妈妈下载东西

**Coolyxxx** · ＃1 2008年10月31日，03:00

嗨，
嗯，我妈妈的东西和下载防火墙想出了一些信息。不知怎的，它被认为是安装在她告诉我的。所以，现在正在运行的扫描，但可能需要一段时间，因为它是一个缓慢的计算机。我不知道是什么，它被称为尽管，这一切奇怪的符号，而无法读取。了HijackThis日志不过，至少有一件事并不需要很长时间...

日志文件的趋势科技了HijackThis v2.0.2
扫描保存在下午8时53分31秒，就31/10/2008
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16735 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ SYSTEM32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ Avast4 \ aswUpdSv.exe
ç ： \ Program Files文件\ Avast4 \ ashServ.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\爱普生\ EBAPI \ SAgent2.exe
ç ： \窗口\ SYSTEM32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ SearchIndexer.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \ PROGRA 〜 1 \ Avast4 \ ashDisp.exe
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \ Program Files文件\ Avast4 \ ashMaiSv.exe
ç ： \ Program Files文件\ Avast4 \ ashWebSv.exe
ç ： \ Program Files文件\磷酸二铵\ DAP.EXE
ç ： \ Program Files文件\ SUPERAntiSpyware \ SUPERAntiSpyware.exe
ç ： \ Program Files文件\ Malwarebytes '反恶意软件\ mbam.exe
ç ： \ Program Files文件\ Spybot蠕虫-搜索和消灭\ SpybotSD.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \ Program Files文件\ Avast4 \ ashSimpl.exe
ç ： \的Documents and Settings \会员\桌面\ HiJackThis.exe
ç ： \ Program Files文件\ Avast4 \设置\ avast.setup

R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.yahoo.com.hk/
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM \软件\微软\的Internet Explorer \搜索， SearchAssistant =
受体1 - HKCU \软件\微软\的Internet Explorer \主，窗口标题=的Windows Internet Explorer提供署长凯文
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride =地方
R3的- URLSearchHook ：（无姓名） - （ 0A94B116 - 4504 - 4e26 - AB05 - E61E474AA38B ） - （没有文件）
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll
氧- BHO ： RealPlayer下载和记录插件的Internet Explorer - （ 3049C3E9 - B461 - 4BC5 - 8870 - 4C09146192CA ） - ç ： \ Program Files文件\真实\的RealPlayer \ rpbrowserrecordplugin.dll
氧- BHO ： Spybot蠕虫，特殊和差别待遇的IE浏览器保护- （ 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll
氧- BHO ：（无姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （没有文件）
氧- BHO ：的Windows Live登录助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ”
物理学- HKLM \ .. \运行： [ ATICCC ]的“ C ： \ Program Files文件\ ATI科技\ ATI.ACE \名为”运行时间延迟
物理学- HKLM \ .. \运行： [ avast ！ ] ç ： \ PROGRA 〜 1 \ Avast4 \ ashDisp.exe
物理学- HKLM \ .. \的RunOnce ： [ Malwarebytes '反恶意软件] ç ： \ Program Files文件\ Malwarebytes '反恶意软件\ mbamgui.exe /安装/沉默
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
物理学-启动：脂肪醇聚氧乙烯醚¶ ¯ ÉËÙÍÁ ¶ ¹ 。 lnk = ？
O8 -额外上下文菜单项目：与清洁轨迹- ç ： \ Program Files文件\磷酸二铵\隐私包\ dapcleanerie.htm
O8 -额外上下文菜单项目：＆下载＆磷酸二铵- ç ： \ Program Files文件\磷酸二铵\ dapextie.htm
O8 -额外上下文菜单项目：下载和所有与磷酸二铵- ç ： \ Program Files文件\磷酸二铵\ dapextie2.htm
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮：（无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮：联系- （ c95fe080 - 8f5d - 11d2 - a20b - 00aa003c157b ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -额外的'工具' menuitem ：？？联系- （ c95fe080 - 8f5d - 11d2 - a20b - 00aa003c157b ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -额外的按钮：（无姓名） - （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的'工具' menuitem ： Spybot蠕虫-搜索和摧毁配置- （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的按钮：（无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器：（ 17492023 - C23A - 453E - A040 - C7C580BBF700 ）（ Windows Genuine Advantage验证工具） - http://go.microsoft.com/fwlink/?linkid=39204
O16 -柴油机微粒过滤器：（ 4F1E5B1A - 2A80 - 42CA - 8532 - 2D05CB959537 ） - http://by107fd.bay107.hotmail.msn.co...s/MsnPUpld.cab
O16 -柴油机微粒过滤器：（ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） - http://messenger.zone.msn.com/EN-AU/.../GAME_UNO1.cab
O16 -柴油机微粒过滤器：（ 6E32070A - 766D - 4EE6 - 879C - DC1FA91D2FC3 ）（ MUWebControl类） - http://update.microsoft.com/microsof...?1133040258574
O16 -柴油机微粒过滤器：（ 8E0D4DE5 - 3180 - 4024 - A327 - 4DFAD1796A8D ） - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 -柴油机微粒过滤器：（ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 -柴油机微粒过滤器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（冲击波的Flash对象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
ø20 - Winlogon通知：！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL
O23 -服务：的Ad - Aware 2007年服务（ aawservice ） - Lavasoft AB公司- ç ： \ Program Files文件\ Lavasoft \的Ad - Aware 2007年\ aawservice.exe
O23 -服务： avast ！ iAVS4管制局（ aswUpdSv ） - ALWIL软件- ç ： \ Program Files文件\ Avast4 \ aswUpdSv.exe
O23 -服务：阿提热键轮询- ATI Technologies公司- ç ： \窗口\ system32 \ Ati2evxx.exe
O23 -服务： ATI的智能-未知所有者- ç ： \窗口\ system32 \ ati2sgag.exe
O23 -服务： avast ！防病毒- ALWIL软件- ç ： \ Program Files文件\ Avast4 \ ashServ.exe
O23 -服务： avast ！邮件扫描- ALWIL软件- ç ： \ Program Files文件\ Avast4 \ ashMaiSv.exe
O23 -服务： avast ！网络扫描- ALWIL软件- ç ： \ Program Files文件\ Avast4 \ ashWebSv.exe
O23 -服务：爱普生打印机状态Agent2 （ EPSONStatusAgent2 ） -精工爱普生株式会社- ç ： \ Program Files文件\共同文件\爱普生\ EBAPI \ SAgent2.exe

-
文件结尾- 7692字节
_______________________________________________
任何帮助表示赞赏。
BTW 。我无法找到一个图标看起来像'卸载'给我，所以不会被卸载的选项...

**Coolyxxx** · ＃2 2008年10月31日，15时21分

好。我离开了扫描运行，但是SuperAntiSpyware不断遇到的问题和关闭...我MalwareBytes日志浏览：

Malwarebytes '反恶意软件1月30日
数据库版本： 1343年
2600年5月1号的Windows Service Pack 3中

08年1月11日上午9时十九分03秒
mbam日志- 2008 - 11 - 01 （ 09-19-03 ）。文本

扫描类型：全扫描（丙： \ | D组： \ |电子： \ | ）
物体扫描： 190626
间隔时间： 3小时（ S ）的五十六分钟（ s ）款，二八秒（县）

记忆过程感染： 0
内存感染： 0
受感染的注册表项： 0
注册表值感染： 0
注册表数据项目感染： 0
文件夹感染： 0
文件感染： 2

记忆过程感染：
（没有恶意项目检测）

内存感染：
（没有恶意项目检测）

受感染的注册表项：
（没有恶意项目检测）

注册表值感染：
（没有恶意项目检测）

注册表数据项目感染：
（没有恶意项目检测）

受感染的文件夹：
（没有恶意项目检测）

文件感染：
ç ： \窗口\ system32 \ _005069_.tmp.dll （ Trojan.Agent ） - “隔离，并已成功删除。
ç ： \窗口\ system32 \ _005101_.tmp.dll （ Trojan.Agent ） - “隔离，并已成功删除。

**格拉斯哥** · ＃3 2008年10月31日，15时24

您好

继续扫描您正在运行，然后按照这些说明。

下载 ComboFix 从这些地点：

链接1
链接2
链接3

*重要！保存ComboFix.exe到您的桌面

禁用您的防病毒和反间谍软件应用程序，通常是通过右键点击系统托盘图标。他们可能会以其他方式干扰我们的工具
双击ComboFix.exe ＆按照提示操作。
的一部分，它的过程中， ComboFix将请检查Microsoft Windows故障恢复控制台安装。恶意软件感染正在象今天，强烈推荐此预先安装在您的机器上之前，做任何的恶意代码删除。这将允许您开机进入一个特殊的恢复/修复模式，使我们能够更方便地帮助您如果您的电脑有问题后，试图消除恶意软件。
按照提示，让ComboFix下载并安装Microsoft Windows故障恢复控制台，并在出现提示时，同意最终用户许可协议安装Microsoft Windows故障恢复控制台。

**请注意：如果Microsoft Windows故障恢复控制台已经安装， ComboFix将继续是恶意软件清除程序。

一旦微软Windows故障恢复控制台安装使用ComboFix ，您应该会看到以下消息：

点击是继续扫描恶意软件。

完成时，须出示ComboFix记录你。请注明 ç ： \ ComboFix.txt 在您下一次的答复，还有其他的记录。

**Coolyxxx** · ＃4 2008年10月31日，15:52

出于某种原因， ComboFix关闭SuperAntiSpyware虽然扫描，因此，现在重新启动。和avast ！无法启动了默认了...我打开的程序，但它还是在系统托盘中的事...和程序，我的妈妈下载设置上运行启动...反正在这里登录：

ComboFix 08-10-30.13 -贵宾2008年11月1日9:36:52.1 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.732 [格林尼治标准时间11:00 ]
运行中： C ： \的Documents and Settings \会员\桌面\ ComboFix.exe
*创建了一个新的还原点
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç ： \ Program Files文件\魔兽争霸III \ _desktop.ini
ç ： \窗口\ system32 \ _005058_.tmp.dll
ç ： \窗口\ system32 \ _005059_.tmp.dll
ç ： \窗口\ system32 \ _005060_.tmp.dll
ç ： \窗口\ system32 \ _005061_.tmp.dll
ç ： \窗口\ system32 \ _005068_.tmp.dll
ç ： \窗口\ system32 \ _005070_.tmp.dll
ç ： \窗口\ system32 \ _005071_.tmp.dll
ç ： \窗口\ system32 \ _005072_.tmp.dll
ç ： \窗口\ system32 \ _005073_.tmp.dll
ç ： \窗口\ system32 \ _005074_.tmp.dll
ç ： \窗口\ system32 \ _005075_.tmp.dll
ç ： \窗口\ system32 \ _005076_.tmp.dll
ç ： \窗口\ system32 \ _005077_.tmp.dll
ç ： \窗口\ system32 \ _005078_.tmp.dll
ç ： \窗口\ system32 \ _005079_.tmp.dll
ç ： \窗口\ system32 \ _005080_.tmp.dll
ç ： \窗口\ system32 \ _005081_.tmp.dll
ç ： \窗口\ system32 \ _005082_.tmp.dll
ç ： \窗口\ system32 \ _005084_.tmp.dll
ç ： \窗口\ system32 \ _005087_.tmp.dll
ç ： \窗口\ system32 \ _005088_.tmp.dll
ç ： \窗口\ system32 \ _005092_.tmp.dll
ç ： \窗口\ system32 \ _005093_.tmp.dll
ç ： \窗口\ system32 \ _005094_.tmp.dll
ç ： \窗口\ system32 \ _005095_.tmp.dll
ç ： \窗口\ system32 \ _005096_.tmp.dll
ç ： \窗口\ system32 \ _005097_.tmp.dll
ç ： \窗口\ system32 \ _005098_.tmp.dll
ç ： \窗口\ system32 \ _005099_.tmp.dll
ç ： \窗口\ system32 \ _005100_.tmp.dll
ç ： \窗口\ system32 \ _005102_.tmp.dll
ç ： \窗口\ system32 \ _005103_.tmp.dll
ç ： \窗口\ system32 \ _005104_.tmp.dll
ç ： \窗口\ system32 \ _005106_.tmp.dll
ç ： \窗口\ system32 \ _005107_.tmp.dll
ç ： \窗口\ system32 \ _005108_.tmp.dll
ç ： \窗口\ system32 \ _005109_.tmp.dll
ç ： \窗口\ system32 \ _005110_.tmp.dll
ç ： \窗口\ system32 \ _005111_.tmp.dll
ç ： \窗口\ system32 \ _005112_.tmp.dll
ç ： \窗口\ system32 \ _005115_.tmp.dll
ç ： \窗口\ system32 \ _005116_.tmp.dll
ç ： \窗口\ system32 \ _005117_.tmp.dll
ç ： \窗口\ system32 \ _005118_.tmp.dll
ç ： \窗口\ system32 \ _005119_.tmp.dll
ç ： \窗口\ system32 \ _005121_.tmp.dll
ç ： \窗口\ system32 \ _005122_.tmp.dll
ç ： \窗口\ system32 \ _005123_.tmp.dll
ç ： \窗口\ system32 \ _005125_.tmp.dll
ç ： \窗口\ system32 \ _005128_.tmp.dll
ç ： \窗口\ system32 \ _005129_.tmp.dll
ç ： \窗口\ system32 \ _005133_.tmp.dll
ç ： \窗口\ system32 \ _005134_.tmp.dll
ç ： \窗口\ system32 \ _005136_.tmp.dll
ç ： \窗口\ system32 \ _005137_.tmp.dll
ç ： \窗口\ system32 \ _005139_.tmp.dll
ç ： \窗口\ system32 \ _005141_.tmp.dll
ç ： \窗口\ system32 \ _005142_.tmp.dll
ç ： \窗口\ system32 \ _005143_.tmp.dll
ç ： \窗口\ system32 \ _005144_.tmp.dll
ç ： \窗口\ system32 \ _005147_.tmp.dll
ç ： \窗口\ system32 \ _005148_.tmp.dll
ç ： \窗口\ system32 \ _005149_.tmp.dll
ç ： \窗口\ system32 \ _005150_.tmp.dll
ç ： \窗口\ system32 \ _005151_.tmp.dll
ç ： \窗口\ system32 \ _005156_.tmp.dll
ç ： \窗口\ system32 \ _005158_.tmp.dll
ç ： \窗口\ system32 \缓存
ç ： \窗口\ system32 \ Cfx32.lic
ç ： \窗口\ system32 \ cfx32.ocx

。
(((((((((((((((((((((((((((((((((((((((司机/服务)))))))) )))))))))))))))))))))))))))))))))))))))))
。

------- \ Legacy_NPF

(((((((((((((((((((((((((创建的文件从2008年9月28日至2008年10月31号))))))))))) ))))))))))))))))))))
。

2008年10月31号20:45 。 2008年10月31号20:45 <DIR> d -------- ç ： \的Documents and Settings \会员\应用数据\ SUPERAntiSpyware.com
2008年10月31号20:45 。 2008年10月31号20:45 <DIR> d -------- ç ： \的Documents and Settings \会员\应用数据\ Malwarebytes
2008年10月31号20点33分。 2008年10月31号20点33分<DIR> d -------- ç ： \ Program Files文件\ Tudou
2008年10月24号12:04 。 2008年10月16号03:34 337408 ----- ç --- ç ： \窗口\ system32 \ dllcache \ netapi32.dll
二零零八年十月十五号20:43 。 2008年9月15号23:12 --- 1846400 ----- ç ç ： \窗口\ system32 \ dllcache \ Win32k.sys中
二零零八年十月十五号20:43 。 2008年9月8日21:41 333824 ----- ç --- ç ： \窗口\ system32 \ dllcache \ srv.sys
二零零八年十月十五号20点42分。 2008年8月14号21时11 2189184 ----- ç --- ç ： \窗口\ system32 \ dllcache \的Ntoskrnl.exe
二零零八年十月十五号20点42分。 2008年8月14号21:09二百十四点五二八万----- --- ç ç ： \窗口\ system32 \ dllcache \ ntkrnlmp.exe
二零零八年十月十五号20点42分。 2008年8月14号20点33 2066048 ----- ç --- ç ： \窗口\ system32 \ dllcache \ ntkrnlpa.exe
二零零八年十月十五号20点42分。 2008年8月14号20点33 2023936 ----- ç --- ç ： \窗口\ system32 \ dllcache \ ntkrpamp.exe
2008年9月18号19:05 。 2008年10月31号20:52 <DIR> d -------- ç ： \ Program Files文件\ Avast4

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年10月31号22:38 --------- d -----钨： \ Program Files文件\魔兽争霸III
2008年10月31号22:30 --------- -----钨d ： \文件和设置\所有用户\应用数据\ Spybot蠕虫-搜索和摧毁
2008年10月31号09:47 --------- d -----钨： \ Program Files文件\ Malwarebytes '反恶意软件
2008年10月31号09:32 --------- d ---胡ç ： \的Documents and Settings \所有用户\应用数据的\ Temp
08年10月22日05:10 38496 ----胡ç ： \窗口\ system32 \驱动程序\ mbamswissarmy.sys
08年10月22日05:10 15504 ----胡ç ： \窗口\ system32 \驱动程序\ mbam.sys
2008年10月9号06:46 --------- d -----钨： \ Program Files文件\ PPStream
2008年10月9号03:31 --------- d -----钨： \ Program Files文件\ SUPERAntiSpyware
2008年10月9号03:28 --------- d -----钨： \ Program Files文件\ Spybot蠕虫-搜索和摧毁
2008年9月18号08:42 --------- d -----钨： \的Documents and Settings \会员\应用数据\未来
2008年9月8日10时41 333824 ----胡ç ： \窗口\ system32 \驱动程序\ srv.sys
。

(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ]

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ NeroFilterCheck ” =的“ C ： \窗口\ system32 \ NeroCheck.e氙” [ 2001年7月9日155648 ]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ” [ 2008年6月10号144784 ]
“ ATICCC ” =的“ C ： \ Program Files文件\ ATI科技\ ATI.ACE \名为” [ 2006年1月2日45056 ]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ]

ç ： \的Documents and Settings \会员\开始菜单\程序\启动\
' “ ôîú ÓëÖμôû.lnk - ç ： \ Program Files文件\ Tudou \ Ú ÓëTudou \ TudouVa.exe [ 2008年7月6日3248128 ]

[ HKEY_CURRENT_USER \软件\微软\窗户\曲线ntversion \政策\制度]
“ DisableChangePassword ” = 1 （ 0x1 ）

[ HKEY_CURRENT_USER \软件\微软\窗户\曲线ntversion \政策\总管]
“ NoAutoUpdate ” = 1 （ 0x1 ）
“ MaxRecentDocs ” = 1 （ 0x1 ）

[ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ]
“ （ 56F9679E - 7826 - 4C84 - 81F3 - 532071A8BCC5 ） ” =的“ C ： \ Program Files文件\ Windows桌面搜索\ MSNLNamespaceMgr.dll ” [ 2006年4月24日282624 ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” =的“ C ： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2008年5月13日77824 ]

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon ]
“ UIHost ” =的“ C ： \ \窗口\ \ system32 \ \ logonuiX.exe ”

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
2008年10月9号14:31 352256 ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ drivers32 ]
“ VIDC.I420 ” = i420vfw.dll
“奥克斯” = ctwdm32.dll
“ VIDC.HFYU ” = huffyuv.dll
“ VIDC.X264 ” = x264vfw.dll
“ VIDC.3iv2 ” = 3ivxVfWCodec.dll
“ VIDC.VP31 ” = vp31vfw.dll
“ msacm.l3fhg ” = mp3fhg.acm
“ msacm.ac3filter ” = ac3filter.acm

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^ ^所有用户程序启动菜单^ ^ ^的Adobe Reader启动速度Launch.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Adobe Reader软件的启动速度Launch.lnkCommon

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^的Adobe Reader Synchronizer.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Adobe Reader软件Synchronizer.lnkCommon启动

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ WinZip的快速Pick.lnk ]
备份= C的： \窗口\藻酸双酯钠\ WinZip的快速Pick.lnkCommon启动

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ Azureus涡轮Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Azureus涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ Azureus超Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Azureus超Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ BitTorrent的涡轮Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ BitTorrent的涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^电驴涡轮Accelerator.lnk ]
备份= C的： \窗口\器\电驴涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ LimeWire论Startup.lnk ]
备份= C的： \窗口\藻酸双酯钠\ LimeWire论Startup.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ LimeWire涡轮Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ LimeWire涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ PowerReg调度V3.exe ]
备份= C的： \窗口\藻酸双酯钠\ PowerReg调度V3.exeStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^注册彩虹六号]
备份= C的： \窗口\藻酸双酯钠\登记汤姆克兰西的彩虹SixStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ SpeedFan.lnk ]
备份= C的： \窗口\藻酸双酯钠\ SpeedFan.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ Thoosje Sidebar.lnk ]

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ WordWeb.lnk ]
备份= C的： \窗口\藻酸双酯钠\ WordWeb.lnkStartup
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ ！的AVG反间谍软件
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ BitTorrent软件
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \老板键
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ CmCardRun
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ CursorXP
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ EasyTuneVPro
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ iTunesHelper
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ LogonStudio
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ OrderReminder
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ RecordPadRun
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ SpeedOptimizer
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \工作分组
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Veoh

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Adobe公司图片下载]
-一个------ 2005年9月9日01:18 57344 ç ： \ Program Files文件\ Adobe公司\的Photoshop要件4.0 \ apdproxy.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ BgMonitor_ （ 79662E04 - 7C6C - 4d9f - 84C7 - 88D8A56B10AA ） ]
-一个------ 2006年4月21日18:03 94208 ç ： \ Program Files文件\共同文件\前\图书馆\ NMBgMonitor.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ DAEMON工具]
-一个05年12月11号01:57十三万三千〇一十六------ ç ： \ Program Files文件\ DAEMON工具\ daemon.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ LanguageShortcut ]
-一个------ 06年4月13日12时09分49152 ç ： \ Program Files文件\连\ PowerDVD 』 \语言\ Language.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ QuickTime的工作]
-一个------ 2008年3月29日00:37 413696 ç ： \ Program Files文件\钾解码器\的QuickTime \ QTTask.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ RemoteControl ]
-一个------ 05年12月7日23时57分30208 ç ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ SpybotSD TeaTimer ]
- rahs ---- 08年9月16日12时十六1833296 ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \蒸汽]
-一个------ 2008年3月29日09:39 1271032 ç ： \阀\蒸汽\ Steam.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Uniblue RegistryBooster 2 ]
-一个------ 2007年12月5号16点06 1885464 ç ： \ Program Files文件\ Uniblue \ RegistryBooster 2 \ RegistryBooster.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Uniblue SpeedUpMyPC ]
-一个------ 2008年1月29日09:46 9442584 ç ： \ Program Files文件\ Uniblue \ SpeedUpMyPC 3 \ SpeedUpMyPC.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ WinampAgent ]
-一个------ 2008年4月2日05:49 36352 ç ： \ Program Files文件\ AOL的Winamp \ winampa.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ BluetoothAuthenticationA代理]
-一个------ 08年4月14日06:42 110592 ç ： \窗口\ system32 \ bthprops.cpl

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \架C -媒体搅拌机]
-一个------ 2003年3月20号17:21 1855488 ç ： \窗口\ mixer.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \服务]
“ WMPNetworkSvc ” = 3 （ 0x3 ）
“ gusvc ” = 3 （ 0x3 ）
“ RichVideo ” = 2 （ 0x2 ）
“ BthServ ” = 2 （ 0x2 ）
“ iPod服务” = 3 （ 0x3 ）
“苹果移动设备” = 2 （ 0x2 ）
“通知服务的LiveUpdate ” = 2 （ 0x2 ）
“ VideoAcceleratorEngine ” = 3 （ 0x3 ）
“山东” = 2 （ 0x2 ）
“ IDriverT ” = 3 （ 0x3 ）
“ aawservice ” = 3 （ 0x3 ）
“ PDEngine ” = 3 （ 0x3 ）
“ PDAgent ” = 3 （ 0x3 ）
“完全匹配层驱动HPZ12 ” = 3 （ 0x3 ）
“ CPUCooLServer ” = 2 （ 0x2 ）
“ usnjsvc ” = 3 （ 0x3 ）
“ AdobeActiveFileMonitor4.0 ” = 2 （ 0x2 ）
“ WLSetupSvc ” = 3 （ 0x3 ）
“ cmdAgent ” = 2 （ 0x2 ）
“ FLEXnet许可服务” = 3 （ 0x3 ）
“卓悦服务” = 2 （ 0x2 ）
“糖” = 3 （ 0x3 ）

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecFirewall ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \磷酸二铵\ \ DAP.exe ” =
的“ C ： \ \ Program Files文件\ \传送\ \ msmsgs.exe ” =
“ <NO名称” =的“ C ： \ \ Program Files文件\ \ PPStream \ \ PPStream.exe ”的“ C ： \ \ Program Files文件\ \ PPStream \ \ PPStream.exe
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” =
的“ C ： \ \ Program Files文件\ \的Windows Live \ \ Messenger的\ \ msnmsgr.exe ” =
的“ C ： \ \ Program Files文件\ \的Windows Live \ \ Messenger的\ \ livecall.exe ” =
的“ C ： \ \ Program Files文件\ \ UT2004 \ \系统\ \ UT2004.exe ” =
的“ C ： \ \ Program Files文件\ \ DeusEx \ \系统\ \ DeusEx.exe ” =
的“ C ： \ \ Program Files文件\ \ Tudou \ \ ÉËÙTudou \ \ TudouVa.exe ” =

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单]
“ 3389 ： TCP连接” = 3389 ：为tcp ： * ：禁用： @ xpsp2res.dll ， -22009
“ 15394 ： TCP连接” = 15394 ： TCP连接： * ：禁用： BitComet 15394的TCP
“ 15394 ： UDP连接” = 15394 ： UDP连接： * ：禁用： BitComet 15394 UDP连接
“ 6555 ： TCP连接” = 6555 ：为tcp ： * ：禁用： BitComet 6555 TCP连接
“ 6555 ： UDP连接” = 6555 ： UDP连接： * ：禁用： BitComet 6555 UDP连接

受体1 aswSP ; avast ！自我保护; ç ： \窗口\ system32 \驱动程序\ aswSP.sys [ 2008年7月20号78416 ]
受体1 atitray ; atitray ; ç ： \ Program Files文件\射线亚当斯\ ATI的托盘工具\ atitray.sys [ 2007年5月22日18088 ]
R2的aswFsBlk ; aswFsBlk ; ç ： \窗口\ system32 \驱动程序\ aswF sBlk.sys [ 2008年7月20号二点〇五六万]
R2的ROCKEYNT ; ROCKEYNT ; ç ： \窗口\ system32 \驱动程序\摇滚eynt.sys [ 2005年1月4日18223 ]
R2的SBKUPNT ; SBKUPNT ; ç ： \窗口\ system32 \驱动程序\ SBKUPN吨系统[ 2001年7月13号14976 ]
三motccgp ;摩托罗拉的USB复合设备驱动程序; ç ： \窗口\ system32 \驱动程序\ motccgp.sys [ 2007年6月18号17920 ]
三motccgpfl ; MotCcgpFlService ; ç ： \窗口\ system32 \海绵铁自愿\ motccgpfl.sys [ 2007年1月22日7680 ]
三MotDev ;摩托罗拉USB设备; ç ： \窗口\ system32 \驱动程序\ motodrv.sys [ 2007年5月7日42112 ]
三RTLWUSB ;网件WG111v2 54Mbps的无线USB 2.0适配器NT驱动程序; ç ： \窗口\ system32 \驱动程序\ wg111v2.sys [ 2006-03-16 167808 ]
三XDva042 ; XDva042 ; ç ： \窗口\ system32 \ XDva042.sys [ ]
。
内容'计划任务的文件夹

2008年10月1日ç ： \窗口\任务\ AppleSoftwareUpdate.job
- ç ： \ Program Files文件\苹果软件更新\ SoftwareUpdate.exe [ 2007年8月29日14时57分]

2008年10月27日ç ： \窗口\任务\ Uniblue SpeedUpMyPC Nag.job
- ç ： \ Program Files文件\ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [ ]

2007年5月14号ç ： \窗口\任务\ Uniblue SpeedUpMyPC.job
- ç ： \ Program Files文件\ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [ ]

2008年10月25号ç ： \窗口\任务\ Uniblue SpyEraser Nag.job
- ç ： \ Program Files文件\ Uniblue \ SpyEraser \ SpyEraser.exe [ ]
。
- - - -孤寡删除- - - -

URLSearchHooks - （ 0A94B116 - 4504 - 4e26 - AB05 - E61E474AA38B ） - （没有文件）
ShellIconOverlayIdentifiers -十六进制（ 2 ）： 7B条， 38,41,34,32,44,46,42,46,2天， 37,38,36,38,2天， 34,30,32,39,2天， 39 ， 35,38 ， \ - （无档案）
ShellExecuteHooks （ E0D8FD38 - 6F36 - 4C9F - AE43 - EDFA2BB266BA ） - （没有文件）
MSConfigStartUp -魔岛防火墙- ç ： \ Program Files文件\魔岛\防火墙\ cfp.exe
MSConfigStartUp - EzPrint - ç ： \ Program Files文件\利盟4300系列\ ezprint.exe
MSConfigStartUp - FaxCenterServer - ç ： \ Program Files文件\利盟传真解决方案\ fm3032.exe
MSConfigStartUp - TkBellExe - ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
MSConfigStartUp - Uniblue SpyEraser - ç ： \ Program Files文件\ Uniblue \ SpyEraser \ SpyEraser.exe

。
补充扫描------- -------
。
火狐浏览器- ：简介- ç ： \的Documents and Settings \会员\应用数据\ Mozilla浏览器\火狐\概况\ 19piaa5b.default \
火狐浏览器- ： prefs.js - STARTUP.HOMEPAGE - hxxp ： / / hk.yahoo.com /
。
。
文件关联------- -------
。
txtfile = C的： \窗口\记事本％ 1
。

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008年11月1号9点42分○二秒的rootkit扫描
2600年5月1号的Windows Service Pack 3中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
------------------------其他正在运行的进程----------------------- -
。
ç ： \窗口\ system32 \ ati2evxx.exe
ç ： \ Program Files文件\ Avast4 \ aswUpdSv.exe
ç ： \ Program Files文件\ Avast4 \ ashServ.exe
ç ： \窗口\ system32 \ ati2evxx.exe
ç ： \ Program Files文件\共同文件\爱普生\ EBAPI \ SAgent2.exe
ç ： \窗口\ system32 \ searchindexer.exe
ç ： \ Program Files文件\ Avast4 \ ashMaiSv.exe
ç ： \ Program Files文件\ Avast4 \ ashWebSv.exe
ç ： \窗口\ system32 \ imapi.exe
。
************************************************** ************************
。
完成时间： 08年11月1日9点四十七分03秒-机器重启
ComboFix -隔离- files.txt 2008年10月31号22点46分53秒

预运行： 17476198400字节免费
后运行：一百七十四万二千九百一十七点六三二万字节免费

视窗- KB310994 - SP2的亲BootDisk - ENU.exe
[的Boot Loader ]
超时= 2
默认=多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗县
[操作系统]
ç ： \ CMDCONS \ BOOTSECT.DAT = “ Microsoft Windows故障恢复控制台” / cmdcons
多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗口= “微软的Windows XP Professional ” / noexecute =选择启用/ fastdetect

335 --- EOF分析--- 2008年10月24号九时01分23秒
__________________________________________________ _________________________________________________

编辑：我是按一下周围，我发现了一个图标，看上去卸载。我点击，并开始卸载（或至少我希望它是），因为它是在奇怪的符号。

**Coolyxxx** · ＃5 2008年10月31日，18:39

SuperAntiSpyware日志。我不得不这样快速扫描，因为它总是拿出一个错误时，我没有完整扫描。

SUPERAntiSpyware扫描日志
http://www.superantispyware.com

产生08年11月1日上午11点45分

应用版本： 1004年4月21日

核心规则数据库版本： 3618
痕量规则数据库版本： 1603

扫描类型：快速扫描
总扫描时间： 0时三十五分28秒

记忆扫描的项目： 490
内存威胁检测： 0
注册表项扫描： 436
书记官处的威胁检测： 0
文件项目扫描： 33788
档案威胁检测： 2

Trojan.Vundo变/ F
ç ： \窗口\ SYSTEM32 \ AZIPCONTMN.DLL
ç ： \窗口\ SYSTEM32 \ SYSFOLDERAZIPCNT.DLL

**格拉斯哥** · ＃6 2008年11月1号，10:16

您好再次

请不要点击任何内容，或运行任何更多扫描除非我劝你做。这更让我困惑的事情-我看到了进入一个日志但它已经从下一等等-谢谢。

我怀疑这是问题

ç ： \ Program Files文件\ Tudou

除非你的母亲是一名球迷的中文版的YouTube 。

我想看看这两个文件发现的SAS 。

请转到： VirusTotal

在中东的网页你会发现一个“浏览“按钮。

单击“浏览”按钮，浏览到这个文件红：

ç ： \窗口\ SYSTEM32 \ AZIPCONTMN.DLL

点击“打开“ 。
然后点击“发送文件“按钮底部的VirusTotal页。
这将扫描该文件。请耐心等待。
一次扫描，结果复制并粘贴在您下次答复。

重复以上此文件以及。

ç ： \窗口\ SYSTEM32 \ SYSFOLDERAZIPCNT.DLL

Combofix

关闭所有打开的浏览器。
打开 记事本 复制/粘贴文字在下面的框中到它：

码：

  文件夹： ：
  ç ： \ Program Files文件\ Tudou

从下方的图片为例

另存为 CFScript.txt在相同的位置ComboFix.exe

在谈到上面图片，拖动 CFScript 到 ComboFix.exe 。

完成时，它将产生一个日志为您 的“ C ： \ ComboFix.txt ”

不要mouseclick combofix的窗口，而它的运行。这可能会导致它摊档。

注意！任何人想利用上述脚本，以便在他们自己的风险-你可能最终不得不重新安装Windows ！

请张贴日志 ç ： \ ComboFix.txt ，该VirusTotal成果和新的 HijackThis日志 进一步审查。

**Coolyxxx** · ＃7 2008年11月1号，16时53分

是啊我妈妈手表一些中文影片...我找不到档案在浏览时VirusTotal 。我什至去了他们在资源管理器，无法找到他们两个。获得日志：
ComboFix ：

ComboFix 08-11-01.01 -贵宾2008年11月2号10:36:20.2 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.865 [格林尼治标准时间11:00 ]
运行中： C ： \的Documents and Settings \会员\桌面\ ComboFix.exe
命令交换机使用：中： C ： \的Documents and Settings \会员\桌面\ CFScript.txt
*创建了一个新的还原点
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç ： \ Program Files文件\ Tudou

。
(((((((((((((((((((((((((创建的文件从08年10月1日至2008年11月1号))))))))))) ))))))))))))))))))))
。

2008年11月1号09:55 。 2008年11月1号09:55 <DIR> d -------- ç ： \的Documents and Settings \会员\应用数据\ Uniblue
2008年10月31号20:45 。 2008年10月31号20:45 <DIR> d -------- ç ： \的Documents and Settings \会员\应用数据\ SUPERAntiSpyware.com
2008年10月31号20:45 。 2008年10月31号20:45 <DIR> d -------- ç ： \的Documents and Settings \会员\应用数据\ Malwarebytes
2008年10月24号12:04 。 2008年10月16号03:34 337408 ----- ç --- ç ： \窗口\ system32 \ dllcache \ netapi32.dll
二零零八年十月十五号20:43 。 2008年9月15号23:12 --- 1846400 ----- ç ç ： \窗口\ system32 \ dllcache \ Win32k.sys中
二零零八年十月十五号20:43 。 2008年9月8日21:41 333824 ----- ç --- ç ： \窗口\ system32 \ dllcache \ srv.sys
二零零八年十月十五号20点42分。 2008年8月14号21时11 2189184 ----- ç --- ç ： \窗口\ system32 \ dllcache \的Ntoskrnl.exe
二零零八年十月十五号20点42分。 2008年8月14号21:09二百十四点五二八万----- --- ç ç ： \窗口\ system32 \ dllcache \ ntkrnlmp.exe
二零零八年十月十五号20点42分。 2008年8月14号20点33 2066048 ----- ç --- ç ： \窗口\ system32 \ dllcache \ ntkrnlpa.exe
二零零八年十月十五号20点42分。 2008年8月14号20点33 2023936 ----- ç --- ç ： \窗口\ system32 \ dllcache \ ntkrpamp.exe

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年10月31号22:38 --------- d -----钨： \ Program Files文件\魔兽争霸III
2008年10月31号22:30 --------- -----钨d ： \文件和设置\所有用户\应用数据\ Spybot蠕虫-搜索和摧毁
2008年10月31号09:52 --------- d -----钨： \ Program Files文件\ Avast4
2008年10月31号09:47 --------- d -----钨： \ Program Files文件\ Malwarebytes '反恶意软件
2008年10月31号09:32 --------- d ---胡ç ： \的Documents and Settings \所有用户\应用数据的\ Temp
08年10月22日05:10 38496 ----胡ç ： \窗口\ system32 \驱动程序\ mbamswissarmy.sys
08年10月22日05:10 15504 ----胡ç ： \窗口\ system32 \驱动程序\ mbam.sys
2008年10月9号06:46 --------- d -----钨： \ Program Files文件\ PPStream
2008年10月9号03:31 --------- d -----钨： \ Program Files文件\ SUPERAntiSpyware
2008年10月9号03:28 --------- d -----钨： \ Program Files文件\ Spybot蠕虫-搜索和摧毁
2008年9月18号08:42 --------- d -----钨： \的Documents and Settings \会员\应用数据\未来
2008年9月15号12:12 1846400 ----胡ç ： \窗口\ system32 \ Win32k.sys中
2008年9月8日10时41 333824 ----胡ç ： \窗口\ system32 \驱动程序\ srv.sys
2008年8月28日07:46 74752 ----胡ç ： \窗口\ system32 \ msw3prt.dll
2008年8月28日07:46 104,960 ----胡ç ： \窗口\ system32 \ win32spl.dll
2008年8月26日07:24 826368 ----胡ç ： \窗口\ system32 \ wininet.dll
2008年8月14号10:11 2189184 ----胡ç ： \窗口\ system32 \的Ntoskrnl.exe
2008年8月14号09:33 2066048 ----胡ç ： \窗口\ system32 \ ntkrnlpa.exe
2008年7月29日12:05 32,768 -沙钨： \窗口\ system32 \设置\ systemprofile \本地设置\历史\ History.IE5 \ MSHist012008072920080 730 \ index.dat
。

(((((((((((((((((((((((((((((快照@ 2008 - 11 - 01_ 9.46.14.14 ))))))))))) ))))))))))))))))))))))))))))))
。
- 2008年10月31号22点41分26秒16,384 ----自动白平衡ç ： \窗口的\ Temp \ Perflib_Perfdata_570.dat
+ 2008年11月1号23点26分02秒16,384 ----自动白平衡ç ： \窗口的\ Temp \ Perflib_Perfdata_570.dat
。
(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ]

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ NeroFilterCheck ” =的“ C ： \窗口\ system32 \ NeroCheck.e氙” [ 2001年7月9日155648 ]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ” [ 2008年6月10号144784 ]
“ ATICCC ” =的“ C ： \ Program Files文件\ ATI科技\ ATI.ACE \名为” [ 2006年1月2日45056 ]
“ avast ” =的“ C ： \ Program Files文件\ Avast4 \ ashDisp.exe ” [ 2008年7月20号78008 ]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ]

[ HKEY_CURRENT_USER \软件\微软\窗户\曲线ntversion \政策\制度]
“ DisableChangePassword ” = 1 （ 0x1 ）

[ HKEY_CURRENT_USER \软件\微软\窗户\曲线ntversion \政策\总管]
“ NoAutoUpdate ” = 1 （ 0x1 ）
“ MaxRecentDocs ” = 1 （ 0x1 ）

[ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ]
“ （ 56F9679E - 7826 - 4C84 - 81F3 - 532071A8BCC5 ） ” =的“ C ： \ Program Files文件\ Windows桌面搜索\ MSNLNamespaceMgr.dll ” [ 2006年4月24日282624 ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” =的“ C ： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2008年5月13日77824 ]

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon ]
“ UIHost ” =的“ C ： \ \窗口\ \ system32 \ \ logonuiX.exe ”

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
2008年10月9号14:31 352256 ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ drivers32 ]
“ VIDC.I420 ” = i420vfw.dll
“奥克斯” = ctwdm32.dll
“ VIDC.HFYU ” = huffyuv.dll
“ VIDC.X264 ” = x264vfw.dll
“ VIDC.3iv2 ” = 3ivxVfWCodec.dll
“ VIDC.VP31 ” = vp31vfw.dll
“ msacm.l3fhg ” = mp3fhg.acm
“ msacm.ac3filter ” = ac3filter.acm

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^ ^所有用户程序启动菜单^ ^ ^的Adobe Reader启动速度Launch.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Adobe Reader软件的启动速度Launch.lnkCommon

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^的Adobe Reader Synchronizer.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Adobe Reader软件Synchronizer.lnkCommon启动

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^ ^所有用户启动菜单^程序^启动^ WinZip的快速Pick.lnk ]
备份= C的： \窗口\藻酸双酯钠\ WinZip的快速Pick.lnkCommon启动

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ Azureus涡轮Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Azureus涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ Azureus超Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ Azureus超Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ BitTorrent的涡轮Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ BitTorrent的涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^电驴涡轮Accelerator.lnk ]
备份= C的： \窗口\器\电驴涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ LimeWire论Startup.lnk ]
备份= C的： \窗口\藻酸双酯钠\ LimeWire论Startup.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ LimeWire涡轮Accelerator.lnk ]
备份= C的： \窗口\藻酸双酯钠\ LimeWire涡轮Accelerator.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ PowerReg调度V3.exe ]
备份= C的： \窗口\藻酸双酯钠\ PowerReg调度V3.exeStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^注册彩虹六号]
备份= C的： \窗口\藻酸双酯钠\登记汤姆克兰西的彩虹SixStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ SpeedFan.lnk ]
备份= C的： \窗口\藻酸双酯钠\ SpeedFan.lnkStartup

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ Thoosje Sidebar.lnk ]

[ HKLM \ 〜 \ startupfolder \ ç ： ^的Documents and Settings ^凯文^开始菜单^程序^启动^ WordWeb.lnk ]
备份= C的： \窗口\藻酸双酯钠\ WordWeb.lnkStartup
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ ！的AVG反间谍软件
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ BitTorrent软件
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \老板键
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ CmCardRun
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ CursorXP
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ EasyTuneVPro
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ iTunesHelper
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ LogonStudio
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ OrderReminder
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ RecordPadRun
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ SpeedOptimizer
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \工作分组
HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Veoh

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Adobe公司图片下载]
-一个------ 2005年9月9日01:18 57344 ç ： \ Program Files文件\ Adobe公司\的Photoshop要件4.0 \ apdproxy.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ BgMonitor_ （ 79662E04 - 7C6C - 4d9f - 84C7 - 88D8A56B10AA ） ]
-一个------ 2006年4月21日18:03 94208 ç ： \ Program Files文件\共同文件\前\图书馆\ NMBgMonitor.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ DAEMON工具]
-一个05年12月11号01:57十三万三千〇一十六------ ç ： \ Program Files文件\ DAEMON工具\ daemon.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ LanguageShortcut ]
-一个------ 06年4月13日12时09分49152 ç ： \ Program Files文件\连\ PowerDVD 』 \语言\ Language.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ QuickTime的工作]
-一个------ 2008年3月29日00:37 413696 ç ： \ Program Files文件\钾解码器\的QuickTime \ QTTask.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ RemoteControl ]
-一个------ 05年12月7日23时57分30208 ç ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ SpybotSD TeaTimer ]
- rahs ---- 08年9月16日12时十六1833296 ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \蒸汽]
-一个------ 2008年3月29日09:39 1271032 ç ： \阀\蒸汽\ Steam.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Uniblue RegistryBooster 2 ]
-一个------ 2007年12月5号16点06 1885464 ç ： \ Program Files文件\ Uniblue \ RegistryBooster 2 \ RegistryBooster.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ Uniblue SpeedUpMyPC ]
-一个------ 2008年1月29日09:46 9442584 ç ： \ Program Files文件\ Uniblue \ SpeedUpMyPC 3 \ SpeedUpMyPC.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ WinampAgent ]
-一个------ 2008年4月2日05:49 36352 ç ： \ Program Files文件\ AOL的Winamp \ winampa.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \ BluetoothAuthenticationA代理]
-一个------ 08年4月14日06:42 110592 ç ： \窗口\ system32 \ bthprops.cpl

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \ startupreg \架C -媒体搅拌机]
-一个------ 2003年3月20号17:21 1855488 ç ： \窗口\ mixer.exe

[ HKEY_LOCAL_MACHINE \软件\微软\共享工具\ msconfig \服务]
“ WMPNetworkSvc ” = 3 （ 0x3 ）
“ gusvc ” = 3 （ 0x3 ）
“ RichVideo ” = 2 （ 0x2 ）
“ BthServ ” = 2 （ 0x2 ）
“ iPod服务” = 3 （ 0x3 ）
“苹果移动设备” = 2 （ 0x2 ）
“通知服务的LiveUpdate ” = 2 （ 0x2 ）
“ VideoAcceleratorEngine ” = 3 （ 0x3 ）
“山东” = 2 （ 0x2 ）
“ IDriverT ” = 3 （ 0x3 ）
“ aawservice ” = 3 （ 0x3 ）
“ PDEngine ” = 3 （ 0x3 ）
“ PDAgent ” = 3 （ 0x3 ）
“完全匹配层驱动HPZ12 ” = 3 （ 0x3 ）
“ CPUCooLServer ” = 2 （ 0x2 ）
“ usnjsvc ” = 3 （ 0x3 ）
“ AdobeActiveFileMonitor4.0 ” = 2 （ 0x2 ）
“ WLSetupSvc ” = 3 （ 0x3 ）
“ cmdAgent ” = 2 （ 0x2 ）
“ FLEXnet许可服务” = 3 （ 0x3 ）
“卓悦服务” = 2 （ 0x2 ）
“糖” = 3 （ 0x3 ）

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecFirewall ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \磷酸二铵\ \ DAP.exe ” =
的“ C ： \ \ Program Files文件\ \传送\ \ msmsgs.exe ” =
“ <NO名称” =的“ C ： \ \ Program Files文件\ \ PPStream \ \ PPStream.exe ”的“ C ： \ \ Program Files文件\ \ PPStream \ \ PPStream.exe
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” =
的“ C ： \ \ Program Files文件\ \的Windows Live \ \ Messenger的\ \ msnmsgr.exe ” =
的“ C ： \ \ Program Files文件\ \的Windows Live \ \ Messenger的\ \ livecall.exe ” =
的“ C ： \ \ Program Files文件\ \ UT2004 \ \系统\ \ UT2004.exe ” =
的“ C ： \ \ Program Files文件\ \ DeusEx \ \系统\ \ DeusEx.exe ” =

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单]
“ 3389 ： TCP连接” = 3389 ：为tcp ： * ：禁用： @ xpsp2res.dll ， -22009
“ 15394 ： TCP连接” = 15394 ： TCP连接： * ：禁用： BitComet 15394的TCP
“ 15394 ： UDP连接” = 15394 ： UDP连接： * ：禁用： BitComet 15394 UDP连接
“ 6555 ： TCP连接” = 6555 ：为tcp ： * ：禁用： BitComet 6555 TCP连接
“ 6555 ： UDP连接” = 6555 ： UDP连接： * ：禁用： BitComet 6555 UDP连接

受体1 aswSP ; avast ！自我保护; ç ： \窗口\ system32 \驱动程序\ aswSP.sys [ 2008年7月20号78416 ]
受体1 atitray ; atitray ; ç ： \ Program Files文件\射线亚当斯\ ATI的托盘工具\ atitray.sys [ 2007年5月22日18088 ]
R2的aswFsBlk ; aswFsBlk ; ç ： \窗口\ system32 \驱动程序\ aswF sBlk.sys [ 2008年7月20号二点〇五六万]
R2的ROCKEYNT ; ROCKEYNT ; ç ： \窗口\ system32 \驱动程序\摇滚eynt.sys [ 2005年1月4日18223 ]
R2的SBKUPNT ; SBKUPNT ; ç ： \窗口\ system32 \驱动程序\ SBKUPN吨系统[ 2001年7月13号14976 ]
三motccgp ;摩托罗拉的USB复合设备驱动程序; ç ： \窗口\ system32 \驱动程序\ motccgp.sys [ 2007年6月18号17920 ]
三motccgpfl ; MotCcgpFlService ; ç ： \窗口\ system32 \海绵铁自愿\ motccgpfl.sys [ 2007年1月22日7680 ]
三MotDev ;摩托罗拉USB设备; ç ： \窗口\ system32 \驱动程序\ motodrv.sys [ 2007年5月7日42112 ]
三RTLWUSB ;网件WG111v2 54Mbps的无线USB 2.0适配器NT驱动程序; ç ： \窗口\ system32 \驱动程序\ wg111v2.sys [ 2006-03-16 167808 ]
三XDva042 ; XDva042 ; ç ： \窗口\ system32 \ XDva042.sys [ ]
。
内容'计划任务的文件夹

2008年10月1日ç ： \窗口\任务\ AppleSoftwareUpdate.job
- ç ： \ Program Files文件\苹果软件更新\ SoftwareUpdate.exe [ 2007年8月29日14时57分]

2008年10月27日ç ： \窗口\任务\ Uniblue SpeedUpMyPC Nag.job
- ç ： \ Program Files文件\ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [ ]

2007年5月14号ç ： \窗口\任务\ Uniblue SpeedUpMyPC.job
- ç ： \ Program Files文件\ Uniblue \ SpeedUpMyPC \ SpeedUpMyPC.exe [ ]

2008年10月25号ç ： \窗口\任务\ Uniblue SpyEraser Nag.job
- ç ： \ Program Files文件\ Uniblue \ SpyEraser \ SpyEraser.exe [ ]
。

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008年11月2号十点39分31秒的rootkit扫描
2600年5月1号的Windows Service Pack 3中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
完成时间： 2008年11月2号10时41分44秒
ComboFix -隔离- files.txt 2008年11月1号23点41分32秒
ComboFix2.txt 2008年10月31日22时四十七分05秒

预运行： 17222828032字节免费
后运行： 17200967680字节免费

233 --- EOF分析--- 2008年10月24号九时01分23秒
__________________________________________________ _________________________

了HijackThis ：

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于上午十时50分19秒，在2008年2月11号
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16735 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ Avast4 \ aswUpdSv.exe
ç ： \ Program Files文件\ Avast4 \ ashServ.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\爱普生\ EBAPI \ SAgent2.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ SearchIndexer.exe
ç ： \ Program Files文件\ Avast4 \ ashMaiSv.exe
ç ： \ Program Files文件\ Avast4 \ ashWebSv.exe
ç ： \窗口\ system32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \ Program Files文件\ Avast4 \ ashDisp.exe
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \窗口\ Explorer.exe的
ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe
ç ： \的Documents and Settings \会员\桌面\ HiJackThis.exe

R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.yahoo.com.hk/
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride =地方
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll
氧- BHO ： RealPlayer下载和记录插件的Internet Explorer - （ 3049C3E9 - B461 - 4BC5 - 8870 - 4C09146192CA ） - ç ： \ Program Files文件\真实\的RealPlayer \ rpbrowserrecordplugin.dll
氧- BHO ： Spybot蠕虫，特殊和差别待遇的IE浏览器保护- （ 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll
氧- BHO ：（无姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （没有文件）
氧- BHO ：的Windows Live登录助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ jusched.exe ”
物理学- HKLM \ .. \运行： [ ATICCC ]的“ C ： \ Program Files文件\ ATI科技\ ATI.ACE \名为”运行时间延迟
物理学- HKLM \ .. \运行： [ avast ] ç ： \ Program Files文件\ Avast4 \ ashDisp.exe
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
O8 -额外上下文菜单项目：与清洁轨迹- ç ： \ Program Files文件\磷酸二铵\隐私包\ dapcleanerie.htm
O8 -额外上下文菜单项目：＆下载＆磷酸二铵- ç ： \ Program Files文件\磷酸二铵\ dapextie.htm
O8 -额外上下文菜单项目：下载和所有与磷酸二铵- ç ： \ Program Files文件\磷酸二铵\ dapextie2.htm
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮：（无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_07 \斌\ ssv.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮：联系- （ c95fe080 - 8f5d - 11d2 - a20b - 00aa003c157b ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -额外的'工具' menuitem ：？？联系- （ c95fe080 - 8f5d - 11d2 - a20b - 00aa003c157b ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -额外的按钮：（无姓名） - （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的'工具' menuitem ： Spybot蠕虫-搜索和摧毁配置- （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器：（ 17492023 - C23A - 453E - A040 - C7C580BBF700 ）（ Windows Genuine Advantage验证工具） - http://go.microsoft.com/fwlink/?linkid=39204
O16 -柴油机微粒过滤器：（ 4F1E5B1A - 2A80 - 42CA - 8532 - 2D05CB959537 ） - http://by107fd.bay107.hotmail.msn.co...s/MsnPUpld.cab
O16 -柴油机微粒过滤器：（ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） - http://messenger.zone.msn.com/EN-AU/.../GAME_UNO1.cab
O16 -柴油机微粒过滤器：（ 6E32070A - 766D - 4EE6 - 879C - DC1FA91D2FC3 ）（ MUWebControl类） - http://update.microsoft.com/microsof...?1133040258574
O16 -柴油机微粒过滤器：（ 8E0D4DE5 - 3180 - 4024 - A327 - 4DFAD1796A8D ） - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 -柴油机微粒过滤器：（ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 -柴油机微粒过滤器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（冲击波的Flash对象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
ø20 - Winlogon通知：！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.DLL
O23 -服务：的Ad - Aware 2007年服务（ aawservice ） - Lavasoft AB公司- ç ： \ Program Files文件\ Lavasoft \的Ad - Aware 2007年\ aawservice.exe
O23 -服务： avast ！ iAVS4管制局（ aswUpdSv ） - ALWIL软件- ç ： \ Program Files文件\ Avast4 \ aswUpdSv.exe
O23 -服务：阿提热键轮询- ATI Technologies公司- ç ： \窗口\ system32 \ Ati2evxx.exe
O23 -服务： ATI的智能-未知所有者- ç ： \窗口\ system32 \ ati2sgag.exe
O23 -服务： avast ！防病毒- ALWIL软件- ç ： \ Program Files文件\ Avast4 \ ashServ.exe
O23 -服务： avast ！邮件扫描- ALWIL软件- ç ： \ Program Files文件\ Avast4 \ ashMaiSv.exe
O23 -服务： avast ！网络扫描- ALWIL软件- ç ： \ Program Files文件\ Avast4 \ ashWebSv.exe
O23 -服务：爱普生打印机状态Agent2 （ EPSONStatusAgent2 ） -精工爱普生株式会社- ç ： \ Program Files文件\共同文件\爱普生\ EBAPI \ SAgent2.exe

-
文件结尾- 6734字节

**格拉斯哥** · ＃8 08年11月2日，05:29

您好

这两个文件未找到combofix ，所以我真的不希望他们在那里。

如何运行呢？

让我们运行联机扫描。

执行联机扫描 熊猫ActiveScan

点击 扫描你的电脑现在
一个“弹出”窗口会出现，或者一个新的标签会开启。
点击注册
选择你最喜欢，但我们建议的免费注册。
点击注册
输入您的e - mail地址，并创建一个密码。
选择“我不想接受任何类型的信息“ 。（除非您希望收到此类信息）
点击发送
确认登记，并继续输入您的用户名和密码，然后点击输入
选择完整扫描，然后点击 现在扫描
等待组件加载和安装。不要关闭此窗口或转到另一个网页，而这是下载。您可以继续使用互联网的开放另一个窗口在您的浏览器。
如果发现任何恶意软件可以消毒，在消毒按钮将启用。点击消毒
请忽略要约收购计划。点击出口
出口的记录，并储存到您的桌面。
请重视内容是记录到您的回复，以及一个新的HijackThis日志。

*关闭实时扫描任何现有的防病毒程序，而执行线上扫描。

**Coolyxxx** · ＃9 2008年11月3日，03:07

报价：

最初发布者 格拉斯哥

请重视内容是记录到您的回复，以及一个新的HijackThis日志。

嗯，你说过重视，红色，所以我想我会重视。不知道两者之间重视和复制/粘贴，除了更长的后...熊猫主动扫描发现了一些东西，但我只能消毒之一，该蠕虫的，因为别人说，我买。

**格拉斯哥** · ＃10 2008年11月5号，07:45

您好再次

道歉不回去你越早-现实生活中是相当繁忙的时刻。

如何运行呢？

的唯一项目是PowerRegScheduler -您可以将其删除如果您希望。

类似的主题
线	线程入门	论坛	答复	最后发表
下载PDF文件是undeletable	dhonwenz	通用软件聊天	0	2009年6月2日 17点23分
49下载次数最多的主题WordPress的所有时间！	KanoakaVirus	网页设计，主机托管和搜索引擎优化	1	2009年3月1日 12:04
愚蠢的儿子下载一个恶意程序，任何人都可以，请帮助？	john101	病毒，间谍软件和安全	28	2008年10月29号 18:55
下载的DVD ，而不是标准格式，不知道哪个程序	gladrock	多媒体与解码器	1	2008年1月2日 11点52
最新最好的专辑你有购买/下载最近？	混合！ d	从专题讨论	13	2007年10月29号 18:07