|
|
#1
2008年09月9日, 10:31
| |||
| |||
| 您好所有, 我非常新的网站但难以置信感谢你在这里。本人偶然,因为最近感染对我妈妈的笔记型电脑(我们同意的) ,我不确定如何解决这个问题。 大约4天前, IE窗口的弹出式广告会突然出现一个气球在我的桌面工具栏的内容, “间谍软件检测!点击这里下载反间谍软件” 我跑赛门铁克和Spybot特殊和差别待遇的全扫描(不知道这种病毒如何下滑这两个) ,他们没有发现任何东西!接下来我就开始在Google上搜寻和下载Malwarebyte的反恶意软件和运行的。它发现了一些东西,但它并没有解决问题。 我下载PrevxCSI ,但我没有足够的$ $ $尚未购买许可证(但我会在需要时) ,它列出了以下内容: ç : \窗口\ system32 \德尚fmon.dll -恶意软件 ç : \窗口\ system32 \ CSRLT.exe -恶意软件滴管 ç : \窗口\ MSBLT.exe -恶意软件滴管 ç : \窗口\ system32 \ LSASSMGR.exe -伪装恶意软件 ç : \ Program Files文件\ Mozilla Firefox的\ firefoxe.exe -伪装恶意软件 ç : \ Program Files文件\的Internet Explorer \ iexplor.exe -伪装恶意软件 ç : \窗口\ system32 \ spool.exe -伪装恶意软件 ç : \窗口\ system32 \ srtsrv32.exe -伪装恶意软件 ç : \窗口\ system32 \ LSSMON.exe -恶意软件滴管 ç : \窗口\ divx32.dll -恶意软件滴管 ç : \窗口\ system32 \ msupd32.exe -恶意软件滴管 ç : \窗口\ system32 \ upd01.exe -恶意软件滴管 这看起来和听起来像很多我和我很担心。  有没有人有任何有用的建议吗?我将不得不花费大量的金钱,以解决这一问题?太感谢你了! |
|
#2
2008年09月9日, 11时32分
| |||
| |||
| 您好teddynicholas 。欢迎希杰。 下载ComboFix由潜艇从以下链接。请务必将它保存到顶部的 桌面。 链接# 1 链接# 2 **注:重要的是,它是直接保存到桌面 关闭所有打开Web浏览器。 (火狐时, Internet Explorer等) ,开始之前ComboFix 。 暂时 丧失能力 你的 防病毒和任何 反间谍 实时保护 前 执行扫描。点击 此链接 看到一个列表的安全计划,应该被禁用,以及如何禁用。 双击combofix.exe &按照提示操作。 当完成时,将产生ComboFix日志您。 邮政的 ComboFix日志 在您下次答复。 重要提示: 不要mouseclick ComboFix的窗口同时运行。这可能会导致它摊档。 记得要重新启用您的防病毒和反间谍保护时ComboFix完成。
__________________  |
|
#3
2008年09月16日, 14:27
| |||
| |||
| ComboFix 08-09-15.02 -泰迪08年9月16日16:34:04.1 - NTFSx86 微软Windows XP Home Edition的5.1.2600.2.1252.1.1033.18.550 [格林尼治标准时间-4:00 ] 运行中: C : \的Documents and Settings \泰迪\桌面\ ComboFix.exe *创建了一个新的还原点 警告,这台机器没有故障恢复控制台安装! ! 。 (((((((((((((((((((((((((((((((((((((((其他缺失))))))))) )))))))))))))))))))))))))))))))))))))))) 。 ç : \的Documents and Settings \ LocalService \曲奇\ system@ad.yieldmanag呃[ 1 ] 。文本 ç : \的Documents and Settings \泰迪\曲奇\ teddy@ad.yieldmanager [ 1 ] 。文本 ç : \窗口\ Downloaded Program Files文件\ setup.inf ç : \窗口\ system32 \ spool.exe 。 (((((((((((((((((((((((((创建的文件从2008年8月16号到2008年9月16号))))))))))) )))))))))))))))))))) 。 2008年9月16号16:21 。 2008年9月16号16:50 <DIR> d -------- ç : \窗口\ system32 \ CatRoot_bak 2008年9月16号13点23分。 2008年9月16号13点23分<DIR> d -------- ç : \窗口\ LastGood 2008年9月13号13点19分。 2008年9月13号13点19分<DIR> d -------- ç : \ Program Files文件\的iTunes 2008年9月13号13点19分。 2008年9月13号13点19 <DIR> d -------- ç : \ Program Files文件\苹果 2008年9月13号13点19分。 2008年9月13号13点19 <DIR> d -------- ç : \的Documents and Settings \所有用户\应用数据\ ( 3276BE95_AF08_429F_A64F_CA64CB79BCF6 ) 2008年9月13号13:12 。 2008年9月13号13点16分<DIR> d -------- ç : \ Program Files文件\共同文件\苹果 2008年9月8日16:10 。 2008年9月8日16:10 <DIR> d -------- ç : \ Program Files文件\轻松SpyRemover 2008年9月8日15时45分。 2008年9月6日00:59 741376 -一个------ ç : \窗口\ system32 \ LSSMON.EXE 2008年9月8日15时45分。 2008年9月4日21时59 17,920 -一个------ ç : \窗口\ system32 \ LSASSMGR.EXE 2008年9月7日22点34分。 2008年9月2日00:16 38528 -一个------ ç : \窗口\ system32 \驱动程序\ mbamswissarmy.sys 2008年9月7日22点33 。 2008年9月7日22点34分<DIR> d -------- ç : \ Program Files文件\ Malwarebytes '反恶意软件 2008年9月7日22点33 。 2008年9月7日22点33 <DIR> d -------- ç : \的Documents and Settings \泰迪\应用数据\ Malwarebytes 2008年9月7日22点33 。 2008年9月7日22点33 <DIR> d -------- ç : \的Documents and Settings \所有用户\应用数据\ Malwarebytes 2008年9月7日22点33 。 2008年9月2日00:16 17200 -一个------ ç : \窗口\ system32 \驱动程序\ mbam.sys 2008年9月6日15点09分。 2008年9月6日15点09 90112 -一个------ ç : \窗口\ system32 \ QuickTimeVR.qtx 2008年9月6日15点09分。 2008年9月6日15点09 57,344 -一个------ ç : \窗口\ system32 \ QuickTime.qts 2008年9月5日10时44分。 2008年9月6日00:59 741376 -一个------ ç : \窗口\ system32 \ msupd32.exe 2008年9月4日21时59分。 2008年9月7日12时59 741376 -一个------ ç : \窗口\ system32 \ upd01.exe 2008年9月4日21时59分。 2008年9月6日00:59 741376 -一个------ ç : \窗口\ divx32.dll 2008年9月4日21时59分。 2008年9月4日21时59 17,920 -一个------ ç : \窗口\ system32 \ srtsrv32.exe 2008年9月4日21时59分。 2008年9月16号16点24分5903 -一个------ ç : \窗口\ system32 \ mssc32.dll 2008年9月4日21时59分。 2008年9月16号16点24分5903 -一个------ ç : \窗口\ system32 \ bsc32.dll 2008年9月2日13时23分。 2008年9月2日13时23分<DIR> d -------- ç : \ Program Files文件\ PrevxCSI 2008年9月2日13时23分。 2008年9月16号13点32分<DIR> d -------- ç : \的Documents and Settings \所有用户\应用数据\ PrevxCSI 2008年9月2日13时23分。 2008年9月2日13时23分17408 -一个------ ç : \窗口\ system32 \驱动程序\ pxark.sys 2008年9月1日01:30 。 2008年9月2日13:10 <DIR>大------ ç : \的Documents and Settings \所有用户\应用数据的\ Temp 2008年9月1日01:20 。 2008年9月7日22点19分0 - 1 ------ ç : \窗口\ system32 \ sc02.sc 2008年8月31日01:46 。 2007年2月20号十六点04 2463976 -一个------ ç : \窗口\ system32 \ NPSWF32.dll 2008年8月31日01:46 。 2007年2月20号十六点04 190696 -一个------ ç : \窗口\ system32 \ NPSWF32_FlashUtil.exe 08年8月30号09:59 。 08年8月30号21:34 <DIR> d -------- ç : \ Program Files文件\ Macromedia公司 08年8月30号09:59 。 08年8月30号21:27 <DIR> d -------- ç : \ Program Files文件\共同文件\ Macromedia公司 08年8月30号01:25 。 2008年9月13号13时十八<DIR> d -------- ç : \ Program Files文件\卓悦 2008年8月29日14时33分。 06年9月18日17:55 109744 -一个------ ç : \窗口\ system32 \驱动程序\ SYMEVENT.SYS 2008年8月29日14时33分。 06年9月18日17:55 48816 -一个------ ç : \窗口\ system32 \ S32EVNT1.DLL 2008年8月29日10:18 。 2008年8月29日10:18 87336 -一个------ ç : \窗口\ system32 \ DNS的sd.exe 2008年8月29日09:53 。 2008年8月29日09:53 61,440 -一个------ ç : \窗口\ system32 \ dnssd.dll 2008年8月27日04:05 。 2008年4月7日05:38 45392 -岭------ ç : \窗口\ system32 \ AdobePDF.dll 2008年8月27日04:05 。 2008年4月7日05:38 22872 -岭------ ç : \窗口\ system32 \ AdobePDFUI.dll 。 (((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ) ) 。 2008年9月16号20:53 --------- d -----钨: \ Program Files文件\赛门铁克防病毒 2008年9月13号17:17 --------- d -----钨: \ Program Files文件\ QuickTime的 2008年9月13号17:13 --------- d -----钨: \ Program Files文件\苹果软件更新 2008年9月8日18:53 249956 ----胡ç : \窗口\ system32 \ dsfMon.dll 2008年9月1日07:50 --------- -----钨d : \文件和设置\所有用户\应用数据\ Spybot蠕虫-搜索和摧毁 2008年9月1日05:56 --------- d -----钨: \ Program Files文件\ Spybot蠕虫-搜索和摧毁 08年8月30号05:24 --------- d -----钨: \ Program Files文件\共同文件\ Adobe公司 2008年8月29日18:34 --------- d -----钨: \ Program Files文件\共同文件\赛门铁克共享 2008年8月29日18时33 --------- -----钨d : \ Program Files文件\赛门铁克 2008年8月29日18:32 --------- -----钨d : \文件和设置\所有用户\应用数据\赛门铁克 2008年8月27日08:22 --------- -----钨d : \文件和设置\所有用户\应用数据\ FLEXnet 2008年8月26日00:52 --------- d -----钨: \的Documents and Settings \泰迪\应用数据\ OpenOffice.org2 2008年8月13号21:33 --------- d -----钨: \ Program Files文件\微软银光 08年8月12日02:46 --------- d -----钨: \ Program Files文件\ PHM 2008年7月26日08:55 --------- d -----钨: \ Program Files文件\ OpenOffice.org 2.4 2008年7月26日08:54 --------- d -----钨: \ Program Files文件\ Java的 2008年7月19号02:10九点四九二万----胡ç : \窗口\ system32 \ cdm.dll 2008年7月19号02:10 53448 ----胡ç : \窗口\ system32 \ wuauclt.exe 2008年7月19号02:09 563912 ----胡ç : \窗口\ system32 \ wuapi.dll 2008年7月19号02:09 325832 ----胡ç : \窗口\ system32 \ wucltui.dll 2008年7月19号02:09二十点五〇万----胡ç : \窗口\ system32 \ wuweb.dll 2008年7月19号02:09 1811656 ----胡ç : \窗口\ system32 \ wuaueng.dll 2008年7月7日20:32 253952 ----胡ç : \窗口\ system32 \ es.dll 2008年6月24日22:12 295936 ------钨: \窗口\ system32 \ wmpeffects.dll 2008年6月24日16:23 74240 ----胡ç : \窗口\ system32 \ mscms.dll 2008年6月23日16时57 826368 ----胡ç : \窗口\ system32 \ wininet.dll 2008年6月20号17:41 245248 ----胡ç : \窗口\ system32 \ mswsock.dll 2008年4月19号16时57分32 ----胡ç : \的Documents and Settings \所有用户\应用数据\ ezsid.dat 。 (((((((((((((((((((((((((((((((((((((注册装载点)))))))))) )))))))))))))))))))))))))))))))))))))))) 。 。 *注意*空白条目与合法默认项不会显示 REGEDIT4 [ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行] “工作分组” =的“ C : \ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe ” [ 2007年4月2日68856 ] “ QuickTime的工作” =的“ C : \ Program Files文件\的QuickTime \ qttask.exe ” [ 2008年9月6日413696 ] 的“ H / PC连接代理” =的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” [ 06年11月13号一百二十八点九万] “ Ctfmon.exe会” =的“ C : \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日15360 ] “ IndxStoreSvr_ ( 79662E04 - 7C6C - 4d9f - 84C7 - 88D8A56B10AA ) ” =的“ C : \ Program Files文件\共同文件\尼禄\库\ NMIndexStoreSvr.exe ” [ 2008年2月28日1828136 ] “ SpybotSD TeaTimer ” =的“ C : \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe ” [ 2008年8月18日1832272 ] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行] “ RemoteControl ” =的“ C : \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe ” [ 2004年5月14日32768 ] “ RoxioEngineUtility ” =的“ C : \ Program Files文件\共同文件\的Roxio共享\系统\ EngUtil.exe ” [ 2003年5月1日65536 ] “ RoxioAudioCentral ” =的“ C : \ Program Files文件\的Roxio \简易CD Creator的6 \ AudioCentral \ RxMon.exe ” [ 2003年7月15日319488 ] “矽统的Windows KeyHook ” =的“ C : \窗口\ system32 \ keyhook.exe ” [ 2004年9月2日249856 ] “ SiSUSBRG ” =的“ C : \窗口\ SiSUSBrg.exe ” [ 2004年9月22日106496 ] “ Apoint ” =的“ C : \ Program Files文件\ Apoint2K \ Apoint.exe ” [ 2003年12月5号159744 ] “ SunJavaUpdateSched ” =的“ C : \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ” [ 2008年6月10号144784 ] “ DSFHost ” =的“ C : \ Program Files文件\斯特普尔斯\ easyprint \ dsfhost.exe ” [ 2006年1月5日2142301 ] “同步管理器” =的“ C : \窗口\ system32 \ mobsync.exe ” [ 2004年8月4日十四点三三六万] “ Zune的运载火箭” =的“ C : \ Program Files文件\微软\ ZuneLauncher.exe ” [ 2007年3月14号24104 ] “ GrooveMonitor ” =的“ C : \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ” [ 2006年10月27号31016 ] “ Adobe Reader软件高速发射” =的“ C : \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ” [ 2008年1月11号39792 ] “ NeroFilterCheck ” =的“ C : \ Program Files文件\共同文件\尼禄\库\ NeroCheck.exe ” [ 2008年2月28日570664 ] “ NBKeyScan ” =的“ C : \ Program Files文件\尼禄\ Nero8 \ Nero的BackItUp \ NBKeyScan.exe ” [ 2008年2月18日2221352 ] “用Adobe Acrobat调速器” =的“ C : \ Program Files文件\ Adobe公司\杂技演员9.0 \杂技\ Acrobat_sl.exe ” [ 2008年6月12号37232 ] “ ccApp ” =的“ C : \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ” [ 2006年7月19日52896 ] “ vptray ” =的“ C : \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe ” [ 2006年9月27日125168 ] “ Layersecurity Servicemonitor ” =的“ C : \窗口\ system32 \ LSSMON.EXE ” [ 2008年9月6日741376 ] “ iTunesHelper ” =的“ C : \ Program Files文件\的iTunes \ iTunesHelper.exe ” [ 2008年9月10号289576 ] “录音师” = “ SOUNDMAN.EXE ” [ 2004年9月22日ç : \窗口\ SOUNDMAN.EXE ] “ AGRSMMSG ” = “ AGRSMMSG.exe ” [ 2004年9月22日ç : \窗口\ AGRSMMSG.exe ] “ SiSPower ” = “ SiSPower.dll ” [ 2004年9月22日ç : \窗口\ system32 \ SiSPower.dll ] ç : \的Documents and Settings \泰迪\开始菜单\程序\启动\ Adobe公司Gamma.lnk - ç : \ Program Files文件\共同文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe [ 2005年3月16号113664 ] OneNote 2007中屏快船和Launcher.lnk - ç : \ Program Files文件\微软Office \ Office12 \ ONENOTEM.EXE [ 2006年10月26日98632 ] ç : \的Documents and Settings \所有用户\开始菜单\程序\启动\ Windows桌面Search.lnk - ç : \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe [ 2007年2月5日118784 ] [ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ] “ ( 56F9679E - 7826 - 4C84 - 81F3 - 532071A8BCC5 ) ” =的“ C : \ Program Files文件\ Windows桌面搜索\ MSNLNamespaceMgr.dll ” [ 2007年2月5日294400 ] [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \窗口] “ AppInit_DLLs ” = acaptuser32.dll [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \图像文件执行选项\ firefox.exe ] “调试” = C的: \ Program Files文件\ Mozilla Firefox的\ firefoxe.exe [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \图像文件执行选项\ iexplore.exe ] “调试” = C的: \ Program Files文件\的Internet Explorer \ iexplor.exe [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \图像文件执行选项\ spoolsv.exe ] “调试” = C的: \窗口\ system32 \ spool.exe [ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ] “ DisableMonitoring ” =的DWORD : 00000001 [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单] “ % windir % \ \ system32 \ \ sessmgr.exe ” = 的“ C : \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” = 的“ C : \ \ Program Files文件\ \ BitLord \ \ BitLord.exe ” = 的“ C : \ \ Program Files文件\ \ Soulseek \ \ slsk.exe ” = 的“ C : \ \ Program Files文件\ \ Mozilla Firefox浏览器\ \ firefox.exe ” = 的“ C : \ \ StubInstaller.exe ” = 的“ C : \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ” = “ % windir % \ \网络诊断\ \ xpnetdiag.exe ” = 的“ C : \ \ Program Files文件\ \传送\ \ msmsgs.exe ” = 的“ C : \ \ Program Files文件\ \目的\ \ aim.exe ” = 的“ C : \ Program Files文件\微软ActiveSync \ rapimgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ rapimgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的RAPI经理 的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” = C的: \ Program Files文件\微软ActiveSync \ wcescomm.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的连接管理器 的“ C : \ Program Files文件\微软ActiveSync \ WCESMgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ WCESMgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的应用 的“ C : \ \ Program Files文件\ \微软Office \ \ Office12 \ \的Outlook.exe ” = 的“ C : \ \ Program Files文件\ \微软Office \ \ Office12 \ \ GROOVE.EXE ” = 的“ C : \ \ Program Files文件\ \微软Office \ \ Office12 \ \ ONENOTE.EXE ” = 的“ C : \ \ Program Files文件\ \伊莎朵拉\ \ isadora.exe ” = 的“ C : \ \ Program Files文件\ \ Skype的\ \电话\ \ Skype.exe ” = 的“ C : \ \ Program Files文件\ \卓悦\ \ mDNSResponder.exe ” = 的“ C : \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ” = [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单] “ 3389 : TCP连接” = 3389 : TCP连接: @ xpsp2res.dll , -22009 “ 1500 : TCP连接” = 1500年:为tcp :安全访问代理端口 “ 26675 : TCP连接” = 26675 :为tcp : 169.254.2.0/255.255.255.0 :启用: ActiveSync的服务 *新成立的服务* - CATCHME *新成立的服务* - PROCEXP90 。 内容'计划任务的文件夹 。 - - - -孤寡删除- - - - HKLM ,运行CSRLT.EXE - ç : \窗口\ system32 \ CSRLT.EXE 。 补充扫描------- ------- 。 火狐浏览器- :简介- ç : \的Documents and Settings \泰迪\应用数据\ Mozilla浏览器\火狐\概况\ 6xzfp0sa.default \ 火狐浏览器- : prefs.js - SEARCH.DEFAULTURL - hxxp : / / www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q = 。 ************************************************** ************************ catchme 0.3.1361 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer , http://www.gmer.net 2008年9月16号16点51分46秒的rootkit扫描 2600年5月1号的Windows Service Pack 2中的NTFS 扫描隐藏的进程... 扫描隐藏的自动启动项... 扫描隐藏的文件... 扫描顺利完成 隐藏的文件: 0 ************************************************** ************************ 。 完成时间: 2008年9月16号17时15分59秒 ComboFix -隔离- files.txt 2008年9月16号21点15分一十六秒 预运行: 10478669824字节免费 后运行: 10446106624字节免费 190 --- EOF分析--- 2008年9月11号20点零七分51秒 |
|
#4
2008年09月16日, 14:45
| |||
| |||
| 注: 下面的指示,成立专门为这一用户。如果您不是此用户, 切忌 请依照下列指示,因为它们可能会损害您的系统的运作 删除这些文件/文件夹,如下: 1 。转到 开始 “ 跑 “型 记事本 并点击 行 打开记事本。 它 必须 将记事本,而不是写字板。 2 。复制文字在下面代码中强调的所有文字和紧迫 按Ctrl + C 码: KillAll : :文件:中: C : \ Program Files文件\轻松SpyRemover ç : \窗口\ system32 \ LSSMON.EXE ç : \窗口\ system32 \ LSASSMGR.EXE ç : \窗口\ system32 \ msupd32.exe ç : \窗口\ system32 \ upd01.exe ç : \窗口\ system32 \ srtsrv32.exe ç : \窗口\ system32 \ mssc32.dll ç : \窗口\ system32 \ bsc32.dll登录: : [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \形象文件执行选项\ iexplore.exe ] “调试” =- [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \映像文件执行选项\ spoolsv.exe ] “调试” =- 4 。然后单击 文件 “ 保存 5 。将该文件命名为 CFScript.txt -将文件保存到桌面 6 。然后拖动 CFScript (按住鼠标左键的同时拖动文件)拖放(释放鼠标左键)到ComboFix.exe因为你看到在下面的截图。 重要提示: 执行此指令仔细!  ComboFix将开始执行,只要按照提示操作。 之后重新启动(如果它要求重新启动) ,这将会产生一个日志你。 邮报记录( Combofix.txt )在您下一次的答复。 注: 不要mouseclick ComboFix的窗口同时运行。可能会导致您的系统冻结
__________________ |
|
#5
2008年09月16日, 15:32
| |||
| |||
| ComboFix 08-09-15.02 -泰迪08年9月16日17:49:20.2 - NTFSx86 微软Windows XP Home Edition的5.1.2600.2.1252.1.1033.18.850 [格林尼治标准时间-4:00 ] 运行中: C : \的Documents and Settings \泰迪\桌面\ ComboFix.exe 命令交换机使用:中: C : \的Documents and Settings \泰迪\桌面\ CFScript.txt *创建了一个新的还原点 警告,这台机器没有故障恢复控制台安装! ! 。 (((((((((((((((((((((((((((((((((((((((其他缺失))))))))) )))))))))))))))))))))))))))))))))))))))) 。 ç : \窗口\ system32 \ bsc32.dll ç : \窗口\ system32 \ LSASSMGR.EXE ç : \窗口\ system32 \ LSSMON.EXE ç : \窗口\ system32 \ mssc32.dll ç : \窗口\ system32 \ msupd32.exe ç : \窗口\ system32 \ spool.exe ç : \窗口\ system32 \ srtsrv32.exe ç : \窗口\ system32 \ upd01.exe 。 (((((((((((((((((((((((((创建的文件从2008年8月16号到2008年9月16号))))))))))) )))))))))))))))))))) 。 2008年9月16号16:21 。 2008年9月16号16:50 <DIR> d -------- ç : \窗口\ system32 \ CatRoot_bak 2008年9月13号13点19分。 2008年9月13号13点19分<DIR> d -------- ç : \ Program Files文件\的iTunes 2008年9月13号13点19分。 2008年9月13号13点19 <DIR> d -------- ç : \ Program Files文件\苹果 2008年9月13号13点19分。 2008年9月13号13点19 <DIR> d -------- ç : \的Documents and Settings \所有用户\应用数据\ ( 3276BE95_AF08_429F_A64F_CA64CB79BCF6 ) 2008年9月13号13:12 。 2008年9月13号13点16分<DIR> d -------- ç : \ Program Files文件\共同文件\苹果 2008年9月8日16:10 。 2008年9月8日16:10 <DIR> d -------- ç : \ Program Files文件\轻松SpyRemover 2008年9月7日22点34分。 2008年9月2日00:16 38528 -一个------ ç : \窗口\ system32 \驱动程序\ mbamswissarmy.sys 2008年9月7日22点33 。 2008年9月7日22点34分<DIR> d -------- ç : \ Program Files文件\ Malwarebytes '反恶意软件 2008年9月7日22点33 。 2008年9月7日22点33 <DIR> d -------- ç : \的Documents and Settings \泰迪\应用数据\ Malwarebytes 2008年9月7日22点33 。 2008年9月7日22点33 <DIR> d -------- ç : \的Documents and Settings \所有用户\应用数据\ Malwarebytes 2008年9月7日22点33 。 2008年9月2日00:16 17200 -一个------ ç : \窗口\ system32 \驱动程序\ mbam.sys 2008年9月6日15点09分。 2008年9月6日15点09 90112 -一个------ ç : \窗口\ system32 \ QuickTimeVR.qtx 2008年9月6日15点09分。 2008年9月6日15点09 57,344 -一个------ ç : \窗口\ system32 \ QuickTime.qts 2008年9月4日21时59分。 2008年9月6日00:59 741376 -一个------ ç : \窗口\ divx32.dll 2008年9月2日13时23分。 2008年9月2日13时23分<DIR> d -------- ç : \ Program Files文件\ PrevxCSI 2008年9月2日13时23分。 2008年9月16号13点32分<DIR> d -------- ç : \的Documents and Settings \所有用户\应用数据\ PrevxCSI 2008年9月2日13时23分。 2008年9月2日13时23分17408 -一个------ ç : \窗口\ system32 \驱动程序\ pxark.sys 2008年9月1日01:30 。 2008年9月2日13:10 <DIR>大------ ç : \的Documents and Settings \所有用户\应用数据的\ Temp 2008年9月1日01:20 。 2008年9月7日22点19分0 - 1 ------ ç : \窗口\ system32 \ sc02.sc 2008年8月31日01:46 。 2007年2月20号十六点04 2463976 -一个------ ç : \窗口\ system32 \ NPSWF32.dll 2008年8月31日01:46 。 2007年2月20号十六点04 190696 -一个------ ç : \窗口\ system32 \ NPSWF32_FlashUtil.exe 08年8月30号09:59 。 08年8月30号21:34 <DIR> d -------- ç : \ Program Files文件\ Macromedia公司 08年8月30号09:59 。 08年8月30号21:27 <DIR> d -------- ç : \ Program Files文件\共同文件\ Macromedia公司 08年8月30号01:25 。 2008年9月13号13时十八<DIR> d -------- ç : \ Program Files文件\卓悦 2008年8月29日14时33分。 06年9月18日17:55 109744 -一个------ ç : \窗口\ system32 \驱动程序\ SYMEVENT.SYS 2008年8月29日14时33分。 06年9月18日17:55 48816 -一个------ ç : \窗口\ system32 \ S32EVNT1.DLL 2008年8月29日10:18 。 2008年8月29日10:18 87336 -一个------ ç : \窗口\ system32 \ DNS的sd.exe 2008年8月29日09:53 。 2008年8月29日09:53 61,440 -一个------ ç : \窗口\ system32 \ dnssd.dll 2008年8月27日04:05 。 2008年4月7日05:38 45392 -岭------ ç : \窗口\ system32 \ AdobePDF.dll 2008年8月27日04:05 。 2008年4月7日05:38 22872 -岭------ ç : \窗口\ system32 \ AdobePDFUI.dll 。 (((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ) ) 。 2008年9月16号21:33 --------- d -----钨: \ Program Files文件\赛门铁克防病毒 2008年9月13号17:17 --------- d -----钨: \ Program Files文件\ QuickTime的 2008年9月13号17:13 --------- d -----钨: \ Program Files文件\苹果软件更新 2008年9月1日07:50 --------- -----钨d : \文件和设置\所有用户\应用数据\ Spybot蠕虫-搜索和摧毁 2008年9月1日05:56 --------- d -----钨: \ Program Files文件\ Spybot蠕虫-搜索和摧毁 08年8月30号05:24 --------- d -----钨: \ Program Files文件\共同文件\ Adobe公司 2008年8月29日18:34 --------- d -----钨: \ Program Files文件\共同文件\赛门铁克共享 2008年8月29日18时33 --------- -----钨d : \ Program Files文件\赛门铁克 2008年8月29日18:32 --------- -----钨d : \文件和设置\所有用户\应用数据\赛门铁克 2008年8月27日08:22 --------- -----钨d : \文件和设置\所有用户\应用数据\ FLEXnet 2008年8月26日00:52 --------- d -----钨: \的Documents and Settings \泰迪\应用数据\ OpenOffice.org2 2008年8月13号21:33 --------- d -----钨: \ Program Files文件\微软银光 08年8月12日02:46 --------- d -----钨: \ Program Files文件\ PHM 2008年7月26日08:55 --------- d -----钨: \ Program Files文件\ OpenOffice.org 2.4 2008年7月26日08:54 --------- d -----钨: \ Program Files文件\ Java的 2008年4月19号16时57分32 ----胡ç : \的Documents and Settings \所有用户\应用数据\ ezsid.dat 。 ((((((((((((((((((((((((((((( snapshot@2008-09-16_17.03.48.82 )))))))))) ))))))))))))))))))))))))))))))) 。 - 07年7月30号23点18分四十秒33624 - C部分-胡ç : \窗口\ system32 \ dllcache \ wups.dll + 2008年7月19号二时十分20秒36552 - C部分-胡ç : \窗口\ system32 \ dllcache \ wups.dll - 07年7月30号23点18分四十秒33624 ----胡ç : \窗口\ system32 \ wups.dll + 2008年7月19号二时十分20秒36552 ----胡ç : \窗口\ system32 \ wups.dll - 07年7月30号23点19分十二秒43352 ----胡ç : \窗口\ system32 \ wups2.dll + 2008年7月19号2时10分四十○秒45768 ----胡ç : \窗口\ system32 \ wups2.dll 。 (((((((((((((((((((((((((((((((((((((注册装载点)))))))))) )))))))))))))))))))))))))))))))))))))))) 。 。 *注意*空白条目与合法默认项不会显示 REGEDIT4 [ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行] “工作分组” =的“ C : \ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe ” [ 2007年4月2日68856 ] “ QuickTime的工作” =的“ C : \ Program Files文件\的QuickTime \ qttask.exe ” [ 2008年9月6日413696 ] 的“ H / PC连接代理” =的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” [ 06年11月13号一百二十八点九万] “ Ctfmon.exe会” =的“ C : \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日15360 ] “ IndxStoreSvr_ ( 79662E04 - 7C6C - 4d9f - 84C7 - 88D8A56B10AA ) ” =的“ C : \ Program Files文件\共同文件\尼禄\库\ NMIndexStoreSvr.exe ” [ 2008年2月28日1828136 ] “ SpybotSD TeaTimer ” =的“ C : \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe ” [ 2008年8月18日1832272 ] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行] “ RemoteControl ” =的“ C : \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe ” [ 2004年5月14日32768 ] “ RoxioEngineUtility ” =的“ C : \ Program Files文件\共同文件\的Roxio共享\系统\ EngUtil.exe ” [ 2003年5月1日65536 ] “ RoxioAudioCentral ” =的“ C : \ Program Files文件\的Roxio \简易CD Creator的6 \ AudioCentral \ RxMon.exe ” [ 2003年7月15日319488 ] “矽统的Windows KeyHook ” =的“ C : \窗口\ system32 \ keyhook.exe ” [ 2004年9月2日249856 ] “ SiSUSBRG ” =的“ C : \窗口\ SiSUSBrg.exe ” [ 2004年9月22日106496 ] “ Apoint ” =的“ C : \ Program Files文件\ Apoint2K \ Apoint.exe ” [ 2003年12月5号159744 ] “ SunJavaUpdateSched ” =的“ C : \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ” [ 2008年6月10号144784 ] “ DSFHost ” =的“ C : \ Program Files文件\斯特普尔斯\ easyprint \ dsfhost.exe ” [ 2006年1月5日2142301 ] “同步管理器” =的“ C : \窗口\ system32 \ mobsync.exe ” [ 2004年8月4日十四点三三六万] “ Zune的运载火箭” =的“ C : \ Program Files文件\微软\ ZuneLauncher.exe ” [ 2007年3月14号24104 ] “ GrooveMonitor ” =的“ C : \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ” [ 2006年10月27号31016 ] “ Adobe Reader软件高速发射” =的“ C : \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ” [ 2008年1月11号39792 ] “ NeroFilterCheck ” =的“ C : \ Program Files文件\共同文件\尼禄\库\ NeroCheck.exe ” [ 2008年2月28日570664 ] “ NBKeyScan ” =的“ C : \ Program Files文件\尼禄\ Nero8 \ Nero的BackItUp \ NBKeyScan.exe ” [ 2008年2月18日2221352 ] “用Adobe Acrobat调速器” =的“ C : \ Program Files文件\ Adobe公司\杂技演员9.0 \杂技\ Acrobat_sl.exe ” [ 2008年6月12号37232 ] “ ccApp ” =的“ C : \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ” [ 2006年7月19日52896 ] “ vptray ” =的“ C : \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe ” [ 2006年9月27日125168 ] “ iTunesHelper ” =的“ C : \ Program Files文件\的iTunes \ iTunesHelper.exe ” [ 2008年9月10号289576 ] “ CSRLT.EXE ” =的“ C : \窗口\ system32 \ CSRLT.EXE ” [卜] “录音师” = “ SOUNDMAN.EXE ” [ 2004年9月22日ç : \窗口\ SOUNDMAN.EXE ] “ AGRSMMSG ” = “ AGRSMMSG.exe ” [ 2004年9月22日ç : \窗口\ AGRSMMSG.exe ] “ SiSPower ” = “ SiSPower.dll ” [ 2004年9月22日ç : \窗口\ system32 \ SiSPower.dll ] ç : \的Documents and Settings \泰迪\开始菜单\程序\启动\ Adobe公司Gamma.lnk - ç : \ Program Files文件\共同文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe [ 2005年3月16号113664 ] OneNote 2007中屏快船和Launcher.lnk - ç : \ Program Files文件\微软Office \ Office12 \ ONENOTEM.EXE [ 2006年10月26日98632 ] ç : \的Documents and Settings \所有用户\开始菜单\程序\启动\ Windows桌面Search.lnk - ç : \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe [ 2007年2月5日118784 ] [ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ] “ ( 56F9679E - 7826 - 4C84 - 81F3 - 532071A8BCC5 ) ” =的“ C : \ Program Files文件\ Windows桌面搜索\ MSNLNamespaceMgr.dll ” [ 2007年2月5日294400 ] [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \窗口] “ AppInit_DLLs ” = acaptuser32.dll [ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \图像文件执行选项\ firefox.exe ] “调试” = C的: \ Program Files文件\ Mozilla Firefox的\ firefoxe.exe [ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ] “ DisableMonitoring ” =的DWORD : 00000001 [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单] “ % windir % \ \ system32 \ \ sessmgr.exe ” = 的“ C : \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” = 的“ C : \ \ Program Files文件\ \ BitLord \ \ BitLord.exe ” = 的“ C : \ \ Program Files文件\ \ Soulseek \ \ slsk.exe ” = 的“ C : \ \ Program Files文件\ \ Mozilla Firefox浏览器\ \ firefox.exe ” = 的“ C : \ \ StubInstaller.exe ” = 的“ C : \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ” = “ % windir % \ \网络诊断\ \ xpnetdiag.exe ” = 的“ C : \ \ Program Files文件\ \传送\ \ msmsgs.exe ” = 的“ C : \ \ Program Files文件\ \目的\ \ aim.exe ” = 的“ C : \ Program Files文件\微软ActiveSync \ rapimgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ rapimgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的RAPI经理 的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” = C的: \ Program Files文件\微软ActiveSync \ wcescomm.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的连接管理器 的“ C : \ Program Files文件\微软ActiveSync \ WCESMgr.exe ” = C的: \ Program Files文件\微软ActiveSync \ WCESMgr.exe : 169.254.2.0/255.255.255.0 :启用: ActiveSync的应用 的“ C : \ \ Program Files文件\ \微软Office \ \ Office12 \ \的Outlook.exe ” = 的“ C : \ \ Program Files文件\ \微软Office \ \ Office12 \ \ GROOVE.EXE ” = 的“ C : \ \ Program Files文件\ \微软Office \ \ Office12 \ \ ONENOTE.EXE ” = 的“ C : \ \ Program Files文件\ \伊莎朵拉\ \ isadora.exe ” = 的“ C : \ \ Program Files文件\ \ Skype的\ \电话\ \ Skype.exe ” = 的“ C : \ \ Program Files文件\ \卓悦\ \ mDNSResponder.exe ” = 的“ C : \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ” = [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单] “ 3389 : TCP连接” = 3389 : TCP连接: @ xpsp2res.dll , -22009 “ 1500 : TCP连接” = 1500年:为tcp :安全访问代理端口 “ 26675 : TCP连接” = 26675 :为tcp : 169.254.2.0/255.255.255.0 :启用: ActiveSync的服务 R0 pxark ; pxark ; ç : \窗口\ system32 \驱动程序\ pxark.sys [ 2008年9月2日17408 ] R2的CSIScanner ; CSIScanner ; ç : \ Program Files文件\ PrevxCSI \ prevxcsi.exe [ 2008年9月2日六十一点八零四万] R2的SafeAccessAgent ;安全访问代理; ç : \ Program Files文件\ StillSecure的\安全访问代理\ SAService.exe [ 2006年1月27日八十八点○六四万] R2的观点管理服务;观管理服务; ç : \ Program Files文件\观\共同\ ViewpointService.exe [ 2007年1月4日24652 ] 三HwIOctl ; HwIOctl ; ç : \的Documents and Settings \业主\桌面\ HwIOctl.sys [ ] 三Ktp3 ; Elantech触控板( KTP3 ) ; ç : \窗口\ system32 \驱动程序\ Ktp3.sy县[ 2004年9月22日24704 ] 三Memctl ; Memctl ; ç : \的Documents and Settings \业主\桌面\ Memctl.sys [ ] 。 内容'计划任务的文件夹 。 - - - -孤寡删除- - - - HKLM ,运行Layersecurity Servicemonitor - ç : \窗口\ system32 \ LSSMON.EXE HKLM -的RunOnce , MSBLT.EXE - ç : \窗口\ MSBLT.EXE ************************************************** ************************ catchme 0.3.1361 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer , http://www.gmer.net 2008年9月16号18时00分27秒的rootkit扫描 2600年5月1号的Windows Service Pack 2中的NTFS 扫描隐藏的进程... 扫描隐藏的自动启动项... 扫描隐藏的文件... ************************************************** ************************ 。 ------------------------其他正在运行的进程----------------------- - 。 ç : \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe ç : \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe ç : \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe ç : \ Program Files文件\ Lavasoft \的Ad - Aware 2007年\ aawservice.exe ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe ç : \ Program Files文件\赛门铁克\的LiveUpdate \ AluSchedulerSvc.exe ç : \ Program Files文件\卓悦\ mDNSResponder.exe ç : \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe ç : \ Program Files文件\尼禄\ Nero8 \ Nero的BackItUp \ NBService.exe ç : \窗口\ system32 \ IoctlSvc.exe ç : \窗口\ system32 \ MsPMSPSv.exe ç : \窗口\ system32 \ searchindexer.exe ç : \ Program Files文件\观\观经理\ ViewMgr.exe ç : \窗口\ system32 \ rundll32.exe ç : \ PROGRA 〜 1 \微〜 3 \ rapimgr.exe ç : \ Program Files文件\的Roxio \简易CD Creator的6 \ AudioCentral \ Playlist.exe ç : \ Program Files文件\ Apoint2K \ ApntEx.exe ç : \ Program Files文件\共同文件\尼禄\库\ NMIndexingService.exe ç : \ Program Files文件\苹果\斌\ iPodService.exe ç : \窗口\ system32 \ searchprotocolhost.exe ç : \窗口\ system32 \ searchfilterhost.exe 。 ************************************************** ************************ 。 完成时间: 2008年9月16号18点24分五十六秒-机器重启 ComboFix -隔离- files.txt 2008年9月16号22点23分49秒 ComboFix2.txt 2008年9月16日21点16分14秒 预运行: 10626510848字节免费 后运行: 10616803328字节免费 205 --- EOF分析--- 2008年9月11号20点零七分51秒 |
|
#6
2008年09月16日, 15:50
| |||
| |||
| 下载 趋势科技HijackThis.exe ( HJT )到桌面上。
__________________ |
|
#7
2008年09月23日, 09:24
| |||
| |||
| 日志文件的趋势科技了HijackThis v2.0.2 扫描储存于下午12时二十一分04秒,在2008年9月23日 平台: Windows XP SP2的(使用WINNT 2600年1月5日) MSIE : Internet Explorer的v7.00 ( 7.00.6000.16705 ) 启动模式:正常 正在运行的进程: ç : \窗口\ System32 \ smss.exe ç : \窗口\ system32 \ winlogon.exe ç : \窗口\ system32 \ Services.exe的 ç : \窗口\ system32 \ Lsass.exe中 ç : \窗口\ system32 \ svchost.exe ç : \窗口\ System32 \ svchost.exe ç : \窗口\ system32 \ svchost.exe ç : \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe ç : \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe ç : \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe ç : \ Program Files文件\ Lavasoft \的Ad - Aware 2007年\ aawservice.exe ç : \窗口\ system32 \ spoolsv.exe ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe ç : \ Program Files文件\赛门铁克\的LiveUpdate \ ALUSchedulerSvc.exe ç : \ Program Files文件\ PrevxCSI \ prevxcsi.exe ç : \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe ç : \ Program Files文件\尼禄\ Nero8 \ Nero的BackItUp \ NBService.exe ç : \窗口\ system32 \ IoctlSvc.exe ç : \ Program Files文件\ StillSecure的\安全访问代理\ SAService.exe ç : \窗口\ system32 \ svchost.exe ç : \ Program Files文件\观\共同\ ViewpointService.exe ç : \窗口\ system32 \ MsPMSPSv.exe ç : \窗口\ system32 \ SearchIndexer.exe ç : \窗口\ Explorer.exe的 ç : \ Program Files文件\ PrevxCSI \ prevxcsi.exe ç : \窗口\ System32 \ svchost.exe ç : \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe ç : \窗口\ SOUNDMAN.EXE ç : \窗口\ system32 \ keyhook.exe ç : \ Program Files文件\ Apoint2K \ Apoint.exe ç : \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ç : \ Program Files文件\斯特普尔斯\ easyprint \ dsfhost.exe ç : \ Program Files文件\微软\ ZuneLauncher.exe ç : \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ç : \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ç : \ Program Files文件\的iTunes \ iTunesHelper.exe ç : \ Program Files文件\ Apoint2K \ Apntex.exe ç : \ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe ç : \ Program Files文件\微软ActiveSync \ wcescomm.exe ç : \ Program Files文件\共同文件\尼禄\库\ NMIndexStoreSvr.exe ç : \ PROGRA 〜 1 \微〜 3 \ rapimgr.exe ç : \ Program Files文件\共同文件\尼禄\库\ NMIndexingService.exe ç : \ Program Files文件\苹果\斌\ iPodService.exe ç : \ Program Files文件\观\观经理\ ViewMgr.exe ç : \ Program Files文件\ Adobe公司\杂技演员9.0 \杂技\ AcroTray.exe ç : \ Program Files文件\共同文件\ Macrovision的共享\ FLEXnet Publisher中\ FNPLicensingService.exe ç : \窗口\ system32 \ taskmgr.exe ç : \窗口\ Lsass.exe中 ç : \窗口\ system32 \ SPOOLER.EXE ç : \窗口\ system32 \ wscntfy.exe ç : \窗口\ system32 \ Ctfmon.exe会 ç : \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe ç : \窗口\ system32 \ SearchProtocolHost.exe R0 - HKCU \软件\微软\的Internet Explorer \主,初始页= http://www.averatec.com 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 受体1 - HKLM \软件\微软\的Internet Explorer \主,搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \软件\微软\的Internet Explorer \主,初始页= http://go.microsoft.com/fwlink/?LinkId=69157 受体1 - HKCU \软件\微软\ Internet连接向导, ShellNext = http://oqaserver-a/ 受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置, ProxyOverride = *.地方 氧- BHO :雅虎!工具栏助手- ( 02478D38 - C3F9 - 4EFB - 9B51 - 7695ECA05670 ) - ç : \ Program Files文件\雅虎\伴侣\安装\共产党\ yt.dll 氧- BHO :的Adobe PDF Reader链接帮手- ( 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ) - ç : \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll 氧- BHO : AcroIEHelperStub - ( 18DF081C - E8AD - 4283 - A596 - FA578C2EBDC3 ) - ç : \ Program Files文件\共同文件\ Adobe公司\杂技\的ActiveX \ AcroIEHelperShim.dll 氧- BHO : Spybot蠕虫,特殊和差别待遇的IE浏览器保护- ( 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll 氧- BHO :槽队浏览器助手- ( 72853161 - 30C5 - 4D22 - B7F9 - 0BBC1D38A37E ) - ç : \ PROGRA 〜 1 \微〜 4 \ Office12 \ GRA8E1 〜 1.DLL 氧- BHO : SSVHelper类- ( 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ) - ç : \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll 氧- BHO :美国在线工具栏的发射器- ( 7C554162 - 8CB7 - 45A4 - B8F4 - 8EA1C75885F9 ) - ç : \ Program Files文件\美国在线\美国在线工具栏2.0 \ aoltb.dll 氧- BHO :观栏BHO - ( A7327C09 - B521 - 4EDB - 8509 - 7D2660C9EC98 ) - ç : \ Program Files文件\观\观工具栏\ 3.8.0 \ ViewBarBHO.dll 氧- BHO :谷歌工具栏助手- ( AA58ED58 - 01DD - 4d91 - 8333 - CF10577473F7 ) - ç : \ Program Files文件\谷歌\ googletoolbar2.dll 氧- BHO : Adobe公司PDF格式转换工具栏助手- ( AE7CD045 - E861 - 484f - 8273 - 0445EE161910 ) - ç : \ Program Files文件\共同文件\ Adobe公司\杂技\的ActiveX \ AcroIEFavClient.dll 氧- BHO :谷歌工具栏的通知BHO - ( AF69DE43 - 7D58 - 4638 - B6FA - CE66B5AD205D ) - ç : \ Program Files文件\谷歌\ GoogleToolbarNotifier \ 3.1.807.1746 \瑞士法郎g.dll 氧- BHO : SmartSelect - ( F4971EE7 - DAA0 - 4053 - 9964 - 665D8EE6A077 ) - ç : \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEFavClient.dll 臭氧-工具栏:雅虎!工具栏- ( EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88 ) - ç : \ Program Files文件\雅虎\伴侣\安装\共产党\ yt.dll 臭氧-工具栏:与谷歌- ( 2318C2B1 - 4965 - 11d4 - 9B18 - 009027A5CD4F ) - ç : \ Program Files文件\谷歌\ googletoolbar2.dll 臭氧-工具栏:美国在线工具栏- ( DE9C389F - 3316 - 41A7 - 809B - AA305ED9D922 ) - ç : \ Program Files文件\美国在线\美国在线工具栏2.0 \ aoltb.dll 臭氧-工具栏:观工具栏- ( F8AD5AA5 - D966 - 4667 - 9DAF - 2561D68B2012 ) - ç : \ Program Files文件\共同文件\观\工具栏运行\ 3.8.0 \ IEViewBar.dll 臭氧-工具栏:的Adobe PDF - ( 47833539 - D0C5 - 4125 - 9FA8 - 0819E2EAAC93 ) - ç : \ Program Files文件\共同文件\ Adobe公司\杂技\的ActiveX \ AcroIEFavClient.dll 物理学- HKLM \ .. \运行: [ RemoteControl ]的“ C : \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe ” 物理学- HKLM \ .. \运行: [ RoxioEngineUtility ]的“ C : \ Program Files文件\共同文件\的Roxio共享\系统\ EngUtil.exe ” 物理学- HKLM \ .. \运行: [ RoxioAudioCentral ]的“ C : \ Program Files文件\的Roxio \简易CD Creator的6 \ AudioCentral \ RxMon.exe ” 物理学- HKLM \ .. \运行: [音效] SOUNDMAN.EXE 物理学- HKLM \ .. \运行: [ AGRSMMSG ] AGRSMMSG.exe 物理学- HKLM \ .. \运行: [ SiSPower ] Rundll32.exe SiSPower.dll , ModeAgent 物理学- HKLM \ .. \运行: [矽统的Windows KeyHook ] ç : \窗口\ system32 \ keyhook.exe 物理学- HKLM \ .. \运行: [ SiSUSBRG ] ç : \窗口\ SiSUSBrg.exe 物理学- HKLM \ .. \运行: [ Apoint ] ç : \ Program Files文件\ Apoint2K \ Apoint.exe 物理学- HKLM \ .. \运行: [ SunJavaUpdateSched ]的“ C : \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ” 物理学- HKLM \ .. \运行: [ DSFHost ] ç : \ Program Files文件\斯特普尔斯\ easyprint \ dsfhost.exe 物理学- HKLM \ .. \运行: [同步管理器] % SystemRoot % \ system32 \ mobsync.exe /登录 物理学- HKLM \ .. \运行: [ Zune的发射器]的“ C : \ Program Files文件\微软\ ZuneLauncher.exe ” 物理学- HKLM \ .. \运行: [ GrooveMonitor ]的“ C : \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ” 物理学- HKLM \ .. \运行: [ Adobe Reader软件调速器]的“ C : \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ” 物理学- HKLM \ .. \运行: [ NeroFilterCheck ] ç : \ Program Files文件\共同文件\尼禄\库\ NeroCheck.exe 物理学- HKLM \ .. \运行: [ NBKeyScan ]的“ C : \ Program Files文件\尼禄\ Nero8 \ Nero的BackItUp \ NBKeyScan.exe ” 物理学- HKLM \ .. \运行: [安装Adobe Acrobat调速器]的“ C : \ Program Files文件\ Adobe公司\杂技演员9.0 \杂技\ Acrobat_sl.exe ” 物理学- HKLM \ .. \运行: [ ccApp ]的“ C : \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ” 物理学- HKLM \ .. \运行: [ vptray ] ç : \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe 物理学- HKLM \ .. \运行: [ iTunesHelper ]的“ C : \ Program Files文件\的iTunes \ iTunesHelper.exe ” 物理学- HKLM \ .. \运行: [ Layersecurity Servicemonitor ] ç : \窗口\ system32 \ LSSMON.EXE 物理学- HKLM \ .. \运行: [打印后台处理程序] ç : \窗口\ system32 \ SPOOLER.EXE 物理学- HKCU \ .. \运行: [工作分组] ç : \ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe 物理学- HKCU \ .. \运行: [ QuickTime的工作]的“ C : \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime 物理学- HKCU \ .. \运行: [的H / PC连接代理]的“ C : \ Program Files文件\微软ActiveSync \ wcescomm.exe ” 物理学- HKCU \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会 物理学- HKCU \ .. \运行: [ IndxStoreSvr_ ( 79662E04 - 7C6C - 4d9f - 84C7 - 88D8A56B10AA ) ]的“ C : \ Program Files文件\共同文件\尼禄\库\ NMIndexStoreSvr.exe ”麻生- 616B5711 - 6DAE - 4795 - A05F - 39A1E5104020 物理学- HKCU \ .. \运行: [ SpybotSD TeaTimer ] ç : \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe 物理学- HKCU \ .. \运行: [ AdobeUpdater ] ç : \ Program Files文件\共同文件\的Adobe \更新\ AdobeUpdater.exe 物理学- HKLM \ .. \政策\浏览器\运行: [ LocalSecurityAuthoritySubsystem ] ç : \窗口\ Lsass.exe中 物理学-启动: Adobe公司Gamma.lnk = C的: \ Program Files文件\共同文件\的Adobe \校准\ Adobe公司伽玛Loader.exe 物理学-启动: OneNote 2007中屏快船和Launcher.lnk = C的: \ Program Files文件\微软Office \ Office12 \ ONENOTEM.EXE 物理学-全球启动: Windows桌面Search.lnk = C的: \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe O8 -额外上下文菜单项目:与美国在线工具栏搜索- ç : \ Program Files文件\美国在线\美国在线工具栏2.0 \资源\恩美\地方\ search.html O8 -额外上下文菜单项目:将链接目标到现有的PDF格式-水库: / /炭: \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEFavClient.dll / AcroIEAppendSelLinks.html O8 -额外上下文菜单项目:附加到现有PDF格式-水库: / /炭: \ Program Files文件\共同文件\ Adobe公司\杂技\的ActiveX \ AcroIEFavClient.dll / AcroIEAppend.html O8 -额外上下文菜单项目:转换链接目标到Adobe PDF -水库: / /炭: \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEFavClient.dll / AcroIECaptureSelLinks.html O8 -额外上下文菜单项目:转换到Adobe PDF -水库: / /炭: \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEFavClient.dll / AcroIECapture.html O8 -额外上下文菜单项目:汇出至Microsoft Excel -水库: / /炭: \ PROGRA 〜 1 \微〜 4 \ Office12 \ EXCEL.EXE/3000 O9 -额外的按钮: (无姓名) - ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll O9 -额外的'工具' menuitem : Sun公司的Java控制台- ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll O9 -额外的按钮:发送到OneNote - ( 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ) - ç : \ PROGRA 〜 1 \微〜 4 \ Office12 \ ONBttnIE.dll O9 -额外的'工具' menuitem :标准普尔年底到OneNote - ( 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ) - ç : \ PROGRA 〜 1 \微〜 4 \ Office12 \ ONBttnIE.dll O9 -额外的按钮:创建移动收藏夹- ( 2EAF5BB1 - 070F - 11D3 - 9307 - 00C04FAE2D4F ) - ç : \ PROGRA 〜 1 \微〜 3 \ INetRepl.dll O9 -额外的按钮: (无姓名) - ( 2EAF5BB2 - 070F - 11D3 - 9307 - 00C04FAE2D4F ) - ç : \ PROGRA 〜 1 \微〜 3 \ INetRepl.dll O9 -额外的'工具' menuitem :创建移动收藏... - ( 2EAF5BB2 - 070F - 11D3 - 9307 - 00C04FAE2D4F ) - ç : \ PROGRA 〜 1 \微〜 3 \ INetRepl.dll O9 -额外的按钮:美国在线工具栏- ( 3369AF0D - 62E9 - 4bda - 8103 - B4C75499B578 ) - ç : \ Program Files文件\美国在线\美国在线工具栏2.0 \ aoltb.dll O9 -额外的按钮:研究- ( 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ) - ç : \ PROGRA 〜 1 \ MIC273 〜 1 \ Office12 \ REFIEBAR.DLL O9 -额外的按钮:目的- ( AC9E2541 - 2814 - 11d5 - BC6D - 00B0D0A1DE45 ) - ç : \ Program Files文件\目的\ aim.exe O9 -额外的按钮: (无姓名) - ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的'工具' menuitem : Spybot蠕虫-搜索和摧毁配置- ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的按钮: Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O9 -额外的'工具' menuitem : Windows Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O14 - IERESET.INF : START_PAGE_URL = http://www.averatec.com O16 -柴油机微粒过滤器: ( 0D6BB8B8 - 0257 - 420C - B9EB - CFA90DB1026C ) - http://svrnsec01.purchase.edu:88/setup.cab O16 -柴油机微粒过滤器: ( 6414512B - B978 - 451D - A0D8 - FCFDF33E833C ) ( WUWebControl类) - http://v5.windowsupdate.microsoft.co...?1096453339343 O18 -协议: grooveLocalGWS - ( 88FED34C - F0CA - 4636 -瘤A375 - 3CB6248B04CD ) - ç : \ PROGRA 〜 1 \微〜 4 \ Office12 \ GR99D3 〜 1.DLL O18 -协议: skype4com - ( FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ) - ç : \ PROGRA 〜 1 \常见〜 1 \ Skype的\ SKYPE4 〜 1.DLL ø20 - AppInit_DLLs : acaptuser32.dll O23 -服务:的Ad - Aware 2007年服务( aawservice ) - Lavasoft - ç : \ Program Files文件\ Lavasoft \的Ad - Aware 2007年\ aawservice.exe O23 -服务: Adobe公司长征服务- Adobe系统- ç : \ Program Files文件\共同文件\ Adobe系统共享\服务\ Adobelmsvc.exe O23 -服务:苹果移动设备-苹果- ç : \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe O23 -服务:自动的LiveUpdate调度程序- Symantec公司- ç : \ Program Files文件\赛门铁克\的LiveUpdate \ ALUSchedulerSvc.exe O23 -服务:卓悦服务-苹果公司- ç : \ Program Files文件\卓悦\ mDNSResponder.exe O23 -服务:赛门铁克事件管理器( ccEvtMgr ) - Symantec公司- ç : \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe O23 -服务:赛门铁克设置管理器( ccSetMgr ) - Symantec公司- ç : \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe O23 -服务: CSIScanner - Prevx - ç : \ Program Files文件\ PrevxCSI \ prevxcsi.exe O23 -服务:赛门铁克防病毒定义观察者( DefWatch ) - Symantec公司- ç : \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe O23 -服务: FLEXnet许可服务- Macrovision的欧洲公司- ç : \ Program Files文件\共同文件\ Macrovision的共享\ FLEXnet Publisher中\ FNPLicensingService.exe O23 -服务:谷歌更新器服务( gusvc ) -谷歌- ç : \ Program Files文件\谷歌\共同\谷歌更新\ GoogleUpdaterService.exe O23 -服务: InstallDriver表经理( IDriverT ) - Macrovision公司- ç : \ Program Files文件\共同文件\ InstallShield \驱动程序\ 11 \英特尔32 \ IDriverT.exe O23 -服务: iPod服务-苹果- ç : \ Program Files文件\苹果\斌\ iPodService.exe O23 -服务:的LiveUpdate - Symantec公司- ç : \ PROGRA 〜 1 \赛门铁克\ LIVEUP 〜 1 \ LUCOMS 〜 1 O23 -服务:尼禄BackItUp调度3 - Nero的股份公司- ç : \ Program Files文件\尼禄\ Nero8 \ Nero的BackItUp \ NBService.exe O23 -服务: NMIndexingService - Nero的股份公司- ç : \ Program Files文件\共同文件\尼禄\库\ NMIndexingService.exe O23 -服务: PLFlash DeviceIoControl服务-胎科技有限公司- ç : \窗口\ system32 \ IoctlSvc.exe O23 -服务:安全访问代理( SafeAccessAgent ) - StillSecure的- ç : \ Program Files文件\ StillSecure的\安全访问代理\ SAService.exe O23 -服务: SAVRoam ( SavRoam ) -赛门铁克- ç : \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe O23 -服务:赛门铁克网络驱动器服务( SNDSrvc ) - Symantec公司- ç : \ Program Files文件\共同文件\赛门铁克共享\ SNDSrvc.exe O23 -服务:赛门铁克SPBBCSvc ( SPBBCSvc ) - Symantec公司- ç : \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe O23 -服务:赛门铁克杀毒软件- Symantec公司- ç : \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe O23 -服务: SymWMI服务( SymWSC ) - Symantec公司- ç : \ Program Files文件\共同文件\赛门铁克共享\安全中心\ SymWSC.exe O23 -服务:观管理服务-观公司- ç : \ Program Files文件\观\共同\ ViewpointService.exe - 文件结尾- 14719字节 |
|
#8
2008年09月23日, 10:25
| |||
| |||
| 下载 Malwarebytes '反恶意软件( MBAM )
特注: 如果MBAM遇到文件,很难去除,你会看到1 2提示,单击确定以要么让MBAM进行消毒过程中,如果要求重新启动计算机时,请立即这样做。 ---------- 现在运行一个新的了HijackThis扫描后记录连同MBAM日志。
__________________ |
