + 2009年6月24日23:28 。 2008年4月14日00:12 578560 ç : \窗户\ system32 \ dllcache \缓存\的User32.dll + 2009年6月24日23:28 。 2008年4月14日00:12 295424 ç : \窗户\ system32 \ dllcache \缓存\ termsrv.dll + 2009年6月24日23:28 。 2008年6月20号11点51分361600 ç : \窗户\ system32 \ dllcache \缓存\ tcpip.sys + 2009年6月24日23:28 。 2009年2月6日11:11 110592 ç : \窗户\ system32 \ dllcache \缓存\ Services.exe的 + 2009年6月24日23:28 。 2008年4月13号19:20 182656 ç : \窗户\ system32 \ dllcache \缓存\ ndis.sys + 2009年6月24日23:28 。 2009年3月21日14时○六989696 ç : \窗户\ system32 \ dllcache \缓存\ Kernel32.dll中 + 2009年6月24日23:28 。 2008年4月14日00:11一十一点〇 〇八万ç : \窗户\ system32 \ dllcache \缓存\ imm32.dll + 2009年6月24日23:28 。 2008年4月14日00:11 167936 ç : \窗户\ system32 \ dllcache \缓存\ appmgmts.dll + 2009年6月24日23:28 。 2008年4月14日00:12 1614848 ç : \窗户\ system32 \ dllcache \缓存\ sfcfiles.dll + 2009年6月24日23:28 。 2009年2月6日11点06分2145280 ç : \窗户\ system32 \ dllcache \缓存\的Ntoskrnl.exe + 2009年6月24日23:28 。 2009年2月6日10:32 2023936 ç : \窗户\ system32 \ dllcache \缓存\ ntkrnlpa.exe + 2009年6月24日23:28 。 2008年4月14日00:12 1033728 ç : \窗户\ system32 \ dllcache \缓存\ Explorer.exe的 。 (((((((((((((((((((((((((((((((((((((注册装载点)))))))))) )))))))))))))))))))))))))))))))))))))))) 。 。 *注意*空白条目与合法默认项不会显示 REGEDIT4 [ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行] “ Ctfmon.exe会” =的“ C : \窗户\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ] 的“ H / PC连接代理” =的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” [ 06年11月13号一百二十八点九万] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行] “ NvCplDaemon ” =的“ C : \窗户\ system32 \ NvCpl.dll ” [ 2008年5月3日13529088 ] “ CTDVDDET ” =的“ C : \ Program Files文件\创新\声霸卡X - Fi \ DVDAudio \ CTDVDDET.EXE ” [ 2003年6月18日45056 ] “ RCSystem ” =的“ C : \ Program Files文件\创新\共享文件\模块装载机\ DLLML.exe ” [ 2005年11月4日49152 ] “ AudioDrvEmulator ” =的“ C : \ Program Files文件\创新\共享文件\模块装载机\ DLLML.exe ” [ 2005年11月4号49152 ] “ VolPanel ” =的“ C : \ Program Files文件\创新\声霸卡X - Fi \卷小组\ VolPanlu.exe ” [ 2006年7月28日122880 ] “ NvMediaCenter ” =的“ C : \窗户\ system32 \ NvMcTray 。 DLL的” [ 2008年5月3日86016 ] “素” =的“ C : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009 \ avp.exe ” [ 2009年2月5日201992 ] “ QuickTime的工作” =的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” [ 2009年5月26日413696 ] “ AppleSyncNotifier ” =的“ C : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleSyncNotifier.exe ” [ 2009年5月14日177472 ] “ iTunesHelper ” =的“ C : \ Program Files文件\的iTunes \ iTunesHelper.exe ” [ 2009年6月5日292136 ] “ CTHelper ” = “ CTHELPER.EXE ” - ç : \窗户\ system32 \ CtHelper.exe [ 2008年2月21日19456 ] “ CTxfiHlp ” = “ CTXFIHLP.EXE ” - ç : \窗户\ system32 \ Ctxfihlp.exe [ 2008年2月21日19968 ] [ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ] “ ( 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ) ” =的“ C : \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2009年1月1日77824 ] [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ! SASWinLogon ] 2009年1月1日04:29 356352 ----胡碳: \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL [ HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\ SafeBoot \最小\ Wdf01000.sys ] @ = “驱动器” [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ Adobe公司伽玛Loader.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\ Adobe公司伽玛Loader.lnk 备份= C的: \窗户\藻酸双酯钠\ Adobe公司伽玛Loader.lnkCommon启动 [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ HOTSYNCSHORTCUTNAME.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\ HOTSYNCSHORTCUTNAME.lnk 备份= C的: \窗户\藻酸双酯钠\ HOTSYNCSHORTCUTNAME.lnkCommo ñ启动 [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^微软Office.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\微软Office.lnk 备份= C的: \窗户\藻酸双酯钠\微软Office.lnkCommon启动 [ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \服务] “ StyleXPService ” = 2 ( 0x2 ) “ PLFlash DeviceIoControl服务” = 2 ( 0x2 ) “ NMIndexingService ” = 3 ( 0x3 ) “尼禄BackItUp调度3 ” = 2 ( 0x2 ) “山东” = 2 ( 0x2 ) “ ZuneNetworkSvc ” = 3 ( 0x3 ) “ WMPNetworkSvc ” = 3 ( 0x3 ) “ npkcmsvc ” = 2 ( 0x2 ) “ JavaQuickStarterService ” = 2 ( 0x2 ) “ IDriverT ” = 3 ( 0x3 ) “ iPod服务” = 3 ( 0x3 ) “ idsvc ” = 3 ( 0x3 ) “ Adobe公司长征服务” = 3 ( 0x3 ) [ HKEY_LOCAL_MACHINE \软件\微软\安全中心] “ AntiVirusOverride ” =的DWORD : 00000001 [ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ KasperskyAntiVirus ] “ DisableMonitoring ” =的DWORD : 00000001 [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile ] “ EnableFirewall ” = 0 ( 0x0 ) [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单] “ % windir % \ \ system32 \ \ sessmgr.exe ” = 的“ C : \ \ Program Files文件\ \ uTorrent \ \ uTorrent.exe ” = 的“ C : \ \ Program Files文件\ \ Veoh网络\ \ Veoh \ \ VeohClient.exe ” = 的“ C : \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ” = 的“ C : \ \ Program Files文件\ \塞拉利昂\ \恐惧\ \ FEAR.exe ” = 的“ C : \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Dx9.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Dx10.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Launcher.exe ” = 的“ C : \ \的Documents and Settings \ \所有用户\ \应用程序数据\ \卡巴斯基实验室的安装程序文件\ \卡巴斯基互联网安全2009年\ \英文\ \的Setup.exe ” = 的“ C : \ Program Files文件\微软ActiveSync \ rapimgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ rapimgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的RAPI经理 的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” = C的: \ Program Files文件\微软ActiveSync \ wcescomm.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的连接管理器 的“ C : \ Program Files文件\微软ActiveSync \ WCESMgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ WCESMgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的应用 “ % windir % \ \网络诊断\ \ xpnetdiag.exe ” = 的“ C : \ \ Program Files文件\ \ Skype的\ \电话\ \ Skype.exe ” = 的“ C : \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” = 的“ C : \ \ Program Files文件\ \ AIM6 \ \ aim6.exe ” = 的“ C : \ \ Program Files文件\ \卓悦\ \ mDNSResponder.exe ” = 的“ C : \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ” = [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单] “ 6112 : TCP连接” = 6112 :为tcp :暗黑破坏神2 “ 26675 : TCP连接” = 26675 :为tcp : 169.254.2.0/255.255.255.0 :启用: ActiveSync的服务 “ 58398 : TCP连接” = 58398 :为tcp :潘多媒体助推器 “ 58398 : UDP连接” = 58398 : UDP连接:潘多媒体助推器 R0 klbg ;卡巴斯基实验室启动卫队司机; ç : \窗户\ system32 \驱动程序\ klbg.sys [ 2008年1月29日下午6时29 33808 ] 受体1 SASDIFSV ; SASDIFSV ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASDIFSV.SYS [ 2008年2月29日下午4时03分9968 ] 受体1 SASKUTIL ; SASKUTIL ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASKUTIL.SYS [ 2008年2月29日下午4时03分55024 ] 受体1 UGURU ; UGURU ; ç : \窗户\ system32 \驱动程序\ uGuru.sys [ 2008年5月12日上午05时23 14592 ] R3的KLFLTDEV ;卡巴斯基实验室KLFltDev ; ç : \窗户\ system32 \驱动程序\ klfltdev.sys [ 2008年3月13日下午7点02分26640 ] R3的klim5 ;卡巴斯基反病毒的NDIS过滤器; ç : \窗户\ system32 \驱动程序\ klim5.sys [ 2008年3月25日下午八时07 24592 ] 二Cubase32 ; Cubase32 ; ç : \窗户\ system32 \驱动程序\古巴se32.sys [ 2009年4月5日下午7点02 11808 ] 三SASENUM ; SASENUM ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASENUM.SYS [ 2006年2月16号下午4点51分4096 ] 。 内容'计划任务的文件夹 2009年6月13日ç : \窗户\任务\ AppleSoftwareUpdate.job - ç : \ Program Files文件\苹果软件更新\ SoftwareUpdate.exe [ 2008年7月30号17点34分] 2009年6月25日ç : \窗户\任务\ Malwarebytes '反Malware.job - ç : \ progra 〜 1 \ MALWAR 〜 1 \ mbam.exe [ 2008年5月19号00:52 ] 。 。 补充扫描------- ------- 。 uStart页= hxxp : / / google.com / 即:添加到横幅广告拦截器- ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ ie_banner_deny.htm 即:汇出至Microsoft Excel - ç : \ progra 〜 1 \微〜 2 \ Office10 \ EXCEL.EXE/3000 柴油机微粒过滤器: Microsoft XML分析器的Java -文件: / /炭: \窗户\爪哇\班\ xmldso.cab 柴油机微粒过滤器: ( 463ED66E - 431B - 11D2 - ADB0 - 0080C83DA4EB ) - hxxps : / / w3s.webmoney.ru/WMAcceptor.dll 法国法郎- ProfilePath - 。 ************************************************** ************************ catchme 0.3.1398 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer , http://www.gmer.net 的rootkit扫描2009年6月25日19:11 2600年5月1号的Windows Service Pack 3中的NTFS 扫描隐藏的进程... 扫描隐藏的自动启动项... 扫描隐藏的文件... 扫描顺利完成 隐藏的文件: 0 ************************************************** ************************ 。 --------------------- ---------------------锁定注册表项 [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 47629D4 β - 2AD3 - 4e50 - B716 - A66C15C63153 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ cd042efbbd7f7af1647644e76e06692b ” =十六进制: 2e , e8 , E1类, 00 ,电子束, 16,2 b ,日,随后, 66,8男, 81岁的素D1 , 34 ,氘, d9 ,的C8 , 28,51 ,自动对焦, B0的, 29日, 3号, 98号,解答9 ,补体C3 ,奥迪A8 , 8A条, 45 ,维生素D3 , 39,87 , E2类, 63,26 ,车队, 3楼的C8 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 604BB98一个A94F - 4a5c - A67C - D8D3582C741C ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ bca643cdc5c2726b20d2ecedcc62c59b ” =十六进制: 71,3 b , 04,66 , 8B条, 46,0天, 96 , c2 , c2 ,直流, E4类,奥迪A8 , 65,45,2英, 71,3 b , 04,66,8 b , 46,0天, 96,21,7 ć ,机管局, e9 ,奥迪A8 , 42 , 2楼, C4和6A条, 9C条,一批D6 , 61 ,自动对焦, 45 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 684373F β - 9CD8 - 4e47 - B990 - 5A4466C16034 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 2c81e34222e8052573023a60d06dd016 ” =十六进制: 25 ,大,欧共体, 7e , 55,20 ,碳九, 26岁,电子束,高速公路A7 ,东风,四维, 25 , c2 , 62,83,25 ,大,欧共体, 7e , 55,20 ,碳九, 26日, 3号, F2代, 65岁的男女, 80,3 é , E4类,适用于F6 ,以后, 7C条, 85 , e0 , 43 , D4类, \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 74554CC名D - F60F - 4708 - AD98 - D0152D08C8B9 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 2582ae41fb52324423be06337561aa48 ” =十六进制: 3E型, 1e , 9e , e0 , 57,5 1 , 93,61 , F2代,格A1中,格B4 , 61,82 , BB心跳,抗体, D 5类, 3E型, 1e , 9e , e0 , 57,5 1 , 93,61,6女, 0e ,第5c ,科,教统会, 4楼型E7 , 8d , 86,8 ć , 21,01 ,是, 91 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 7EB537F 9 - A916 - 4339 - B91B - DED8E83632C0 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ caaeda5fd7a9ed7697d9686d4b818472 ” =十六进制:裁谈会, 44 ,镉,的B9 ,解答6 , 33,6 ć ,裁谈会, 91 , D7类,第7A , 29,97 , C7处理器, 40,4 b ,镉, 44 ,镉,的B9 ,解答6 , 33,6 ç ,镉, 49,19,95,11,6男,交流, 43,68 ,是F5 , 1 ,四维, 73 ,奥迪A8 , 13 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 948395E 8 - 7A56 - 4fb1 - 843B - 3E52D94DB145 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ a4a1bcf2cc2b8bc3716b74b2b4522f5d ” =十六进制:东风, 20,58,62 , 78,6 b ,比照,的C8 , 7e , 4A条, D 5类, 24,8天, 3A条,第49 , C4和B0的, 18日,海关,高速公路A7 , 3楼, 8d , 37 , A4规定, 29 , B5轿车, 53,9 1 ,维生素D3及4A , 02,51 ,东风, 20,58,62,78,6 b , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( AC3ED30乙, 6F1A - 4bfc - A4F6 - 2EBDCCD34C19 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 4d370831d2c43cd13623e232fed27b7b ” =十六进制: 31,77 , E1类,巴中, B1 ,按F8 , 68,02,09 , D4类, 0 B大小的, F3的, 53 , 公元前62,26,31,77 , E1类,广管局中, B1 ,按F8 , 68,02,77 ,补体C3 ,日,胶质瘤, 98,79 , 54,2 ç蛋白原,高速公路A7 , 78 , E6 ,相机12,2楼\ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( DE5654C一个EB84 - 4df9 - 915B - 37E957082D6D ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 1d68fe701cdea33e477eb204b76f993d ” =十六进制: 01,3 1 , 48岁, FC , e8 , 04,4 1 ,车队,东风, 00 , D 5类, 43页, F8键,取消, F3的, 83,6 ć , 56,8 b , a0 , 85,96 ,抗体, D 5类, 19,39,90 ,大, 30 , 2A型, 05,01,3一, 48岁, FC , e8 , 04 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( E39C35E 8 - 7488 - 4926 - 92B2 - 2F94619AC1A5 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 1fac81b91d8e3c5aa4b0a51804d844a3 ” =十六进制:适用于F6 ,正月, 4E条, 58 , 98,5 b , 89 ,碳九, 6A条,电子艺界,按F8 , C4和82 , 第1a , 7层,第8点, 51岁,长发, 6e , 91,28,9 é , 14日,消委会, 82 ,交流,第7A , 83 ,电子束, 90 , 81 ,胶质瘤,于F6 ,正月, 4E条, 58,98,5 b , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( EACAFCE 5 - B0E2 - 4288 - 8073 - C02FF9619B6F ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ f5f62a6129303efb32fbe080bb27835b ” =十六进制:三维, CE认证,公司, 26 ,二维, 45 ,机管局, 78,0 b ,钡, 41,78,8 1 , 碳九, 90,04中, B1 ,镉, 45,5 1 ,奥迪A8 , C4和F8键,的B9 , 6B型,胶质瘤,转A2 , 44,8天, 59岁,解答6 , F5键,三维,行政长官,电子艺界, 26,2天, 45 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( F8F02AD名D - 7366 - 4186 - 9488 - C21CB8B3DCEC ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ fd4e2e1a3940b94dceb5a6a021f2e3c6 ” =十六进制: 2A型, B7分子,连铸, B5轿车,的B9 , 7楼, 41 ,型E7 ,日, 45,06,19,5英, 30,20 , E6 ,相机E3展, 0e , 66 , D 5类,电子束,公元前2楼型,素E1 , 69,31 ,交流,日,钡, 7楼, 02,2 1 , B7分子,连铸, B5轿车,的B9 , 7楼\ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( FEE45DE 2 - A467 - 4bf9 - BF2D - 1411304BCD84 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 8a8aec57dd6508a385616fbc86791ec2 ” =十六进制:发,电子艺界, 66,7男, D4类, 3B款型, 70 ,第5条, 97,0 1 , 6e , 8A条, 比照, 52,73 ,花园,电子艺界, 66,7男, D4类, 3B款型, 70,30,24 ,电子艺界, 79岁的格A1 , 7B条, 08,64,6 ć , 43,2天, 1e ,机管局, 22 , \ [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Installer的\用户数据\本地\成分指标\氢€ |年年¤ • € |恶•阿〜 * ] “ AB141C35E9F4BF344B9FC010BB17F68A ” = “ ” 。 ---------------------的DLL加载运行的进程--------------------- - - - - - - - > “ winlogon.exe ' ( 1028 ) ç : \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL ç : \窗户\ system32 \ klogon.dll - - - - - - - > “ Explorer.exe的' ( 212 ) ç : \窗户\ system32 \ WPDShServiceObj.dll ç : \窗户\ system32 \ PortableDeviceTypes.dll ç : \窗户\ system32 \ PortableDeviceApi.dll 。 ------------------------其他正在运行的进程----------------------- - 。 ç : \ Program Files文件\创新\共享文件\ CTAudSvc.exe ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe ç : \ Program Files文件\卓悦\ mDNSResponder.exe ç : \窗户\ system32 \ nvsvc32.exe ç : \窗户\ system32 \ PnkBstrA.exe ç : \窗户\ system32 \ rundll32.exe ç : \ Program Files文件\创新\声霸卡X - Fi \娱乐中心\ EAXLoadr.exe ç : \ progra 〜 1 \微〜 4 \ rapimgr.exe ç : \ Program Files文件\苹果\斌\ iPodService.exe ç : \窗户\ system32 \ CTxfispi.exe ç : \窗户\ system32 \ wscntfy.exe 。 ************************************************** ************************ 。 完成时间: 2009年6月25日19:14 -机器重启 ComboFix -隔离- files.txt 2009年6月25日23:14 ComboFix2.txt 2009年6月24日23:29 ComboFix3.txt 2008年5月20号17:05 预运行: 67819319296字节免费 后运行: 67883995136字节免费 当前= 3默认= 3失败= 1 LastKnownGood = 4套= 1,2,3,4 310 --- EOF分析--- 2009年6月11日03:03 |
|
#9
2009年6月25日, 18时13
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! 对不起,我忽略了一些东西。 删除这些文件/文件夹,如下: 1 。转到 开始 “ 跑 “型 记事本 并点击 行 打开记事本。 它 必须 将记事本,而不是写字板。 2 。复制文字在下面代码中强调的所有文字和紧迫 按Ctrl + C 码: KillAll : : RegLock : : [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 47629D4B - 2AD3 - 4e50 - B716 - A66C15C63153 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 604BB98A - A94F - 4a5c - A67C - D8D3582C741C ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 684373FB - 9CD8 - 4e47 - B990 - 5A4466C16034 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 74554CCD - F60F - 4708 - AD98 - D0152D08C8B9 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 7EB537F9 - A916 - 4339 - B91B - DED8E83632C0 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 948395E8 - 7A56 - 4fb1 - 843B - 3E52D94DB145 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( AC3ED30B - 6F1A - 4bfc - A4F6 - 2EBDCCD34C19 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( DE5654CA - EB84 - 4df9 - 915B - 37E957082D6D ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( E39C35E8 - 7488 - 4926 - 92B2 - 2F94619AC1A5 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( EACAFCE5 - B0E2 - 4288 - 8073 - C02FF9619B6F ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \软件\ Classes下\的CLSID \ ( F8F02ADD - 7366 - 4186 - 9488 - C21CB8B3DCEC ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( FEE45DE2 - A467 - 4bf9 - BF2D - 1411304BCD84 ) \ InprocServer32 * ] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \ CurrentVersion \ Installer的\用户数据\本地\组件\氢€ |年年¤ • € |恶•阿〜 * ] 4 。然后单击 文件 “ 保存 5 。将该文件命名为 CFScript.txt -将文件保存到桌面 6 。然后拖动 CFScript (按住鼠标左键的同时拖动文件)拖放(释放鼠标左键)到ComboFix.exe因为你看到在下面的截图。 重要提示: 执行此指令仔细! ComboFix将开始执行,只要按照提示操作。 之后重新启动(如果它要求重新启动) ,这将会产生一个日志你。 邮报记录( Combofix.txt )在您下一次的答复。 注: 不要mouseclick ComboFix的窗口同时运行。可能会导致您的系统冻结 ---------- 也让我知道的计算机运行的是现在。 。
__________________ |
|
#10
2009年6月26日, 00:59
| |||
| |||
| 感染MultiPacked.Multi.Generic恶意软件! ComboFix 09-06-23.01 -鼠标2009年6月26日3:47.6 - NTFSx86 Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.2046.1564 [格林尼治标准时间-4:00 ] 运行中: C : \文件和设置\鼠标\桌面\ ComboFix.exe 命令交换机使用:目标: c : \文件和设置\鼠标\桌面\ CFScript.txt 影音:卡巴斯基互联网安全*在访问扫描禁用* (更新) ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 防火墙:卡巴斯基互联网安全*残疾人* ( 2C4D4BC6 - 0793 - 4956 - A9F9 - E252435469C0 ) 。 (((((((((((((((((((((((((((((((((((((((其他缺失))))))))) )))))))))))))))))))))))))))))))))))))))) 。 ç : \窗户\ system32 \驱动程序\ kl1.sys 。 (((((((((((((((((((((((((创建的文件从2009年5月26日至2009年6月26日))))))))))) )))))))))))))))))))) 。 2009年6月24日23时28分。 2009年6月24日23:28 --------直流----的W - ç : \窗户\ system32 \ dllcache \缓存 2009年6月23日18:47 。 2009年6月24日16时37 117760 ----胡碳: \文件和设置\鼠标\应用数据\ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL 2009年6月17号17点58分。 2009年6月17号18:10 -------- d -----瓦特碳: \ Program Files文件\ LSoft技术 2009年6月13日16时32分。 2009年6月13日16时32 -------- d -----瓦特碳: \ Program Files文件\苹果 2009年6月13日16时32分。 2009年6月13日16时32 -------- d -----瓦特碳: \ Program Files文件\的iTunes 2009年6月13日16时28分。 2009年6月13日16时29 -------- d -----瓦特碳: \ Program Files文件\ QuickTime的 2009年6月13日16:23 。 2009年6月13日16:23 75048 ----胡碳: \文件和设置\所有用户\应用数据\苹果电脑\ Installer缓存\的iTunes 8.2.0.23 \ SetupAdmin.exe 09年6月10日23:14 。 2001年8月18日02:36 462848 - C部分-胡碳: \窗户\ system32 \ dllcache \ a3dapi.dll 09年6月10日23:14 。 2001年8月18日02:36 462848 ----胡碳: \窗户\ system32 \ a3dapi.dll 09年6月10日23:13 。 2009年6月11号07:20 -------- d -----瓦特碳: \ Descent3 09年6月10日23:13 。 09年6月10日23:13 -------- d -----瓦特碳: \游戏 09年6月10日20时13分。 2009年5月7日15:32 345600碳----瓦特碳: \窗户\ system32 \ dllcache \ localspl.dll 09年6月10日20时13分。 2009年4月15日14:51 585216碳----瓦特碳: \窗户\ system32 \ dllcache \ rpcrt4.dll 。 (((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ) ) 。 2009年6月26日07:54 。 2008年5月16号03:35 -------- d -----瓦特碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室 2009年6月26日07:52 。 2008年5月16号03:35 761888 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox2.dat 2009年6月26日07:52 。 2008年5月16号03:35 64388 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox.idx 2009年6月26日07:52 。 2008年5月16号03:35 4571424 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox.dat 2009年6月26日07:52 。 2008年5月16号03:35 29696 -沙钨碳: \窗户\ system32 \驱动程序\ fidbox2.idx 2009年6月25日23时24分。 2008年1月29日22:29 33808 ----胡碳: \窗户\ system32 \驱动程序\ klbg.sys 2009年6月25日23时24分。 2008年5月16号03:36 94643 ----胡碳: \窗户\ system32 \驱动程序\ klick.dat 2009年6月25日23时24分。 2008年5月16号03:36 105395 ----胡碳: \窗户\ system32 \驱动程序\ klin.dat 2009年6月25日23时24分。 2009年2月5日00:58 33808 ----胡碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室\ AVP8 \数据\更新\临时文件\ temporaryFolder \ AutoPatches \ kav8exec \ 8.0.0.3 57 \ klbg.sys 2009年6月25日23时24分。 2008年7月17号23:08 213520 ----胡碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室\ AVP8 \数据\更新\临时文件\ temporaryFolder \ AutoPatches \ kav8exec \ 8.0.0.3 57 \ XP中\ klif.sys 2009年6月25日23时24分。 2008年7月17号23:08 861448 ----胡碳: \文件和设置\所有用户\应用数据\卡巴斯基实验室\ AVP8 \数据\更新\临时文件\ temporaryFolder \ AutoPatches \ kav8exec \ 8.0.0.3 57 \ updater.dll 2009年6月24日21:09 。 08年5月17日00:25 -------- d -----的W - ç : \的Documents and Settings \鼠标\应用数据\ LimeWire 2009年6月24日16时37分。 2008年5月19号02:02 -------- d -----瓦特碳: \ Program Files文件\ SUPERAntiSpyware 2009年6月23日19:00 。 2008年10月16号02:40 -------- d -----瓦特碳: \ Program Files文件\潘多网络 2009年6月23日18:59 。 2008年11月29日18:36 -------- d -----瓦特碳: \ Program Files文件\ palmOne的 2009年6月21日23:00 。 2009年2月9日03:50 138184 ----胡碳: \窗户\ system32 \驱动程序\ PnkBstrK.sys 2009年6月21日23:00 。 2009年2月9日03:50 183112 ----胡碳: \窗户\ system32 \ PnkBstrB.exe 2009年6月18日22时35分。 2008年6月17日15:40 -------- d -----瓦特碳: \ Program Files文件\暗黑破坏神II 2009年6月18日22:31 。 2008年6月2日00:09 -------- d ---胡碳: \文件和设置\所有用户\应用数据的\ Temp 2009年6月17号22:51 。 08年5月15日04:41 -------- d -----的W - ç : \的Documents and Settings \鼠标\应用数据\ uTorrent 2009年6月13日16时32分。 08年8月19日04:10 -------- d -----瓦特碳: \ Program Files文件\共同文件\苹果 2009年5月17号20:58 。 2009年5月17号20:58 -------- d -----瓦特碳: \ Program Files文件\ LG电子 2009年5月17号20:58 。 2008年5月12号09:20 --------数d - h -瓦特碳: \ Program Files文件\ InstallShield安装信息 2009年5月17号20:57 。 2008年5月12号09:20 -------- d -----瓦特碳: \ Program Files文件\共同文件\ InstallShield 2009年5月7日15点32分。 2003年3月31日12:00 345600 ----胡碳: \窗户\ system32 \ localspl.dll 2009年4月29日04:46 。 2003年3月31日12:00 666624 ----胡碳: \窗户\ system32 \ wininet.dll 2009年4月29日04:46 。 2008年5月16号21:18 81920 ------瓦特碳: \窗户\ system32 \ ieencode.dll 2009年4月28日10:48 。 08年5月17日00:24 -------- d -----瓦特碳: \ Program Files文件\爪哇 2009年4月28日10时47分。 2009年4月28日10:47 152576 ----胡碳: \文件和设置\鼠标\应用数据\孙\的Java \ jre1.6.0_13 \ lzma.dll 2009年4月17日12时26分。 2003年3月31日12:00 1847168 ----胡碳: \窗户\ system32 \ Win32k.sys中 2009年4月15日14:51 。 2003年3月31日12:00 585216 ----胡碳: \窗户\ system32 \ rpcrt4.dll 2009年4月8日06:13 。 2009年4月8日06:13 45056 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ MapleStory.exe1_B5F7ED63E4D54BE694F0 F06A2CCC5374.exe 2009年4月8日06:13 。 2009年4月8日06:13 45056 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ MapleStory.exe_B5F7ED63E4D54BE694F0F 06A2CCC5374_1.exe 2009年4月8日06:13 。 2009年4月8日06:13 10134 ----氩ç : \的Documents and Settings \鼠标\应用数据\微软\安装\ ( B5F7ED63 - E4D5 - 4BE6 - 94F0 - F06A2CCC5374 ) \ ARPPRODUCTICON.exe 2009年4月5日23时39分。 2008年5月16号02:24 23032 ----胡碳: \文件和设置\鼠标\本地设置\应用数据\ GDIPFONTCACHEV1.DAT 2009年4月5日23:27 。 2009年4月5日23:28 5433520 ----胡碳: \窗户\ system32 \ SpoonUninstall.exe 。 ((((((((((((((((((((((((((((( SnapShot@2009-06-24_23.25.37 )))))))))))) ))))))))))))))))))))))))))))) 。 + 2008年3月26日00:07 。 2008年3月26日00:07 24592 ç : \窗户\ system32 \驱动程序\ klim5.sys - 2007年12月13号17:28 。 2008年3月26日00:07 24592 ç : \窗户\ system32 \驱动程序\ klim5.sys + 2009年6月24日23:28 。 2008年10月16号19:09 51224 ç : \窗户\ system32 \ dllcache \缓存\ wuauclt.exe + 2009年6月24日23:28 。 2008年4月14日00:12 82432 ç : \窗户\ system32 \ dllcache \缓存\ ws2_32.dll + 2009年6月24日23:28 。 2008年4月14日00:12 26112 ç : \窗户\ system32 \ dllcache \缓存\ userinit.exe + 2009年6月24日23:28 。 2008年4月14日00:12 14336 ç : \窗户\ system32 \ dllcache \缓存\ svchost.exe + 2009年6月24日23:28 。 2008年4月14日00:12 57856 ç : \窗户\ system32 \ dllcache \缓存\ spoolsv.exe + 2009年6月24日23:28 。 2008年4月14日00:12 17408 ç : \窗户\ system32 \ dllcache \缓存\ powrprof.dll + 2009年6月24日23:28 。 2008年4月14日00:12 13312 ç : \窗户\ system32 \ dllcache \缓存\ Lsass.exe中 + 2009年6月24日23:28 。 2008年4月13号18:39 24576 ç : \窗户\ system32 \ dllcache \缓存\ kbdclass.sys + 2009年6月24日23:28 。 2008年4月13号18:53 36608 ç : \窗户\ system32 \ dllcache \缓存\ ip6fw.sys + 2009年6月24日23:28 。 2008年4月14日00:12一点五三六万ç : \窗户\ system32 \ dllcache \缓存\ Ctfmon.exe会 - 2008年4月18号17:53 。 2009年2月5日00:58 213520 ç : \窗户\ system32 \驱动程序\ klif.sys + 2008年4月18号17:53 。 2009年6月25日23:24 213520 ç : \窗户\ system32 \驱动程序\ klif.sys + 2009年6月24日23:28 。 2008年4月14日00:12五十零万七千九百〇四ç : \窗户\ system32 \ dllcache \缓存\ winlogon.exe + 2009年6月24日23:28 。 2009年4月29日04:46 666624 ç : \窗户\ system32 \ dllcache \缓存\ wininet.dll + 2009年6月24日23:28 。 2008年4月14日00:12 578560 ç : \窗户\ system32 \ dllcache \缓存\的User32.dll + 2009年6月24日23:28 。 2008年4月14日00:12 295424 ç : \窗户\ system32 \ dllcache \缓存\ termsrv.dll + 2009年6月24日23:28 。 2008年6月20号11点51分361600 ç : \窗户\ system32 \ dllcache \缓存\ tcpip.sys + 2009年6月24日23:28 。 2009年2月6日11:11 110592 ç : \窗户\ system32 \ dllcache \缓存\ Services.exe的 + 2009年6月24日23:28 。 2008年4月13号19:20 182656 ç : \窗户\ system32 \ dllcache \缓存\ ndis.sys + 2009年6月24日23:28 。 2009年3月21日14时○六989696 ç : \窗户\ system32 \ dllcache \缓存\ Kernel32.dll中 + 2009年6月24日23:28 。 2008年4月14日00:11一十一点〇 〇八万ç : \窗户\ system32 \ dllcache \缓存\ imm32.dll + 2009年6月24日23:28 。 2008年4月14日00:11 167936 ç : \窗户\ system32 \ dllcache \缓存\ appmgmts.dll + 2009年6月24日23:28 。 2008年4月14日00:12 1614848 ç : \窗户\ system32 \ dllcache \缓存\ sfcfiles.dll + 2009年6月24日23:28 。 2009年2月6日11点06分2145280 ç : \窗户\ system32 \ dllcache \缓存\的Ntoskrnl.exe + 2009年6月24日23:28 。 2009年2月6日10:32 2023936 ç : \窗户\ system32 \ dllcache \缓存\ ntkrnlpa.exe + 2009年6月24日23:28 。 2008年4月14日00:12 1033728 ç : \窗户\ system32 \ dllcache \缓存\ Explorer.exe的 。 (((((((((((((((((((((((((((((((((((((注册装载点)))))))))) )))))))))))))))))))))))))))))))))))))))) 。 。 *注意*空白条目与合法默认项不会显示 REGEDIT4 [ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行] “ Ctfmon.exe会” =的“ C : \窗户\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ] 的“ H / PC连接代理” =的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” [ 06年11月13号一百二十八点九万] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行] “ NvCplDaemon ” =的“ C : \窗户\ system32 \ NvCpl.dll ” [ 2008年5月3日13529088 ] “ CTDVDDET ” =的“ C : \ Program Files文件\创新\声霸卡X - Fi \ DVDAudio \ CTDVDDET.EXE ” [ 2003年6月18日45056 ] “ RCSystem ” =的“ C : \ Program Files文件\创新\共享文件\模块装载机\ DLLML.exe ” [ 2005年11月4日49152 ] “ AudioDrvEmulator ” =的“ C : \ Program Files文件\创新\共享文件\模块装载机\ DLLML.exe ” [ 2005年11月4号49152 ] “ VolPanel ” =的“ C : \ Program Files文件\创新\声霸卡X - Fi \卷小组\ VolPanlu.exe ” [ 2006年7月28日122880 ] “ NvMediaCenter ” =的“ C : \窗户\ system32 \ NvMcTray 。 DLL的” [ 2008年5月3日86016 ] “素” =的“ C : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009 \ avp.exe ” [ 2009年2月5日201992 ] “ QuickTime的工作” =的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” [ 2009年5月26日413696 ] “ AppleSyncNotifier ” =的“ C : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleSyncNotifier.exe ” [ 2009年5月14日177472 ] “ iTunesHelper ” =的“ C : \ Program Files文件\的iTunes \ iTunesHelper.exe ” [ 2009年6月5日292136 ] “ CTHelper ” = “ CTHELPER.EXE ” - ç : \窗户\ system32 \ CtHelper.exe [ 2008年2月21日19456 ] “ CTxfiHlp ” = “ CTXFIHLP.EXE ” - ç : \窗户\ system32 \ Ctxfihlp.exe [ 2008年2月21日19968 ] [ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ] “ ( 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ) ” =的“ C : \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2009年1月1日77824 ] [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ! SASWinLogon ] 2009年1月1日04:29 356352 ----胡碳: \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL [ HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\ SafeBoot \最小\ Wdf01000.sys ] @ = “驱动器” [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ Adobe公司伽玛Loader.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\ Adobe公司伽玛Loader.lnk 备份= C的: \窗户\藻酸双酯钠\ Adobe公司伽玛Loader.lnkCommon启动 [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ HOTSYNCSHORTCUTNAME.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\ HOTSYNCSHORTCUTNAME.lnk 备份= C的: \窗户\藻酸双酯钠\ HOTSYNCSHORTCUTNAME.lnkCommo ñ启动 [ HKLM \ 〜 \ startupfolder \ ç : ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^微软Office.lnk ] = C的路径: \文件和设置\所有用户\开始菜单\程序\启动\微软Office.lnk 备份= C的: \窗户\藻酸双酯钠\微软Office.lnkCommon启动 [ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \服务] “ StyleXPService ” = 2 ( 0x2 ) “ PLFlash DeviceIoControl服务” = 2 ( 0x2 ) “ NMIndexingService ” = 3 ( 0x3 ) “尼禄BackItUp调度3 ” = 2 ( 0x2 ) “山东” = 2 ( 0x2 ) “ ZuneNetworkSvc ” = 3 ( 0x3 ) “ WMPNetworkSvc ” = 3 ( 0x3 ) “ npkcmsvc ” = 2 ( 0x2 ) “ JavaQuickStarterService ” = 2 ( 0x2 ) “ IDriverT ” = 3 ( 0x3 ) “ iPod服务” = 3 ( 0x3 ) “ idsvc ” = 3 ( 0x3 ) “ Adobe公司长征服务” = 3 ( 0x3 ) [ HKEY_LOCAL_MACHINE \软件\微软\安全中心] “ AntiVirusOverride ” =的DWORD : 00000001 [ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ KasperskyAntiVirus ] “ DisableMonitoring ” =的DWORD : 00000001 [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile ] “ EnableFirewall ” = 0 ( 0x0 ) [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单] “ % windir % \ \ system32 \ \ sessmgr.exe ” = 的“ C : \ \ Program Files文件\ \ uTorrent \ \ uTorrent.exe ” = 的“ C : \ \ Program Files文件\ \ Veoh网络\ \ Veoh \ \ VeohClient.exe ” = 的“ C : \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ” = 的“ C : \ \ Program Files文件\ \塞拉利昂\ \恐惧\ \ FEAR.exe ” = 的“ C : \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Dx9.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Dx10.exe ” = 的“ C : \ \ Program Files文件\ \育碧\ \刺客信条\ \ AssassinsCreed_Launcher.exe ” = 的“ C : \ \的Documents and Settings \ \所有用户\ \应用程序数据\ \卡巴斯基实验室的安装程序文件\ \卡巴斯基互联网安全2009年\ \英文\ \的Setup.exe ” = 的“ C : \ Program Files文件\微软ActiveSync \ rapimgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ rapimgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的RAPI经理 的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” = C的: \ Program Files文件\微软ActiveSync \ wcescomm.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的连接管理器 的“ C : \ Program Files文件\微软ActiveSync \ WCESMgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ WCESMgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的应用 “ % windir % \ \网络诊断\ \ xpnetdiag.exe ” = 的“ C : \ \ Program Files文件\ \ Skype的\ \电话\ \ Skype.exe ” = 的“ C : \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” = 的“ C : \ \ Program Files文件\ \ AIM6 \ \ aim6.exe ” = 的“ C : \ \ Program Files文件\ \卓悦\ \ mDNSResponder.exe ” = 的“ C : \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ” = [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单] “ 6112 : TCP连接” = 6112 :为tcp :暗黑破坏神2 “ 26675 : TCP连接” = 26675 :为tcp : 169.254.2.0/255.255.255.0 :启用: ActiveSync的服务 “ 58398 : TCP连接” = 58398 :为tcp :潘多媒体助推器 “ 58398 : UDP连接” = 58398 : UDP连接:潘多媒体助推器 R0 klbg ;卡巴斯基实验室启动卫队司机; ç : \窗户\ system32 \驱动程序\ klbg.sys [ 2008年1月29日下午6时29 33808 ] 受体1 SASDIFSV ; SASDIFSV ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASDIFSV.SYS [ 2008年2月29日下午4时03分9968 ] 受体1 SASKUTIL ; SASKUTIL ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASKUTIL.SYS [ 2008年2月29日下午4时03分55024 ] 受体1 UGURU ; UGURU ; ç : \窗户\ system32 \驱动程序\ uGuru.sys [ 2008年5月12日上午05时23 14592 ] R3的KLFLTDEV ;卡巴斯基实验室KLFltDev ; ç : \窗户\ system32 \驱动程序\ klfltdev.sys [ 2008年3月13日下午7点02分26640 ] R3的klim5 ;卡巴斯基反病毒的NDIS过滤器; ç : \窗户\ system32 \驱动程序\ klim5.sys [ 2008年3月25日下午八时07 24592 ] 二Cubase32 ; Cubase32 ; ç : \窗户\ system32 \驱动程序\古巴se32.sys [ 2009年4月5日下午7点02 11808 ] 三SASENUM ; SASENUM ; ç : \ Program Files文件\ SUPERAntiSpyware \ SASENUM.SYS [ 2006年2月16号下午4点51分4096 ] 。 内容'计划任务的文件夹 2009年6月13日ç : \窗户\任务\ AppleSoftwareUpdate.job - ç : \ Program Files文件\苹果软件更新\ SoftwareUpdate.exe [ 2008年7月30号17点34分] 2009年6月26日ç : \窗户\任务\ Malwarebytes '反Malware.job - ç : \ progra 〜 1 \ MALWAR 〜 1 \ mbam.exe [ 2008年5月19号00:52 ] 。 。 补充扫描------- ------- 。 uStart页= hxxp : / / google.com / 即:添加到横幅广告拦截器- ç : \ Program Files文件\卡巴斯基实验室\卡巴斯基互联网安全2009年\ ie_banner_deny.htm 即:汇出至Microsoft Excel - ç : \ progra 〜 1 \微〜 2 \ Office10 \ EXCEL.EXE/3000 柴油机微粒过滤器: Microsoft XML分析器的Java -文件: / /炭: \窗户\爪哇\班\ xmldso.cab 柴油机微粒过滤器: ( 463ED66E - 431B - 11D2 - ADB0 - 0080C83DA4EB ) - hxxps : / / w3s.webmoney.ru/WMAcceptor.dll 法国法郎- ProfilePath - 。 ************************************************** ************************ catchme 0.3.1398 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer , http://www.gmer.net 的rootkit扫描2009年6月26日03:54 2600年5月1号的Windows Service Pack 3中的NTFS 扫描隐藏的进程... 扫描隐藏的自动启动项... 扫描隐藏的文件... 扫描顺利完成 隐藏的文件: 0 ************************************************** ************************ 。 --------------------- ---------------------锁定注册表项 [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 47629D4 β - 2AD3 - 4e50 - B716 - A66C15C63153 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ cd042efbbd7f7af1647644e76e06692b ” =十六进制: 2e , e8 , E1类, 00 ,电子束, 16,2 b ,日,随后, 66,8男, 81岁的素D1 , 34 ,氘, d9 ,的C8 , 28,51 ,自动对焦, B0的, 29日, 3号, 98号,解答9 ,补体C3 ,奥迪A8 , 8A条, 45 ,维生素D3 , 39,87 , E2类, 63,26 ,车队, 3楼的C8 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 604BB98一个A94F - 4a5c - A67C - D8D3582C741C ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ bca643cdc5c2726b20d2ecedcc62c59b ” =十六进制: 71,3 b , 04,66 , 8B条, 46,0天, 96 , c2 , c2 ,直流, E4类,奥迪A8 , 65,45,2英, 71,3 b , 04,66,8 b , 46,0天, 96,21,7 ć ,机管局, e9 ,奥迪A8 , 42 , 2楼, C4和6A条, 9C条,一批D6 , 61 ,自动对焦, 45 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 684373F β - 9CD8 - 4e47 - B990 - 5A4466C16034 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 2c81e34222e8052573023a60d06dd016 ” =十六进制: 25 ,大,欧共体, 7e , 55,20 ,碳九, 26岁,电子束,高速公路A7 ,东风,四维, 25 , c2 , 62,83,25 ,大,欧共体, 7e , 55,20 ,碳九, 26日, 3号, F2代, 65岁的男女, 80,3 é , E4类,适用于F6 ,以后, 7C条, 85 , e0 , 43 , D4类, \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 74554CC名D - F60F - 4708 - AD98 - D0152D08C8B9 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 2582ae41fb52324423be06337561aa48 ” =十六进制: 3E型, 1e , 9e , e0 , 57,5 1 , 93,61 , F2代,格A1中,格B4 , 61,82 , BB心跳,抗体, D 5类, 3E型, 1e , 9e , e0 , 57,5 1 , 93,61,6女, 0e ,第5c ,科,教统会, 4楼型E7 , 8d , 86,8 ć , 21,01 ,是, 91 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 7EB537F 9 - A916 - 4339 - B91B - DED8E83632C0 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ caaeda5fd7a9ed7697d9686d4b818472 ” =十六进制:裁谈会, 44 ,镉,的B9 ,解答6 , 33,6 ć ,裁谈会, 91 , D7类,第7A , 29,97 , C7处理器, 40,4 b ,镉, 44 ,镉,的B9 ,解答6 , 33,6 ç ,镉, 49,19,95,11,6男,交流, 43,68 ,是F5 , 1 ,四维, 73 ,奥迪A8 , 13 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( 948395E 8 - 7A56 - 4fb1 - 843B - 3E52D94DB145 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ a4a1bcf2cc2b8bc3716b74b2b4522f5d ” =十六进制:东风, 20,58,62 , 78,6 b ,比照,的C8 , 7e , 4A条, D 5类, 24,8天, 3A条,第49 , C4和B0的, 18日,海关,高速公路A7 , 3楼, 8d , 37 , A4规定, 29 , B5轿车, 53,9 1 ,维生素D3及4A , 02,51 ,东风, 20,58,62,78,6 b , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( AC3ED30乙, 6F1A - 4bfc - A4F6 - 2EBDCCD34C19 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 4d370831d2c43cd13623e232fed27b7b ” =十六进制: 31,77 , E1类,巴中, B1 ,按F8 , 68,02,09 , D4类, 0 B大小的, F3的, 53 , 公元前62,26,31,77 , E1类,广管局中, B1 ,按F8 , 68,02,77 ,补体C3 ,日,胶质瘤, 98,79 , 54,2 ç蛋白原,高速公路A7 , 78 , E6 ,相机12,2楼\ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( DE5654C一个EB84 - 4df9 - 915B - 37E957082D6D ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 1d68fe701cdea33e477eb204b76f993d ” =十六进制: 01,3 1 , 48岁, FC , e8 , 04,4 1 ,车队,东风, 00 , D 5类, 43页, F8键,取消, F3的, 83,6 ć , 56,8 b , a0 , 85,96 ,抗体, D 5类, 19,39,90 ,大, 30 , 2A型, 05,01,3一, 48岁, FC , e8 , 04 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( E39C35E 8 - 7488 - 4926 - 92B2 - 2F94619AC1A5 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 1fac81b91d8e3c5aa4b0a51804d844a3 ” =十六进制:适用于F6 ,正月, 4E条, 58 , 98,5 b , 89 ,碳九, 6A条,电子艺界,按F8 , C4和82 , 第1a , 7层,第8点, 51岁,长发, 6e , 91,28,9 é , 14日,消委会, 82 ,交流,第7A , 83 ,电子束, 90 , 81 ,胶质瘤,于F6 ,正月, 4E条, 58,98,5 b , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( EACAFCE 5 - B0E2 - 4288 - 8073 - C02FF9619B6F ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ f5f62a6129303efb32fbe080bb27835b ” =十六进制:三维, CE认证,公司, 26 ,二维, 45 ,机管局, 78,0 b ,钡, 41,78,8 1 , 碳九, 90,04中, B1 ,镉, 45,5 1 ,奥迪A8 , C4和F8键,的B9 , 6B型,胶质瘤,转A2 , 44,8天, 59岁,解答6 , F5键,三维,行政长官,电子艺界, 26,2天, 45 , \ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( F8F02AD名D - 7366 - 4186 - 9488 - C21CB8B3DCEC ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ fd4e2e1a3940b94dceb5a6a021f2e3c6 ” =十六进制: 2A型, B7分子,连铸, B5轿车,的B9 , 7楼, 41 ,型E7 ,日, 45,06,19,5英, 30,20 , E6 ,相机E3展, 0e , 66 , D 5类,电子束,公元前2楼型,素E1 , 69,31 ,交流,日,钡, 7楼, 02,2 1 , B7分子,连铸, B5轿车,的B9 , 7楼\ [ HKEY_LOCAL_MACHINE \ Software \ Classes下\的CLSID \ ( FEE45DE 2 - A467 - 4bf9 - BF2D - 1411304BCD84 ) \ InprocServer32 * ] “的ThreadingModel ” = “公寓” @ =的“ C : \ \窗口\ \ system32 \ \的Ole32.dll ” “ 8a8aec57dd6508a385616fbc86791ec2 ” =十六进制:发,电子艺界, 66,7男, D4类, 3B款型, 70 ,第5条, 97,0 1 , 6e , 8A条, 比照, 52,73 ,花园,电子艺界, 66,7男, D4类, 3B款型, 70,30,24 ,电子艺界, 79岁的格A1 , 7B条, 08,64,6 ć , 43,2天, 1e ,机管局, 22 , \ [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Installer的\用户数据\本地\成分指标\氢€ |年年¤ • € |恶•阿〜 * ] “ AB141C35E9F4BF344B9FC010BB17F68A ” = “ ” 。 ---------------------的DLL加载运行的进程--------------------- - - - - - - - > “ winlogon.exe ' ( 672 ) ç : \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL ç : \窗户\ system32 \ klogon.dll - - - - - - - > “ Explorer.exe的' ( 288 ) ç : \窗户\ system32 \ WPDShServiceObj.dll ç : \窗户\ system32 \ PortableDeviceTypes.dll ç : \窗户\ system32 \ PortableDeviceApi.dll 。 ------------------------其他正在运行的进程----------------------- - 。 ç : \ Program Files文件\创新\共享文件\ CTAudSvc.exe ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe ç : \ Program Files文件\卓悦\ mDNSResponder.exe ç : \窗户\ system32 \ nvsvc32.exe ç : \窗户\ system32 \ PnkBstrA.exe ç : \窗户\ system32 \ rundll32.exe ç : \ Program Files文件\创新\声霸卡X - Fi \娱乐中心\ EAXLoadr.exe ç : \ progra 〜 1 \微〜 4 \ rapimgr.exe ç : \ Program Files文件\苹果\斌\ iPodService.exe ç : \窗户\ system32 \ wscntfy.exe ç : \窗户\ system32 \ CTxfispi.exe 。 ************************************************** ************************ 。 完成时间: 2009年6月26日3时五十七-机器重启 ComboFix -隔离- files.txt 2009年6月26日07:57 ComboFix2.txt 2009年6月25日23:14 ComboFix3.txt 2009年6月24日23:29 ComboFix4.txt 2008年5月20号17:05 预运行: 67824807936字节免费 后运行: 67888648192字节免费 当前= 3默认= 3失败= 1 LastKnownGood = 4套= 1,2,3,4 311 --- EOF分析--- 2009年6月11日03:03 |
 |
 |
| 书签 |
类似的主题 | ||||
| 线 | 线程入门 | 论坛 | 答复 | 最后发表 |
| 问题与木马下载通用9 | 奥工联 | 病毒,间谍软件和安全 | 7 | 2009年11月21日 十三时06分 |
| 多桌面应用? | 焕 | 通用软件聊天 | 6 | 2009年3月31日 01:30 |
| 通用Heur木马 | kathymer | 病毒,间谍软件和安全 | 10 | 2008年11月29号 12:58 |
| 感染Heur.trojan.generic请帮助 | ruffryder2k7 | 病毒,间谍软件和安全 | 17 | 2008年11月6日 10时39分 |
| 您可以同步的一般MP3播放器[没有一个iPod ]与iTunes ? | reyrey_angulo | 声音,扬声器和MP3播放器 | 1 | 2007年3月18日 15:39 |
| 螺纹工具 | |
| |
