请帮助！我的电脑正在运行多个病毒/恶意软件。

**Mybabbits** · ＃1 2009年6月18号， 11时46分

您好，感谢您的阅读。我一直在试图删除不需要的恶意软件从我的电脑了一周多的时间，现在看来是没有什么工作。我已经发现了几个过程，包括iexplorer.exe ， winlogon.exe ， spoolsv.exe和其他未知的程序，就像PavPrSrv.exe和McciCMService.exe 。我不得不改变的EXE名称的大部分程序，让他们打开。我通常使用的AVG免费，但我卸载它，并试图熊猫，看是否有助于（没有）。此后，我已删除了熊猫和重新安装的AVG 。

谢谢您的协助！

以下是日志文件，我已收回。

SUPERAntiSpyware扫描日志
http://www.superantispyware.com

产生2009年6月18日在下午1点十五

应用版本： 1004年4月26日

核心规则数据库版本： 3945
痕量规则数据库版本： 1887年

扫描类型：完整扫描
总扫描时间： 1时11分十八秒

记忆扫描的项目： 373
内存威胁检测： 1
注册表项扫描： 4431
书记官处的威胁检测： 86
文件项目扫描： 39059
档案威胁检测： 11

Rootkit.Agent /根UACFake
\ ？ \ GLOBALROOT \ ç ： \窗口\ SYSTEM32 \ UACKPXJQWVUGNSPO KQ.DLL
\ ？ \ GLOBALROOT \ ç ： \窗口\ SYSTEM32 \ UACKPXJQWVUGNSPO KQ.DLL

Unclassified.Unknown起源
HKLM \软件\微软\的Windows \ CurrentVersion \进出口lorer \ Browser Helper物件\ （ 2520BA45 - 3D97 - 4864 - 82FF - F47F951727BA ）
HKLM \软件\微软\的Windows \ CurrentVersion \进出口lorer \ Browser Helper物件\ （ 9B053E00 - 78D3 - 47AE - B763 - 60FF36FF2886 ）
香港大学专业进修学院\ 。缺省\软件\微软\的Windows \ CurrentVer张力\分机\统计\ （ 2520BA45 - 3D97 - 4864 - 82FF - F47F951727BA ）
香港大学专业进修学院\ 。缺省\软件\微软\的Windows \ CurrentVer张力\分机\统计\ （ 9B053E00 - 78D3 - 47AE - B763 - 60FF36FF2886 ）
香港大学专业进修学院\的S - 1 - 5 - 21 - 776561741 - 1580436667 - 854245398 - 1003 \软件\微软\的Windows \ CurrentVersion \分机\统计\ （ 2520BA45 - 3D97 - 4864 - 82FF - F47F951727BA ）
香港大学专业进修学院\的S - 1 - 5 - 21 - 776561741 - 1580436667 - 854245398 - 1003 \软件\微软\的Windows \ CurrentVersion \分机\统计\ （ 9B053E00 - 78D3 - 47AE - B763 - 60FF36FF2886 ）
香港大学专业进修学院\的S - 1 - 5 - 18 \软件\微软\的Windows \ CurrentVersion \分机\县tats \ （ 2520BA45 - 3D97 - 4864 - 82FF - F47F951727BA ）
香港大学专业进修学院\的S - 1 - 5 - 18 \软件\微软\的Windows \ CurrentVersion \分机\县tats \ （ 9B053E00 - 78D3 - 47AE - B763 - 60FF36FF2886 ）

Trojan.Agent /根AmblBE
香港大学专业进修学院\ 。缺省\软件\微软\的Windows \ CurrentVer张力\分机\统计\ （ 06F20C1A - 4811 - 4C73 - A114 - 792ED70F2CAD ）
香港大学专业进修学院\的S - 1 - 5 - 18 \软件\微软\的Windows \ CurrentVersion \分机\县tats \ （ 06F20C1A - 4811 - 4C73 - A114 - 792ED70F2CAD ）

Adware.TrustInCash
ç ： \窗口\ system32 \ tisa.cnf
ç ： \窗口\ REMOVEADWARE.ICO
ç ： \窗口\ VIDEOSLOTS.ICO

Rogue.Component /痕量
香港大学专业进修学院\的S - 1 - 5 - 21 - 776561741 - 1580436667 - 854245398 - 1003 \软件\微软\ FIAS4057

Rootkit.Agent /根
HKLM \软件\的UAC
HKLM \软件\的UAC ＃ cmddelay
HKLM \软件\的UAC ＃ LastBSOD
HKLM \软件\的UAC ＃ affid
HKLM \软件\ ＃类型的UAC
HKLM \软件\ ＃建立的UAC
HKLM \软件\的UAC ＃ subid
HKLM \软件\的UAC ＃ ecaab67d - 7d92 - 4ec1 - ac32 - 3087345120a3
HKLM \软件\ ＃缬氨酸的UAC
HKLM \软件\的UAC ＃ sval
HKLM \软件\ ＃ pval的UAC
HKLM \软件\ UAC功能\连接
HKLM \软件\ UAC功能\连接＃ 905b3008
HKLM \软件\ UAC功能\连接＃ 7d72e91c
HKLM \软件\ UAC功能\连接＃ a2674c18
HKLM \软件\ UAC功能\连接＃ b43dcf0f
HKLM \软件\ UAC功能\连接＃ f2065612
HKLM \软件\的UAC \不允许
HKLM \软件\的UAC \不允许＃ trsetup.exe
HKLM \软件\的UAC \不允许＃ ViewpointService.exe
HKLM \软件\的UAC \不允许＃ ViewMgr.exe
HKLM \软件\的UAC \不允许＃ SpySweeper.exe
HKLM \软件\的UAC \不允许＃ SUPERAntiSpyware.exe
HKLM \软件\的UAC \不允许＃ SpySub.exe
HKLM \软件\的UAC \不允许＃ SpywareTerminatorShie ld.exe
HKLM \软件\的UAC \不允许＃ SpyHunter3.exe
HKLM \软件\的UAC \不允许＃ XoftSpy.exe
HKLM \软件\的UAC \不允许＃ SpyEraser.exe
HKLM \软件\的UAC \不允许＃ combofix.exe
HKLM \软件\的UAC \不允许＃ otscanit.exe
HKLM \软件\的UAC \不允许＃ mbam.exe
HKLM \软件\的UAC \不允许＃ mbam -的Setup.exe
HKLM \软件\的UAC \不允许＃ flash_disinfector.exe
HKLM \软件\的UAC \不允许＃ otmoveit2.exe
HKLM \软件\的UAC \不允许＃ smitfraudfix.exe
HKLM \软件\的UAC \不允许＃ prevxcsifree.exe
HKLM \软件\的UAC \不允许＃ download_mbam -的Setup.exe
HKLM \软件\的UAC \不允许＃ cbo_setup.exe
HKLM \软件\的UAC \不允许＃ spywareblastersetup.e氙
HKLM \软件\的UAC \不允许＃ rminstall.exe
HKLM \软件\的UAC \不允许＃ sdsetup.exe
HKLM \软件\的UAC \不允许＃ vundofixsvc.exe
HKLM \软件\的UAC \不允许＃ daft.exe
HKLM \软件\的UAC \不允许＃ gmer.exe
HKLM \软件\的UAC \不允许＃ catchme.exe
HKLM \软件\的UAC \不允许＃ mcpr.exe
HKLM \软件\的UAC \不允许＃ sdfix.exe
HKLM \软件\的UAC \不允许＃ hjtinstall.exe
HKLM \软件\的UAC \不允许＃ fixpolicies.exe
HKLM \软件\的UAC \不允许＃ emergencyutil.exe
HKLM \软件\的UAC \不允许＃ techweb.exe
HKLM \软件\的UAC \不允许＃ GoogleUpdate.exe
HKLM \软件\的UAC \不允许＃ windowsdefender.exe
HKLM \软件\的UAC \不允许＃ spybotsd.exe
HKLM \软件\的UAC \不允许＃ winlognn.exe
HKLM \软件\的UAC \不允许＃ csrssc.exe
HKLM \软件\的UAC \不允许＃ klif.sys
HKLM \软件\的UAC \不允许＃ pctssvc.sys
HKLM \软件\的UAC \不允许＃ pctcore.sys
HKLM \软件\的UAC \不允许＃ mchinjdrv.sys
HKLM \软件\的UAC \不允许＃ szkg.sys
HKLM \软件\的UAC \不允许＃ sasdifsv.sys
HKLM \软件\的UAC \不允许＃ saskutil.sys
HKLM \软件\的UAC \不允许＃ sasenum.sys
HKLM \软件\的UAC \不允许＃ ccHPx86.sys
HKLM \软件\的UAC \注射器
HKLM \软件\的UAC \喷油器＃ *
HKLM \软件\的UAC \遮罩
HKLM \软件\的UAC \遮罩＃ 6aed4b25
HKLM \软件\的UAC \遮罩＃ e0ae8144
HKLM \软件\的UAC \遮罩＃ 30910b28
HKLM \软件\的UAC \遮罩＃ c6216721
HKLM \软件\的UAC \遮罩＃ dd118673
HKLM \软件\的UAC \版本
HKLM \软件\的UAC \版本＃ /旗帜/ crcmds /初始化

Adware.Tracking饼干
ç ： \的Documents and Settings \客户\曲奇\ guest@ad.yieldmanager [ 1 ] 。文本
ç ： \的Documents and Settings \客户\ Cookie的\客户@ DoubleClick的[ 1 ] 。文本
ç ： \的Documents and Settings \客户\ Cookie的\客户@ myroitracking [ 1 ] 。文本
ç ： \的Documents and Settings \客户\曲奇\ guest@serw.clicksor [ 1 ] 。文本
ç ： \窗口\ system32 \设置\ systemprofile \曲奇\ @九大系统中找到[ 1 ] 。文本

Adware.180solutions/Seekmo/Zango
ç ： \ Program Files文件\ FASOFT \ N一迹工作室6 \的Setup.exe

浏览器Hijacker.MS网页搜索
ç ： \窗口\ LOCAL.HTML

Malwarebytes '反恶意软件1.37
数据库版本： 2269
2600年5月1号的Windows Service Pack 2的

2009年6月18号下午二时二十五分06秒
mbam日志- 2009 - 06 - 18 （ 14-25-06 ）。文本

扫描类型：快速扫描
物体扫描： 28750
间隔时间： 18分钟（ S ）的54秒（县）

记忆过程感染： 0
内存感染： 0
受感染的注册表项： 0
注册表值感染： 0
注册表数据项目感染： 0
文件夹感染： 0
文件感染： 0

记忆过程感染：
（没有恶意项目检测）

内存感染：
（没有恶意项目检测）

受感染的注册表项：
（没有恶意项目检测）

注册表值感染：
（没有恶意项目检测）

注册表数据项目感染：
（没有恶意项目检测）

受感染的文件夹：
（没有恶意项目检测）

文件感染：
（没有恶意项目检测）

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于下午2时28分36秒，在2009年6月18号
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
ç ： \ Program Files文件\共同文件\动力\ McciCMService.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\观\共同\ ViewpointService.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgrsx.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgemc.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe

受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索栏= http://us.rd.yahoo.com/customize/yco...search/ie.html
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://us.rd.yahoo.com/customize/yco.../www.yahoo.com
R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.att.net/
受体1 - HKCU \软件\微软\的Internet Explorer \ SearchURL ，（默认） = http://us.rd.yahoo.com/customize/yco.../www.yahoo.com
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyServer =网址=本地： 7171
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride = *.地方; <local>
01 -主办单位：：： 1本地
01 -主办单位： 209.44.111.57 security.microsoft.com
01 -主办单位： 209.44.111.57 inetavirus.com
01 -主办单位： 209.44.111.57 www.inetavirus.com
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll
氧- BHO ： WormRadar.com IESiteBlocker.NavFilter - （ 3CA2F312 - 6F6E - 4B53 - A66E - 4E65E497C8C0 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgssie.dll
氧- BHO ： Java （商标）插件2 SSV助手- （ DBC80044 - A445 - 435b - BC74 - 9C25C1C588A9 ） - ç ： \ Program Files文件\ Java的\ jre6 \斌\ jp2ssv.dll
氧- BHO ： JQSIEStartDetectorImpl - （ E7E6F031 - 17CE - 4C07 - BC86 - EABFE594F69C ） - ç ： \ Program Files文件\ Java的\ jre6 \库\部署\实验台\即\ jqs_plugin.dll
物理学- HKLM \ .. \运行： [ KernelFaultCheck ] ％ systemroot ％ \ system32 \ dumprep 0 - K报表
物理学- HKLM \ .. \运行： [ IgfxTray ] ç ： \窗口\ system32 \ igfxtray.exe
物理学- HKLM \ .. \运行： [ HotKeysCmds ] ç ： \窗口\ system32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe ”
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ pivafuniya ] Rundll32.exe的“ C ： \窗口\ system32 \ luruwono.dll ” ，第S （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ pivafuniya ] Rundll32.exe的“ C ： \窗口\ system32 \ luruwono.dll ” ，第S （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ MySpaceIM ] ç ： \ Program Files文件\供应\通讯\ MySpaceIM.exe （用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ MySpaceIM ] ç ： \ Program Files文件\供应\通讯\ MySpaceIM.exe （用户默认用户' ）
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O18 -协议： linkscanner - （ F274614C - 63F8 - 47D5 - A4D1 - FBDDE494F8D1 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgpp.dll
ø20 - AppInit_DLLs ： avgrsstx.dll ç ： \窗口\ system32 \ zuhagiye.dll ç ： \窗户\ system32 \ nulakili.dll
ø20 - Winlogon通知：！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服务： AVG8电子邮件扫描仪（ avg8emc ） -平均技术长征，氧化锶- ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgemc.exe
O23 -服务： AVG8看门狗（ avg8wd ） -平均技术长征，氧化锶- ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe
O23 -服务：谷歌更新服务（ gupdate1c9c119864b630 ）（ gupdate1c9c119864b630 ） -谷歌- ç ： \ Program Files文件\谷歌\更新\ GoogleUpdate.exe
O23 -服务： InstallDriver表经理（ IDriverT ） - Macrovision公司- ç ： \ Program Files文件\共同文件\ InstallShield \驱动程序\ 11 \英特尔32 \ IDriverT.exe
O23 -服务： Java快速入门（ JavaQuickStarterService ） - Sun Microsystems公司- ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
O23 -服务： McciCMService -动通信公司- ç ： \ Program Files文件\共同文件\动力\ McciCMService.exe
O23 -服务：熊猫程序保护服务（ PavPrSrv ） -熊猫安全， Sl的- ç ： \ Program Files文件\共同文件\熊猫安全\ PavShld \ pavprsrv.exe
O23 -服务：观管理服务-观公司- ç ： \ Program Files文件\观\共同\ ViewpointService.exe

-
文件结尾- 4735字节

**sjb007** · ＃2 2009年6月18号， 15:35

您好Mybabbits

下载 Combofix 任何下面的链接。您必须 它重新命名 前保存。将它保存到您的桌面， 组合fix.exe。

链接1
链接2
链接3

禁用您的防病毒和反间谍软件应用程序，通常是通过右键点击系统托盘图标。他们可能会以其他方式干扰我们的工具

打开任务管理器，按Ctrl键Alt和德尔键，在同一时间。

在菜单上方的对话框中，单击文件> “新建任务（运行.. ）

复制/粘贴（或键入）下面的在运行框中，然后单击确定：（假设ComboFix.exe是在桌面上的指示）

“ ％ userprofile ％ \桌面\组合fix.exe ” / killall

按照屏幕上的insatructions ，让combofix完成其运行， 确保您安装故障恢复控制台时要求。

回来后的结果在你的下一个职位。

下载 GMER的rootkit扫描仪 自这里或这里。

提取的内容，压缩文件到桌面。
双击GMER.exe 。如果有人问，让gmer.sys驱动程序加载，请同意。
如果给您一个警告， rootkit的活动，并询问您是否要运行扫描...点击 一氧化氮。

点击图像放大
在右窗格中，你会看到几个箱子已选中。取消以下...
- 科
- 内隐联系测验/甲状腺炎
- 驱动器/分区以外的其他系统驱动器（通常为C ： \ ）
- 显示所有（不要错过这个一）
然后按一下按钮，扫描和等待它完成。
一旦做点击 [保存.. ] 按钮，并在文件名区，键入 “ Gmer.txt ” 或将另存为。日志文件
将它保存在这里您可以很容易地找到它，例如您的桌面和复制并粘贴在您下次答复

**注意**
的rootkit扫描往往产生误报。不采取任何行动，任何"<--- ROOKIT “条目

复制并粘贴都记录在您下次答复

**Mybabbits** · ＃3 2009年6月18号， 18时36分

我下载ComboFix到桌面上，改变了名称的指示。当我试图运行 “ ％ userprofile ％ \桌面\组合fix.exe ” / killall 我收到了弹出式屏幕，首先警告我说，该计划是由来历不明，所以我选择运行。之后，它似乎是正常运行combofix然后，我收到了弹出式屏幕，说，像“ Windows无法找到” grpconv “ 。请确定您键入的名称是否正确... ”等等，屏幕没有保持足够长的时间对我来说，捕捉它的其余部分。我点击确定那里，然后我再从combofix的画面说，已发现的AVG反病毒仍然在运行。我有问题，禁用它，我就提前和卸载完全。我不知道为什么它仍然认为它正在运行。我应该继续，然后单击确定尽管这些屏幕太，看看它是否仍然可以工作？

谢谢您！

**sjb007** · ＃4 2009年6月18号， 23:48

您好

单击确定通过屏幕上，看看您是否可以得到combofix扫描完成

**Mybabbits** · ＃5 09年6月19日， 06:58

我仍然有一些麻烦combofix 。在某一点上的过程中桌面一片空白和combofix屏幕消失。难道要做到这一点？我等待着约10分钟，看看会发生什么，然后我重新启动计算机。之后， combofix屏幕回来了，并说，这是创建日志文件...

以下是我得到：

ComboFix 09-06-18.02 -业主2009年6月19日9:02.1 - NTFSx86
微软Windows XP Home Edition的5.1.2600.2.1252.1.1033.18.510.286 [格林尼治标准时间-4:00 ]
运行中： C ： \文件和设置\业主\桌面\组合fix.exe
命令交换机使用：： / killall
影音：的AVG反病毒软件免费*论访问扫描功能* （更新）（ 17DDD097 - 36FF - 435F - 9E1B - 52D74245D6BF ）
星期六： F - Secure的反病毒软件2006年6月10日*残疾人* （ D4747503 - 0346 - 49EB - 9262 - 997542F79BF4 ）

警告，这台机器没有故障恢复控制台安装！！
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç ： \的Documents and Settings \ LocalService \应用数据\ twain_32
ç ： \的Documents and Settings \ NetworkService \应用数据\ twain_32
ç ： \窗户\ system32 \组件
ç ： \窗户\ system32 \驱动程序\ UACymttprqpphespir.sys
ç ： \窗户\ system32 \ UACakmovnkvlbejvsw.dll
ç ： \窗户\ system32 \ UACjqblgassmsyrtsd.log
ç ： \窗户\ system32 \ UACkpxjqwvugnspokq.dll
ç ： \窗户\ system32 \ UACllkyxudengakpfn.dll
ç ： \窗户\ system32 \ UACmxexwkuwcfyxylo.dll
ç ： \窗户\ system32 \ UACtdqoweywvrmpfuc.dat
ç ： \窗户\ system32 \ UACwixxvmnqlxbujns.log
ç ： \窗户\ system32 \ UACwqwjasvfplrvpdn.log
ç ： \窗户\ system32 \ UACxcvrjkwrnbmiqml.dll
ç ： \ bt.log
ç ： \的Documents and Settings \ LocalService \应用数据\ twain_32 \ user.ds
ç ： \的Documents and Settings \ NetworkService \应用数据\ twain_32 \ user.ds
ç ： \窗户\ system32 \ arosetud.ini
ç ： \窗户\ system32 \ barohozi.dll.tmp
ç ： \窗户\ system32 \ bavuvofi.dll.tmp
ç ： \窗户\ system32 \组件\ flx0.dll
ç ： \窗户\ system32 \ diwovadu.dll.tmp
ç ： \窗户\ system32 \驱动程序\ str.sys
ç ： \窗户\ system32 \驱动程序\ UACymttprqpphespir.sys
ç ： \窗户\ system32 \ edurozoj.ini
ç ： \窗户\ system32 \ foyefolu.dll.tmp
ç ： \窗户\ system32 \ huboweri.dll.tmp
ç ： \窗户\ system32 \ ipepiyik.ini
ç ： \窗户\ system32 \ irawesak.ini
ç ： \窗户\ system32 \ jiyiduse.dll.tmp
ç ： \窗户\ system32 \ lcch.dat
ç ： \窗户\ system32 \ lut.dat
ç ： \窗户\ system32 \ nfr.assembly
ç ： \窗户\ system32 \ nfr.gpref
ç ： \窗户\ system32 \ obinunud.ini
ç ： \窗户\ system32 \ ofalonoy.ini
ç ： \窗户\ system32 \ ozejalir.ini
ç ： \窗户\ system32 \ srsut.bak1
ç ： \窗户\ system32 \ tconini.dat
ç ： \窗户\ system32 \ UACakmovnkvlbejvsw.dll
ç ： \窗户\ system32 \ uacinit.dll
ç ： \窗户\ system32 \ UACjqblgassmsyrtsd.log
ç ： \窗户\ system32 \ UACkpxjqwvugnspokq.dll
ç ： \窗户\ system32 \ UACllkyxudengakpfn.dll
ç ： \窗户\ system32 \ UACmxexwkuwcfyxylo.dll
ç ： \窗户\ system32 \ UACtdqoweywvrmpfuc.dat
ç ： \窗户\ system32 \ UACwixxvmnqlxbujns.log
ç ： \窗户\ system32 \ UACwqwjasvfplrvpdn.log
ç ： \窗户\ system32 \ UACxcvrjkwrnbmiqml.dll
ç ： \窗户\ system32 \ ugujasof.ini
ç ： \窗户\ system32 \ utodobah.ini

ç ： \窗户\ system32 \ grpconv.exe失踪
恢复本- ç ： \窗户\ ServicePackFiles \ i386 \ grpconv.exe

ç ： \窗户\ system32 \ proquota.exe失踪
恢复本- ç ： \窗户\ ServicePackFiles \ i386 \ proquota.exe

。
(((((((((((((((((((((((((((((((((((((((司机/服务)))))))) )))))))))))))))))))))))))))))))))))))))))
。

------- \ Service_UACd.sys
------- \ Legacy_PODMENA
------- \ Legacy_PODMENADRV

(((((((((((((((((((((((((创建的文件从2009年5月19号至2009年6月19号))))))))))) ))))))))))))))))))))
。

2009年6月19号13时09 。 2004年8月4日07:56 50176碳-胡碳： \窗户\ system32 \ dllcache \ proquota.exe
2009年6月19号13时09 。 2004年8月4日07:56 50176 ----胡碳： \窗户\ system32 \ proquota.exe
2009年6月18日18时04分。 2009年6月18日18:04 3561743 ----胡碳： \文件和设置\所有用户\应用数据\ Malwarebytes \ Malwarebytes '反恶意软件\ mbam -的Setup.exe
2009年6月18日15点58分。 2009年6月18日18:01 117760 ----胡碳： \文件和设置\业主\应用数据\ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009年6月18日15时57分。 2009年6月18日15:57 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ SUPERAntiSpyware.com
2009年6月18日15时54分。 2009年6月18日15:57 -------- d -----瓦特碳： \ Program Files文件\ SUPERAntiSpyware
2009年6月18日15时54分。 2009年6月18日15时54分-------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\ SUPERAntiSpyware.com
2009年6月18日15时53分。 2009年6月18日15:53 -------- d -----瓦特碳： \ Program Files文件\共同文件\智者安装向导
2009年6月18日15点42 。 2009年6月18日15时42 -------- d -----瓦特碳： \ Program Files文件\ CCleaner
2009年6月18日05:27 。 2009年6月18日05:27 152576 ----胡碳： \文件和设置\业主\应用数据\孙\的Java \ jre1.6.0_14 \ lzma.dll
2009年6月18日04:28 。 2009年6月18日04:28 -------- d -----瓦特碳： \ Program Files文件\趋势科技
2009年6月13日07:06 。 2002年6月19号23:03 151552 ----胡碳： \窗户\ system32 \ igfxres.dll
2009年6月13日06:38 。 2002年6月21日15:02 266240 ----胡碳： \窗户\ system32 \ shpshftr.dll
2009年6月13日06:00 。 2009年6月13日06:00 444 ----胡碳： \窗户\ system32 \ d3d8caps.dat
2009年6月13日05:01 。 2009年6月13日05:01 -------- d -----瓦特碳： \文件和设置\管理员\本地设置\应用数据\ Mozilla浏览器
2009年6月13日04:44 。 2009年6月18日04:53 -------- d -----瓦特碳： \ Program Files文件\启动优化
2009年6月12号23:31 。 2009年6月12号23:31 -------- d -----瓦特碳： \文件和设置\管理员\应用数据\ Malwarebytes
2009年6月12号22:21 。 2009年5月26日17:20四万零一百六十〇 ----胡碳： \窗户\ system32 \驱动程序\ mbamswissarmy.sys
2009年6月12号22:21 。 2009年6月12号22:23 -------- d -----瓦特碳： \ Program Files文件\ Malwarebytes '反恶意软件
2009年6月12号22:21 。 2009年5月26日17:19 19096 ----胡碳： \窗户\ system32 \驱动程序\ mbam.sys
2009年6月12号19:18 。 2009年6月12号23:26 45 ----胡碳： \窗户\ system32 \ ca.dat
2009年6月12号18:56 。 2008年3月4日19:59 41144 ----胡碳： \窗户\ system32 \驱动程序\ ShlDrv51.sys
2009年6月12号18:56 。 2008年2月7日16:03 179640 ----胡碳： \窗户\ system32 \驱动程序\ PavProc.sys
2009年6月12号18:21 。 2009年6月12号18:56 -------- d -----瓦特碳： \ Program Files文件\共同文件\熊猫安全
2009年6月3日05:12 。 2004年8月4日07:56 221184 ----胡碳： \窗户\ system32 \ wmpns.dll

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2009年6月19号01:27 。 2008年5月23日05:13 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ avg8
2009年6月18日05:31 。 2009年1月5日00:21 410984 ----胡碳： \窗户\ system32 \ deploytk.dll
2009年6月18日05:31 。 2009年1月12号01:18 -------- d -----瓦特碳： \ Program Files文件\爪哇
2009年6月13日04:50 。 2009年1月5日04:50 -------- d -----瓦特碳： \ Program Files文件\ Web发布
2009年6月13日04:49 。 2008年8月20号22:26 -------- d -----瓦特碳： \ Program Files文件\ Mozilla的雷鸟
2009年6月12号22:57 。 2009年4月16日15:22 -------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\的U3
2009年6月12号18:22 。 2006年5月2日03:43 --------数d - h -瓦特碳： \ Program Files文件\ InstallShield安装信息
2009年6月12号16:10 。 2009年4月19号18:00 -------- d -----瓦特碳： \ Program Files文件\谷歌
2009年6月2日16:49 。 2009年3月29日21:27 -------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\正跟踪Studio6
2009年5月15号13:30 。 2006年7月15号14点36 -------- d -----瓦特碳： \ Program Files文件\ QuickTime的
2009年5月15号13:30 。 2006年7月15号15:39 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\苹果电脑
2009年5月15号13:29 。 2009年5月15号13:29 -------- d -----瓦特碳： \ Program Files文件\苹果软件更新
2009年5月15号13:29 。 2009年5月15号13:29 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\苹果
2009年5月12号19点53分。 2009年5月12号19点53分16141 ----胡碳： \文件和设置\业主\应用数据\帮助\ lego.exe
2009年5月12号19点53分。 2009年5月12号19点53分11410 ----胡碳： \文件和设置\业主\应用数据\标识\ msgdi.dll
2009年5月12号19点53分。 2009年5月12号19点53分10121 ----胡碳： \文件和设置\业主\应用数据\ Lavasoft \ kern.dll
2009年5月12号19点53分。 2009年5月12号19点53分422 ----胡碳： \文件和设置\业主\应用数据\苹果电脑\ socks1.exe
2009年5月12号19点53分。 2009年5月12号19点53分145131 ----胡碳： \文件和设置\业主\应用数据\ DivX \ nomad.exe
2009年5月12号19点53分。 2009年5月12号19点53分13221 ----胡碳： \文件和设置\业主\应用数据\的Adobe \ rengo.dll
2009年5月12号19点53分。 2009年5月12号19点53分11232 ----胡碳： \文件和设置\业主\应用数据\ acccore \ shalom.exe
2009年5月11日14时21分。 2009年5月11日14时21分-------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\ Malwarebytes
2009年5月11日14:20 。 2009年5月11日14:20 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ Malwarebytes
2009年5月1日02:42 。 2009年5月1日02:42 130443 ----胡碳： \窗户\ system32 \ rn.tmp
2009年4月22日16时14 。 2006年5月3日02:44 -------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\正跟踪工作室
2009年4月21日07:27 。 2006年5月3日02:44 12024 ----胡碳： \文件和设置\业主\本地设置\应用数据\ GDIPFONTCACHEV1.DAT
2009年4月15日20:25 。 2009年4月19号18:01 43528 ------瓦特碳： \窗户\ system32 \驱动程序\ PxHelp20.sys
2009年4月15日20:25 。 9464 ------ 2009年4月19号18:01的W - ç ： \窗户\ system32 \驱动程序\ cdralw2k.sys
2009年4月15日20:25 。 9336 ------ 2009年4月19号18:01的W - ç ： \窗户\ system32 \驱动程序\ cdr4_xp.sys
2009年4月15日20:25 。 2009年4月19号18:01 120056 ------瓦特碳： \窗户\ system32 \ pxcpyi64.exe
2009年4月15日20:25 。 2009年4月19号18:01 118520 ------瓦特碳： \窗户\ system32 \ pxinsi64.exe
2009年4月15日20:25 。 2009年4月19号18:01 129784 ------瓦特碳： \窗户\ system32 \ pxafs.dll
2009年4月15日20时24分。 2009年4月15日20:24 90112 ----胡碳： \窗户\ system32 \ dpl100.dll
2009年4月15日20时24分。 2009年4月15日20:24 823296 ----胡碳： \窗户\ system32 \ divx_xx0c.dll
2009年4月15日20时24分。 2009年4月15日20:24 823296 ----胡碳： \窗户\ system32 \ divx_xx07.dll
2009年4月15日20时24分。 2009年4月15日20:24 815104 ----胡碳： \窗户\ system32 \ divx_xx0a.dll
2009年4月15日20时24分。 2009年4月15日20:24 802816 ----胡碳： \窗户\ system32 \ divx_xx11.dll
2009年4月15日20时24分。 2009年4月15日20:24 684032 ----胡碳： \窗户\ system32 \ DivX.dll
2009年4月1日16:35 。 2009年4月1日16:34 7040776 ----胡碳： \文件和设置\业主\应用数据\供应\通讯\安装\ MSIMClientSetup.1.0.789.0静态- A.exe
2009年4月1日16时33分。 2009年4月1日16时33分三十○点〇八万----胡碳： \ MySpaceIM_Setup.exe
2009年3月31日23时24分。 2009年3月31日23:23 16494272 ----胡碳： \ nTrackSetup.exe
09年3月30号22:38 。 09年3月30号22:38 25214 ----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _16496df1.exe
09年3月30号22:38 。 09年3月30号22:38 2998年----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _69525f90.exe
09年3月30号22:38 。 09年3月30号22:38 2998年----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _294823.exe
09年3月30号22:38 。 09年3月30号22:38 2998年----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _18be6784.exe
09年3月30号22:38 。 09年3月30号22:38 25214 ----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _4ae13d6c.exe
09年3月30号22:38 。 09年3月30号22:38 25214 ----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _2cd672ae.exe
2009年2月26日16:20 。 2009年2月26日16:20 6309376 ----胡碳： \ Program Files文件\ ntrack.exe
2009年2月26日16:05 。 2009年2月26日16:05 126976 ----胡碳： \ Program Files文件\ AMGateway.ax
2009年2月26日16:05 。 2009年2月26日16:05 63168 ----胡碳： \ Program Files文件\ RegisterComponents.exe
2009年2月26日16:05 。 2009年2月26日16:05一十六点三五二万----胡碳： \ Program Files文件\ ReportDump.exe
2009年2月26日16点○四。 2009年2月26日16点○四86016 ----胡碳： \ Program Files文件\ vstscan.exe
2009年2月26日16点○四。 2009年2月26日16点○四45056 ----胡碳： \ Program Files文件\ ball.ax
2009年2月26日16时01分。 2009年2月26日16:01 78848 ----胡碳： \ Program Files文件\ EmptyProjectAction.dll
2009年2月26日16时01分。 2009年2月26日16:01 147456 ----胡碳： \ Program Files文件\ nTrackDotControls.dll
2009年2月26日16:00 。 2009年2月26日16:00 637440 ----胡碳： \ Program Files文件\ NativeControls6.dll
2009年2月26日15点59分。 2009年2月26日15时59 99328 ----胡碳： \ Program Files文件\ SurroundVSTGui.dll
2009年2月26日15点59分。 2009年2月26日15时59 45056 ----胡碳： \ Program Files文件\ yeti.mmedia.dll
2009年2月26日15点59分。 2009年2月26日15时59 40960 ----胡碳： \ Program Files文件\ cdcopier.dll
2009年2月26日15点59分。 2009年2月26日15时59 28672 ----胡碳： \ Program Files文件\ Ripper.dll
2009年2月26日15点59分。 2009年2月26日15点59分8704 ----胡碳： \ Program Files文件\ ntrack3rdparty.dll
2009年2月26日15点59分。 2009年2月26日15点59分5120 ----胡碳： \ Program Files文件\ WindowsFormsBase.dll
2009年2月26日15点59分。 2009年2月26日15时59 36864 ----胡碳： \ Program Files文件\ nttest.dll
2009年2月26日15点59分。 2009年2月26日15时59 32768 ----胡碳： \ Program Files文件\ nTrackDotNet.dll
2009年2月26日15点59分。 2009年2月26日15时59 24576 ----胡碳： \ Program Files文件\ AVFader.dll
2009年2月26日15点59分。 2009年2月26日15点59分6656 ----胡碳： \ Program Files文件\ nativecontrolsinterop.dll
2009年2月7日22时10分。 2009年2月7日22:10 528726 ----胡碳： \ Program Files文件\正Track.htm
2009年2月6日00:15 。 2009年2月6日00:15 225792 ----胡碳： \ Program Files文件\ AutoVol.dll
2009年2月6日00:14 。 2009年2月6日00:14 228352 ----胡碳： \ Program Files文件\ Chorus.dll
2009年2月6日00:14 。 2009年2月6日00:14 228864 ----胡碳： \ Program Files文件\ Echo.dll
2009年2月6日00:12 。 2009年2月6日00:12 369152 ----胡碳： \ Program Files文件\ ntrck_PitchShift.dll
2009年2月6日00:11 。 2009年2月6日00:11 176128 ----胡碳： \ Program Files文件\ Riverbero.dll
2009年2月6日00:09 。 2009年2月6日00:09 434688 ----胡碳： \ Program Files文件\ facomp10.dll
2009年2月6日00:08 。 2009年2月6日00:08 379904 ----胡碳： \ Program Files文件\ dxirewire.dll
2009年2月6日00:06 。 2009年2月6日00:06 951808 ----胡碳： \ Program Files文件\ fa4bdeq.dll
2009年1月13号14点16分。 2009年1月13号14点16分3455 ----胡碳： \ Program Files文件\ order.html
2008年11月28号00:23 。 2008年11月28号00:23 642840 ----胡碳： \ Program Files文件\正track.cfg
2008年10月25号23:46 。 2008年10月25号23:46 4920 ----胡碳： \ Program Files文件\ order_upgrade.html
2008年9月2日23点06 。 2008年9月2日23时06 231936 ----胡碳： \ Program Files文件\ ShellCtl.dll
2008年8月31日13:20 。 2008年8月31日13:20 105056 ----胡碳： \ Program Files文件\ Setup.bmp
2008年6月20号18:37 。 2008年6月20号18:37 24576 ----胡碳： \ Program Files文件\ ScrollerAbout.dll
2008年6月20号18:18 。 2008年6月20号18:18 831058 ----胡碳： \ Program Files文件\ banks_default.txt
2008年6月20号18:18 。 2008年6月20号18:18 709 ----胡碳： \ Program Files文件\ ntrack.exe.config
2008年6月20号18:18 。 2008年6月20号18:18 22124 ----胡碳： \ Program Files文件\ us428_faders.dat
2008年6月20号18:18 。 2008年6月20号18:18 22124 ----胡碳： \ Program Files文件\ us224_faders.dat
2008年6月20号18:17 。 2008年6月20号18:17 4035 ----胡碳： \ Program Files文件\正track_help.cnt
2008年6月20号18:17 。 2008年6月20号18:17 169585 ----胡碳： \ Program Files文件\鼓Example.sng
2008年6月20号18:17 。 2008年6月20号18:17 15457 ----胡碳： \ Program Files文件\ FACOMP10.HLP
2008年6月20号18:17 。 2008年6月20号18:17 25698 ----胡碳： \ Program Files文件\ FA4BDEQ.HLP
2008年6月20号18:16 。 2008年6月20号18:16 19339 ----胡碳： \ Program Files文件\ N一TRACK_EFX.HLP
2004年6月11日20:19 。 2004年6月11日20:19 25214 ----胡碳： \ Program Files文件\ help_icon.ico
2004年6月7日13时23分。 2004年6月7日13时23分25214 ----胡碳： \ Program Files文件\ link_icon.ico
2000年11月12号03:30 。 2000年11月12号03:30 86 ----胡碳： \ Program Files文件\ BUYIT ！。网址
2000年11月12号03:28 。 2000年11月12号03:28 73 ----胡碳： \ Program Files文件\正Track.url
2009年4月15日20时24分。 2009年4月15日20:24一百〇四点四四八万----胡碳： \ Program Files文件\ Mozilla Firefox浏览器\插件\ libdivx.dll
2009年4月15日20时24分。 2009年4月15日20:24 200704 ----胡碳： \ Program Files文件\ Mozilla Firefox浏览器\插件\ ssldivx.dll
。

(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ IgfxTray ” =的“ C ： \窗户\ system32 \ igfxtray.exe ” [ 2002年6月19号155648 ]
“ HotKeysCmds ” =的“ C ： \窗户\ system32 \ hkcmd.exe ” [ 2002年6月19号114688 ]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\爪哇\ jre6 \斌\ jusched.exe ” [ 2009年6月18号148888 ]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ MySpaceIM ” =的“ C ： \ Program Files文件\供应\通讯\ MySpaceIM.exe ” [ 2008年12月12号9555968 ]

[ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” =的“ C ： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2008年5月13日77824 ]

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
2008年12月22号16:05 356352 ----胡碳： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \窗口]
“ AppInit_DLLs ” = C的： \窗户\ system32 \ avgrsstx.dl升

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile ]
“ EnableFirewall ” = 0 （ 0x0 ）

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \的AVG \ \ AVG8 \ \ avgupd.exe ” =
的“ C ： \ \ Program Files文件\ \的AVG \ \ AVG8 \ \ avgemc.exe ” =
的“ C ： \ \ Program Files文件\ \属性恒指\ \ McciBrowser.exe ” =
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” =
的“ C ： \ \ Program Files文件\ \ AIM6 \ \ aim6.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ igfxtray.exe ” =
的“ C ： \ \ Program Files文件\ \的AVG \ \ AVG8 \ \ avgrsx.exe ” =
“ ％ windir ％ \ \ system32 \ \驱动程序\ \ svchost.exe ” =
的“ C ： \ \ Program Files文件\ \供应\ \通讯\ \ MySpaceIM.exe ” =

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单]
“ 53 ： TCP连接” = 53 ：为tcp ： websrvx

受体1 AvgLdx86 ;的AVG的AVI装载机驱动的X86 ; ç ： \窗户\ system32 \驱动程序\ avgldx86.sys [ 2008年5月23日上午01时13 96520 ]
受体1 SASDIFSV ; SASDIFSV ; ç ： \ Program Files文件\ SUPERAntiSpyware \ sasdifsv.sys [ 2009年5月26日上午10点05 9968 ]
受体1 SASKUTIL ; SASKUTIL ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASKUTIL.SYS [ 2009年5月26日上午10点05 72944 ]
受体1 ShldDrv ;熊猫档案盾构司机; ç ： \窗户\ system32 \驱动程序\ ShlDrv51.sys [ 2009年6月12号下午2点56分41144 ]
R2的avg8emc ; AVG8电子邮件扫描; ç ： \ progra 〜 1 \的AVG \ AVG8 \ avgemc.exe [ 2008年5月23日上午01时13分902424 ]
R2的avg8wd ; AVG8看门狗; ç ： \ progra 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe [ 2008年5月23日上午01点13分282904 ]
R2的AvgTdiX ; AVG8网络重定向; ç ： \窗户\ system32 \驱动程序\ avgtdix.sys [ 2008年5月23日上午01时13 75272 ]
R2的PavProc ;熊猫程序保护司机; ç ： \窗户\ system32 \驱动程序\ PavProc.sys [ 2009年6月12号下午2点56一十七点九六四万]
R2的观点管理服务;观管理服务; ç ： \ Program Files文件\观\共同\ ViewpointService.exe [ 2009年2月5日下午6时56分24652 ]
R3的（ A7E39B01 - B403 - 11d4 - BD18 - 00D0B7A1821E ） ;目的3.0 01部分编码解码器驱动程序VCH人; ç ： \窗户\ system32 \驱动程序\ Vch.sys [ 2006年5月1日下午11时58分20023 ]
二gupdate1c9c119864b630 ;谷歌更新服务（ gupdate1c9c119864b630 ） ; ç ： \ Program Files文件\谷歌\更新\ GoogleUpdate.exe [ 2009年4月19日下午2点02分133104 ]
二sgejhlqxcrvoui ; sgejhlqxcrvoui ; \ ？？ \ ç ： \窗户\系统m32 \驱动程序\ ngaysfvqh.sys - “ ç ： \窗户\ system32 \驱动程序\ ngaysfvqh.sys [ ？ ]
二vnoakhdmmnhfkc ; vnoakhdmmnhfkc ; \ ？？ \ ç ： \窗户\系统m32 \驱动程序\ ncjdccfwkwt.sys - “ ç ： \窗户\ system32 \驱动程序\ ncjdccfwkwt.sys [ ？ ]
三SASENUM ; SASENUM ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASENUM.SYS [ 2009年5月26日上午10时05分7408 ]
。
内容'计划任务的文件夹

2009年6月19号ç ： \窗户\任务\ GoogleUpdateTaskMachine.job
- ç ： \ Program Files文件\谷歌\更新\ GoogleUpdate.exe [ 2009年4月19日18:00 ]
。
。
补充扫描------- -------
。
uStart页= hxxp ： / / www.att.net/
uInternet连接向导， ShellNext = iexplore
uInternet设置， ProxyServer =网址=本地： 7171
uInternet设置， ProxyOverride = *.地方; <local>
uSearchURL ，（默认） = hxxp ： / / us.rd.yahoo.com /自定义/ ycomp /默认/苏/ *http://www.yahoo.com
即：与搜索
法国法郎- ProfilePath - ç ： \的Documents and Settings \业主\应用数据\ Mozilla浏览器\火狐\概况\ a8c9lkqd.default \
法国法郎- prefs.js ： browser.search.defaulturl - hxxp ： / / search.yahoo.com /搜索？神父= ffsp1 ＆ P值
法国法郎- prefs.js ： browser.search.selectedEngine -雅虎
法国法郎- prefs.js ： browser.startup.homepage - google.com
法国法郎- prefs.js ： keyword.URL - hxxp ： / / search.yahoo.com /搜索？神父= ffds1 ＆ P值
法国法郎- prefs.js ： network.proxy.http -本地
法国法郎- prefs.js ： network.proxy.http_port - 7171
法国法郎- prefs.js ： network.proxy.type - 4
法国法郎-插件中： C ： \ Program Files文件\ Mozilla Firefox浏览器\插件\ npViewpoint.dll
法国法郎-插件中： C ： \ Program Files文件\观\观媒体播放器\ npViewpoint.dll
。

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
的rootkit扫描2009年6月19日09:15
2600年5月1号的Windows Service Pack 2中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
---------------------的DLL加载运行的进程---------------------

- - - - - - - > “ winlogon.exe ' （ 612 ）
ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
。
------------------------其他正在运行的进程----------------------- -
。
ç ： \ Program Files文件\爪哇\ jre6 \斌\ jqs.exe
ç ： \ Program Files文件\共同文件\动力\ McciCMService.exe
ç ： \ Program Files文件\共同文件\熊猫安全\ PavShld \ PavPrSrv.exe
ç ： \窗户\ system32 \ wscntfy.exe
ç ： \ Program Files文件\的AVG \ AVG8 \ avgrsx.exe
ç ： \ Program Files文件\的AVG \ AVG8 \ avgrsx.exe
ç ： \ Program Files文件\的AVG \ AVG8 \ avgrsx.exe
ç ： \ Program Files文件\的AVG \ AVG8 \ avgrsx.exe
ç ： \ Program Files文件\的AVG \ AVG8 \ avgrsx.exe
。
************************************************** ************************
。
完成时间： 2009年6月19日9:20 -机器重启
ComboFix -隔离- files.txt 2009年6月19日13:20

预运行： 6120624128字节免费
后运行： 6057713664字节免费

300

GMER 1.0.15.14972 - http://www.gmer.net
2009年6月19日9点55分00秒的rootkit扫描
2600年5月1号的Windows Service Pack 2的

----系统- GMER 1.0.15 ----

代码\ ？？ \ ç ： \ DOCUME 〜 1 \业主\当地人〜 1的\ Temp \ catchme.sys pIofCallDriver

----设备- GMER 1.0.15 ----

设备\文件系统\ NTFS的\ NTFS的ShlDrv51.sys （ PandaShield司机/大熊猫安全， SL版本）
设备\文件系统\ Fastfat \ FatCdrom ShlDrv51.sys （ PandaShield司机/大熊猫安全， SL版本）
设备\驱动程序\ Tcpip \装置\叶avgtdix.sys （平均值网络连接观察者/平均技术长征，氧化锶）
设备\驱动程序\ Tcpip \装置\为tcp avgtdix.sys （平均值网络连接观察者/平均技术长征，氧化锶）
设备\驱动程序\ Tcpip \装置\ udp ，指定avgtdix.sys （平均值网络连接观察者/平均技术长征，氧化锶）
设备\驱动程序\ Tcpip \装置\ RawIp avgtdix.sys （平均值网络连接观察者/平均技术长征，氧化锶）
设备\驱动程序\ Tcpip \装置\ IPMULTICAST avgtdix.sys （平均值网络连接观察者/平均技术长征，氧化锶）
设备\文件系统\ Fastfat \脂肪ShlDrv51.sys （ PandaShield司机/大熊猫安全， SL版本）

AttachedDevice \文件系统\ Fastfat \脂肪fltmgr.sys （微软文件系统过滤器管理器/微软公司）

---- EOF分析- GMER 1.0.15 ----

**sjb007** · ＃6 09年6月19日， 15:36

你好有

良好的工作得到combofix完成， combofix肯定了一些垃圾出您的系统！还有一些工作还没有做虽然....

1 。关闭所有打开的浏览器。

2 。确保您已停用所有反病毒和反恶意软件程序，使他们不干扰运行ComboFix 。

3 。打开记事本复制/粘贴中的文字quotebox以下进去：

码：

档案：中： C ： \窗口\ system32 \ luruwono.dll ç ： \窗户\ system32 \ rn.tmp ç ： \窗户\ system32 \驱动程序\ ngaysfvqh.sys ç ： \窗户\ system32 \驱动程序\ ncjdccfwkwt.sys驱动程序： ： sgejhlqxcrvoui vnoakhdmmnhfkc频率： ： uInternet设置， ProxyServer =网址=本地： 7171 uInternet设置， ProxyOverride = *.地方; <local>法郎- prefs.js ： network.proxy.http -本地法郎- prefs.js ： network.proxy 。 http_port - 7171法郎- prefs.js ： network.proxy.type - 4

另存为 CFScript.txt在相同的位置ComboFix.exe

在谈到上面图片，拖动CFScript纳入ComboFix.exe

完成时，它应产生一个日志为您 ç ： \ ComboFix.txt 我将需要在您下一次的答复。

请下载 管理局清洁 由Atribune 。
这一计划是用于XP和Windows 2000只

双击 亚欧信托基金， Cleaner.exe 运行该程序。
根据 主要的 选择：全选
点击空选按钮。

如果您使用Firefox浏览器
点击火狐顶部和选择：全选
点击空选按钮。
注意： 如果您想保留您保存密码，请点击否在提示符。

如果您使用的Opera浏览器
点击歌剧顶部和选择：全选
点击空选按钮。
注意： 如果您想保留您保存密码，请点击否在提示符。

点击退出在主菜单中关闭该程序。
为了 技术支持，双击e - mail地址位于底部的每个菜单。

建立一个互联网连接和执行联机扫描 Internet Explorer的 在 卡巴斯基在线扫描。

** Vista用户-右键点击IE浏览器/ Firefox的图标，并以管理员身份运行

点击接受，当提示下载并安装程序文件和数据库的恶意软件的定义。

点击跑在安全提示。
该计划将开始下载和安装，也将更新数据库。
请耐心等待，因为这可能需要几分钟时间。
一旦完成更新，请点击 我的电脑 根据绿色扫描酒吧左边开始扫描。
一旦扫描完成，它会显示如果你的系统已经被感染。它不提供一个选项，清洁/消毒。我们只需要它的报告。
做不感到震惊的是你在报告中看到。许多认为有可能被隔离。
点击 查看扫描报告 在底部。
点击 保存报告作为...按钮。
点击 另存为 文字按钮，将文件保存到桌面，以便您可以将它张贴在您下次答复。

这动画将引导您完成这一过程：

**注**

优化扫描时间和产生一个更明智的报告进行审查：
关闭所有打开的程序
关闭实时扫描任何现有的防病毒程序，而执行线上扫描。您可以从互联网上断开一旦您开始扫描。

注意： Internet Explorer 7的用户：如果您在任何时候都无法查看的接受按钮的许可证，点击放大工具位于右下角的IE窗口，并设置缩放到75 ％。一旦许可证接受，重置为100 ％。

邮回的结果来combofix和卡巴斯基扫描。如何更新我的事情现在正在运行

**Mybabbits** · ＃7 2009年6月21日， 09:08

http://www.yahoo.com 即：与搜索法郎- ProfilePath - 。 ************************************************** ************************ catchme 0.3.1398 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net

**sjb007** · ＃8 2009年6月21日， 14:54

您好

发布日志您是不可读，你能不能重新发布，请使用记事本作为您的编辑器，确保自动换行是关闭的。

可以尝试不同的扫描仪...

执行联机扫描 熊猫ActiveScan

点击 扫描你的电脑现在
一个“弹出”窗口会出现，或者一个新的标签会开启。
点击注册
选择你最喜欢，但我们建议的免费注册。
点击注册
输入您的e - mail地址，并创建一个密码。
选择“我不想接受任何类型的信息“ 。（除非您希望收到此类信息）
点击发送
确认登记，并继续输入您的用户名和密码，然后点击输入
选择完整扫描，然后点击 现在扫描
等待组件加载和安装。不要关闭此窗口或转到另一个网页，而这是下载。您可以继续使用互联网的开放另一个窗口在您的浏览器。
如果发现任何恶意软件可以消毒，在消毒按钮将启用。点击消毒
请忽略要约收购计划。点击出口
出口的记录，并储存到您的桌面。
请张贴的内容，该记录您的回复。

*关闭实时扫描任何现有的防病毒程序，而执行线上扫描。

Avast用户注意：

请不要继续进行在线扫描熊猫如果您收到警报。这是一个假阳性的 Avast 因为熊猫卫士防病毒不加密的病毒数据库。

**Mybabbits** · ＃9 2009年6月22日， 04:28

哇。你是绝对正确的了解，去年后我们对此深感抱歉。我不知道发生了什么（它期待权当我贴无论如何），但我会再次尝试。主动扫描工作，但我不认为它实际上消毒什么，我按了一下按钮，它变成灰色，但什么也没有发生。以下是日志来自：

ComboFix 09-06-20.04 -业主2009年6月21日11:33.2 - NTFSx86
微软Windows XP Home Edition的5.1.2600.2.1252.1.1033.18.510.123 [格林尼治标准时间-4:00 ]
运行中： C ： \文件和设置\业主\桌面\组合Fix.exe
命令交换机使用：目标： c ： \文件和设置\业主\桌面\ CFScript.txt
影音：的AVG反病毒软件免费*论访问扫描功能* （更新）（ 17DDD097 - 36FF - 435F - 9E1B - 52D74245D6BF ）
星期六： F - Secure的反病毒软件2006年6月10日*残疾人* （ D4747503 - 0346 - 49EB - 9262 - 997542F79BF4 ）

文件：：
的“ C ： \窗户\ system32 \驱动程序\ ncjdccfwkwt.sys ”
的“ C ： \窗户\ system32 \驱动程序\ ngaysfvqh.sys ”
的“ C ： \窗户\ system32 \ luruwono.dll ”
的“ C ： \窗户\ system32 \ rn.tmp ”
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç ： \窗户\ system32 \ rn.tmp

。
(((((((((((((((((((((((((((((((((((((((司机/服务)))))))) )))))))))))))))))))))))))))))))))))))))))
。

------- \ Legacy_SGEJHLQXCRVOUI
------- \ Legacy_VNOAKHDMMNHFKC
------- \ Service_sgejhlqxcrvoui
------- \ Service_vnoakhdmmnhfkc

(((((((((((((((((((((((((创建的文件从2009年5月21日至2009年6月21日))))))))))) ))))))))))))))))))))
。

2009年6月19号13时09 。 2004年8月4日07:56 50176碳-胡碳： \窗户\ system32 \ dllcache \ proquota.exe
2009年6月19号13时09 。 2004年8月4日07:56 50176 ----胡碳： \窗户\ system32 \ proquota.exe
2009年6月19号13时09 。 2004年8月4日07:56 39424碳-胡碳： \窗户\ system32 \ dllcache \ grpconv.exe
2009年6月19号13时09 。 2004年8月4日07:56 39424 ----胡碳： \窗户\ system32 \ grpconv.exe
2009年6月18日18时04分。 2009年6月18日18:04 3561743 ----胡碳： \文件和设置\所有用户\应用数据\ Malwarebytes \ Malwarebytes '反恶意软件\ mbam -的Setup.exe
2009年6月18日15点58分。 2009年6月18日18:01 117760 ----胡碳： \文件和设置\业主\应用数据\ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009年6月18日15时57分。 2009年6月18日15:57 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ SUPERAntiSpyware.com
2009年6月18日15时54分。 2009年6月18日15:57 -------- d -----瓦特碳： \ Program Files文件\ SUPERAntiSpyware
2009年6月18日15时54分。 2009年6月18日15时54分-------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\ SUPERAntiSpyware.com
2009年6月18日15时53分。 2009年6月18日15:53 -------- d -----瓦特碳： \ Program Files文件\共同文件\智者安装向导
2009年6月18日15点42 。 2009年6月18日15时42 -------- d -----瓦特碳： \ Program Files文件\ CCleaner
2009年6月18日05:27 。 2009年6月18日05:27 152576 ----胡碳： \文件和设置\业主\应用数据\孙\的Java \ jre1.6.0_14 \ lzma.dll
2009年6月18日04:28 。 2009年6月18日04:28 -------- d -----瓦特碳： \ Program Files文件\趋势科技
2009年6月13日07:06 。 2002年6月19号23:03 151552 ----胡碳： \窗户\ system32 \ igfxres.dll
2009年6月13日06:38 。 2002年6月21日15:02 266240 ----胡碳： \窗户\ system32 \ shpshftr.dll
2009年6月13日06:00 。 2009年6月13日06:00 444 ----胡碳： \窗户\ system32 \ d3d8caps.dat
2009年6月13日05:01 。 2009年6月13日05:01 -------- d -----瓦特碳： \文件和设置\管理员\本地设置\应用数据\ Mozilla浏览器
2009年6月13日04:44 。 2009年6月18日04:53 -------- d -----瓦特碳： \ Program Files文件\启动优化
2009年6月12号23:31 。 2009年6月12号23:31 -------- d -----瓦特碳： \文件和设置\管理员\应用数据\ Malwarebytes
2009年6月12号22:21 。 2009年5月26日17:20四万零一百六十〇 ----胡碳： \窗户\ system32 \驱动程序\ mbamswissarmy.sys
2009年6月12号22:21 。 2009年6月12号22:23 -------- d -----瓦特碳： \ Program Files文件\ Malwarebytes '反恶意软件
2009年6月12号22:21 。 2009年5月26日17:19 19096 ----胡碳： \窗户\ system32 \驱动程序\ mbam.sys
2009年6月12号19:18 。 2009年6月12号23:26 45 ----胡碳： \窗户\ system32 \ ca.dat
2009年6月12号18:56 。 2008年3月4日19:59 41144 ----胡碳： \窗户\ system32 \驱动程序\ ShlDrv51.sys
2009年6月12号18:56 。 2008年2月7日16:03 179640 ----胡碳： \窗户\ system32 \驱动程序\ PavProc.sys
2009年6月12号18:21 。 2009年6月12号18:56 -------- d -----瓦特碳： \ Program Files文件\共同文件\熊猫安全
2009年6月3日05:12 。 2004年8月4日07:56 221184 ----胡碳： \窗户\ system32 \ wmpns.dll

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2009年6月19号01:27 。 2008年5月23日05:13 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ avg8
2009年6月18日05:31 。 2009年1月5日00:21 410984 ----胡碳： \窗户\ system32 \ deploytk.dll
2009年6月18日05:31 。 2009年1月12号01:18 -------- d -----瓦特碳： \ Program Files文件\爪哇
2009年6月13日04:50 。 2009年1月5日04:50 -------- d -----瓦特碳： \ Program Files文件\ Web发布
2009年6月13日04:49 。 2008年8月20号22:26 -------- d -----瓦特碳： \ Program Files文件\ Mozilla的雷鸟
2009年6月12号22:57 。 2009年4月16日15:22 -------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\的U3
2009年6月12号18:22 。 2006年5月2日03:43 --------数d - h -瓦特碳： \ Program Files文件\ InstallShield安装信息
2009年6月12号16:10 。 2009年4月19号18:00 -------- d -----瓦特碳： \ Program Files文件\谷歌
2009年6月2日16:49 。 2009年3月29日21:27 -------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\正跟踪Studio6
2009年5月15号13:30 。 2006年7月15号14点36 -------- d -----瓦特碳： \ Program Files文件\ QuickTime的
2009年5月15号13:30 。 2006年7月15号15:39 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\苹果电脑
2009年5月15号13:29 。 2009年5月15号13:29 -------- d -----瓦特碳： \ Program Files文件\苹果软件更新
2009年5月15号13:29 。 2009年5月15号13:29 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\苹果
2009年5月12号19点53分。 2009年5月12号19点53分16141 ----胡碳： \文件和设置\业主\应用数据\帮助\ lego.exe
2009年5月12号19点53分。 2009年5月12号19点53分11410 ----胡碳： \文件和设置\业主\应用数据\标识\ msgdi.dll
2009年5月12号19点53分。 2009年5月12号19点53分10121 ----胡碳： \文件和设置\业主\应用数据\ Lavasoft \ kern.dll
2009年5月12号19点53分。 2009年5月12号19点53分422 ----胡碳： \文件和设置\业主\应用数据\苹果电脑\ socks1.exe
2009年5月12号19点53分。 2009年5月12号19点53分145131 ----胡碳： \文件和设置\业主\应用数据\ DivX \ nomad.exe
2009年5月12号19点53分。 2009年5月12号19点53分13221 ----胡碳： \文件和设置\业主\应用数据\的Adobe \ rengo.dll
2009年5月12号19点53分。 2009年5月12号19点53分11232 ----胡碳： \文件和设置\业主\应用数据\ acccore \ shalom.exe
2009年5月11日14时21分。 2009年5月11日14时21分-------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\ Malwarebytes
2009年5月11日14:20 。 2009年5月11日14:20 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ Malwarebytes
2009年4月22日16时14 。 2006年5月3日02:44 -------- d -----的W - ç ： \的Documents and Settings \业主\应用数据\正跟踪工作室
2009年4月21日07:27 。 2006年5月3日02:44 12024 ----胡碳： \文件和设置\业主\本地设置\应用数据\ GDIPFONTCACHEV1.DAT
2009年4月15日20:25 。 2009年4月19号18:01 43528 ------瓦特碳： \窗户\ system32 \驱动程序\ PxHelp20.sys
2009年4月15日20:25 。 9464 ------ 2009年4月19号18:01的W - ç ： \窗户\ system32 \驱动程序\ cdralw2k.sys
2009年4月15日20:25 。 9336 ------ 2009年4月19号18:01的W - ç ： \窗户\ system32 \驱动程序\ cdr4_xp.sys
2009年4月15日20:25 。 2009年4月19号18:01 120056 ------瓦特碳： \窗户\ system32 \ pxcpyi64.exe
2009年4月15日20:25 。 2009年4月19号18:01 118520 ------瓦特碳： \窗户\ system32 \ pxinsi64.exe
2009年4月15日20:25 。 2009年4月19号18:01 129784 ------瓦特碳： \窗户\ system32 \ pxafs.dll
2009年4月15日20时24分。 2009年4月15日20:24 90112 ----胡碳： \窗户\ system32 \ dpl100.dll
2009年4月15日20时24分。 2009年4月15日20:24 823296 ----胡碳： \窗户\ system32 \ divx_xx0c.dll
2009年4月15日20时24分。 2009年4月15日20:24 823296 ----胡碳： \窗户\ system32 \ divx_xx07.dll
2009年4月15日20时24分。 2009年4月15日20:24 815104 ----胡碳： \窗户\ system32 \ divx_xx0a.dll
2009年4月15日20时24分。 2009年4月15日20:24 802816 ----胡碳： \窗户\ system32 \ divx_xx11.dll
2009年4月15日20时24分。 2009年4月15日20:24 684032 ----胡碳： \窗户\ system32 \ DivX.dll
2009年4月1日16:35 。 2009年4月1日16:34 7040776 ----胡碳： \文件和设置\业主\应用数据\供应\通讯\安装\ MSIMClientSetup.1.0.789.0静态- A.exe
2009年4月1日16时33分。 2009年4月1日16时33分三十○点〇八万----胡碳： \ MySpaceIM_Setup.exe
2009年3月31日23时24分。 2009年3月31日23:23 16494272 ----胡碳： \ nTrackSetup.exe
09年3月30号22:38 。 09年3月30号22:38 25214 ----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _16496df1.exe
09年3月30号22:38 。 09年3月30号22:38 2998年----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _69525f90.exe
09年3月30号22:38 。 09年3月30号22:38 2998年----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _294823.exe
09年3月30号22:38 。 09年3月30号22:38 2998年----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _18be6784.exe
09年3月30号22:38 。 09年3月30号22:38 25214 ----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _4ae13d6c.exe
09年3月30号22:38 。 09年3月30号22:38 25214 ----氩ç ： \的Documents and Settings \业主\应用数据\微软\安装\ （ 47312E0A - 043C - 409D - B6D0 - 1482457F2CDA ） \ _2cd672ae.exe
2009年2月26日16:20 。 2009年2月26日16:20 6309376 ----胡碳： \ Program Files文件\ ntrack.exe
2009年2月26日16:05 。 2009年2月26日16:05 126976 ----胡碳： \ Program Files文件\ AMGateway.ax
2009年2月26日16:05 。 2009年2月26日16:05 63168 ----胡碳： \ Program Files文件\ RegisterComponents.exe
2009年2月26日16:05 。 2009年2月26日16:05一十六点三五二万----胡碳： \ Program Files文件\ ReportDump.exe
2009年2月26日16点○四。 2009年2月26日16点○四86016 ----胡碳： \ Program Files文件\ vstscan.exe
2009年2月26日16点○四。 2009年2月26日16点○四45056 ----胡碳： \ Program Files文件\ ball.ax
2009年2月26日16时01分。 2009年2月26日16:01 78848 ----胡碳： \ Program Files文件\ EmptyProjectAction.dll
2009年2月26日16时01分。 2009年2月26日16:01 147456 ----胡碳： \ Program Files文件\ nTrackDotControls.dll
2009年2月26日16:00 。 2009年2月26日16:00 637440 ----胡碳： \ Program Files文件\ NativeControls6.dll
2009年2月26日15点59分。 2009年2月26日15时59 99328 ----胡碳： \ Program Files文件\ SurroundVSTGui.dll
2009年2月26日15点59分。 2009年2月26日15时59 45056 ----胡碳： \ Program Files文件\ yeti.mmedia.dll
2009年2月26日15点59分。 2009年2月26日15时59 40960 ----胡碳： \ Program Files文件\ cdcopier.dll
2009年2月26日15点59分。 2009年2月26日15时59 28672 ----胡碳： \ Program Files文件\ Ripper.dll
2009年2月26日15点59分。 2009年2月26日15点59分8704 ----胡碳： \ Program Files文件\ ntrack3rdparty.dll
2009年2月26日15点59分。 2009年2月26日15点59分5120 ----胡碳： \ Program Files文件\ WindowsFormsBase.dll
2009年2月26日15点59分。 2009年2月26日15时59 36864 ----胡碳： \ Program Files文件\ nttest.dll
2009年2月26日15点59分。 2009年2月26日15时59 32768 ----胡碳： \ Program Files文件\ nTrackDotNet.dll
2009年2月26日15点59分。 2009年2月26日15时59 24576 ----胡碳： \ Program Files文件\ AVFader.dll
2009年2月26日15点59分。 2009年2月26日15点59分6656 ----胡碳： \ Program Files文件\ nativecontrolsinterop.dll
2009年2月7日22时10分。 2009年2月7日22:10 528726 ----胡碳： \ Program Files文件\正Track.htm
2009年2月6日00:15 。 2009年2月6日00:15 225792 ----胡碳： \ Program Files文件\ AutoVol.dll
2009年2月6日00:14 。 2009年2月6日00:14 228352 ----胡碳： \ Program Files文件\ Chorus.dll
2009年2月6日00:14 。 2009年2月6日00:14 228864 ----胡碳： \ Program Files文件\ Echo.dll
2009年2月6日00:12 。 2009年2月6日00:12 369152 ----胡碳： \ Program Files文件\ ntrck_PitchShift.dll
2009年2月6日00:11 。 2009年2月6日00:11 176128 ----胡碳： \ Program Files文件\ Riverbero.dll
2009年2月6日00:09 。 2009年2月6日00:09 434688 ----胡碳： \ Program Files文件\ facomp10.dll
2009年2月6日00:08 。 2009年2月6日00:08 379904 ----胡碳： \ Program Files文件\ dxirewire.dll
2009年2月6日00:06 。 2009年2月6日00:06 951808 ----胡碳： \ Program Files文件\ fa4bdeq.dll
2009年1月13号14点16分。 2009年1月13号14点16分3455 ----胡碳： \ Program Files文件\ order.html
2008年11月28号00:23 。 2008年11月28号00:23 642840 ----胡碳： \ Program Files文件\正track.cfg
2008年10月25号23:46 。 2008年10月25号23:46 4920 ----胡碳： \ Program Files文件\ order_upgrade.html
2008年9月2日23点06 。 2008年9月2日23时06 231936 ----胡碳： \ Program Files文件\ ShellCtl.dll
2008年8月31日13:20 。 2008年8月31日13:20 105056 ----胡碳： \ Program Files文件\ Setup.bmp
2008年6月20号18:37 。 2008年6月20号18:37 24576 ----胡碳： \ Program Files文件\ ScrollerAbout.dll
2008年6月20号18:18 。 2008年6月20号18:18 831058 ----胡碳： \ Program Files文件\ banks_default.txt
2008年6月20号18:18 。 2008年6月20号18:18 709 ----胡碳： \ Program Files文件\ ntrack.exe.config
2008年6月20号18:18 。 2008年6月20号18:18 22124 ----胡碳： \ Program Files文件\ us428_faders.dat
2008年6月20号18:18 。 2008年6月20号18:18 22124 ----胡碳： \ Program Files文件\ us224_faders.dat
2008年6月20号18:17 。 2008年6月20号18:17 4035 ----胡碳： \ Program Files文件\正track_help.cnt
2008年6月20号18:17 。 2008年6月20号18:17 169585 ----胡碳： \ Program Files文件\鼓Example.sng
2008年6月20号18:17 。 2008年6月20号18:17 15457 ----胡碳： \ Program Files文件\ FACOMP10.HLP
2008年6月20号18:17 。 2008年6月20号18:17 25698 ----胡碳： \ Program Files文件\ FA4BDEQ.HLP
2008年6月20号18:16 。 2008年6月20号18:16 19339 ----胡碳： \ Program Files文件\ N一TRACK_EFX.HLP
2004年6月11日20:19 。 2004年6月11日20:19 25214 ----胡碳： \ Program Files文件\ help_icon.ico
2004年6月7日13时23分。 2004年6月7日13时23分25214 ----胡碳： \ Program Files文件\ link_icon.ico
2000年11月12号03:30 。 2000年11月12号03:30 86 ----胡碳： \ Program Files文件\ BUYIT ！。网址
2000年11月12号03:28 。 2000年11月12号03:28 73 ----胡碳： \ Program Files文件\正Track.url
2009年4月15日20时24分。 2009年4月15日20:24一百〇四点四四八万----胡碳： \ Program Files文件\ Mozilla Firefox浏览器\插件\ libdivx.dll
2009年4月15日20时24分。 2009年4月15日20:24 200704 ----胡碳： \ Program Files文件\ Mozilla Firefox浏览器\插件\ ssldivx.dll
。

((((((((((((((((((((((((((((( SnapShot@2009-06-19_13.16.48 )))))))))))) )))))))))))))))))))))))))))))
。
+ 2009年6月21日15时41分。 2009年6月21日15:41 16384 ç ： \窗户的\ Temp \ Perflib_Perfdata_5b4.dat
。
(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ IgfxTray ” =的“ C ： \窗户\ system32 \ igfxtray.exe ” [ 2002年6月19号155648 ]
“ HotKeysCmds ” =的“ C ： \窗户\ system32 \ hkcmd.exe ” [ 2002年6月19号114688 ]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\爪哇\ jre6 \斌\ jusched.exe ” [ 2009年6月18号148888 ]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ MySpaceIM ” =的“ C ： \ Program Files文件\供应\通讯\ MySpaceIM.exe ” [ 2008年12月12号9555968 ]

[ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” =的“ C ： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2008年5月13日77824 ]

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
2008年12月22号16:05 356352 ----胡碳： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \窗口]
“ AppInit_DLLs ” = C的： \窗户\ system32 \ avgrsstx.dl升

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile ]
“ EnableFirewall ” = 0 （ 0x0 ）

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \的AVG \ \ AVG8 \ \ avgupd.exe ” =
的“ C ： \ \ Program Files文件\ \的AVG \ \ AVG8 \ \ avgemc.exe ” =
的“ C ： \ \ Program Files文件\ \属性恒指\ \ McciBrowser.exe ” =
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” =
的“ C ： \ \ Program Files文件\ \ AIM6 \ \ aim6.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ igfxtray.exe ” =
的“ C ： \ \ Program Files文件\ \的AVG \ \ AVG8 \ \ avgrsx.exe ” =
“ ％ windir ％ \ \ system32 \ \驱动程序\ \ svchost.exe ” =
的“ C ： \ \ Program Files文件\ \供应\ \通讯\ \ MySpaceIM.exe ” =

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单]
“ 53 ： TCP连接” = 53 ：为tcp ： websrvx

受体1 AvgLdx86 ;的AVG的AVI装载机驱动的X86 ; ç ： \窗户\ system32 \驱动程序\ avgldx86.sys [ 2008年5月23日上午01时13 96520 ]
受体1 SASDIFSV ; SASDIFSV ; ç ： \ Program Files文件\ SUPERAntiSpyware \ sasdifsv.sys [ 2009年5月26日上午10点05 9968 ]
受体1 SASKUTIL ; SASKUTIL ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASKUTIL.SYS [ 2009年5月26日上午10点05 72944 ]
受体1 ShldDrv ;熊猫档案盾构司机; ç ： \窗户\ system32 \驱动程序\ ShlDrv51.sys [ 2009年6月12号下午2点56分41144 ]
R2的avg8emc ; AVG8电子邮件扫描; ç ： \ progra 〜 1 \的AVG \ AVG8 \ avgemc.exe [ 2008年5月23日上午01时13分902424 ]
R2的avg8wd ; AVG8看门狗; ç ： \ progra 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe [ 2008年5月23日上午01点13分282904 ]
R2的AvgTdiX ; AVG8网络重定向; ç ： \窗户\ system32 \驱动程序\ avgtdix.sys [ 2008年5月23日上午01时13 75272 ]
R2的PavProc ;熊猫程序保护司机; ç ： \窗户\ system32 \驱动程序\ PavProc.sys [ 2009年6月12号下午2点56一十七点九六四万]
R2的观点管理服务;观管理服务; ç ： \ Program Files文件\观\共同\ ViewpointService.exe [ 2009年2月5日下午6时56分24652 ]
R3的（ A7E39B01 - B403 - 11d4 - BD18 - 00D0B7A1821E ） ;目的3.0 01部分编码解码器驱动程序VCH人; ç ： \窗户\ system32 \驱动程序\ Vch.sys [ 2006年5月1日下午11时58分20023 ]
二gupdate1c9c119864b630 ;谷歌更新服务（ gupdate1c9c119864b630 ） ; ç ： \ Program Files文件\谷歌\更新\ GoogleUpdate.exe [ 2009年4月19日下午2点02分133104 ]
三SASENUM ; SASENUM ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASENUM.SYS [ 2009年5月26日上午10时05分7408 ]
。
内容'计划任务的文件夹

2009年6月21日ç ： \窗户\任务\ GoogleUpdateTaskMachine.job
- ç ： \ Program Files文件\谷歌\更新\ GoogleUpdate.exe [ 2009年4月19日18:00 ]
。
。
补充扫描------- -------
。
uStart页= hxxp ： / / www.att.net/
uInternet连接向导， ShellNext = iexplore
uSearchURL ，（默认） = hxxp ： / / us.rd.yahoo.com /自定义/ ycomp /默认/苏/ *http://www.yahoo.com
即：与搜索
法国法郎- ProfilePath -
。

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2009年6月21日11时42分的rootkit扫描
2600年5月1号的Windows Service Pack 2中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
---------------------的DLL加载运行的进程---------------------

- - - - - - - > “ winlogon.exe ' （ 612 ）
ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
。
------------------------其他正在运行的进程----------------------- -
。
ç ： \ Program Files文件\爪哇\ jre6 \斌\ jqs.exe
ç ： \ Program Files文件\共同文件\动力\ McciCMService.exe
ç ： \ Program Files文件\共同文件\熊猫安全\ PavShld \ PavPrSrv.exe
ç ： \ Program Files文件\的AVG \ AVG8 \ avgrsx.exe
ç ： \窗户\ system32 \ wscntfy.exe
。
************************************************** ************************
。
完成时间： 2009年6月21日11时47分-机器重启
ComboFix -隔离- files.txt 2009年6月21日15:47
ComboFix2.txt 2009年6月19号13:20

预运行： 4974522368字节免费
后运行： 5621665792字节免费

视窗- KB310994 - SP2的家庭BootDisk - ENU.exe
[的Boot Loader ]
超时= 2
默认=多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗县
[操作系统]
ç ： \ cmdcons \ BOOTSECT.DAT = “ Microsoft Windows故障恢复控制台” / cmdcons
多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗口= “微软使用Windows XP Home Edition ” / fastdetect / NoExecute =选择启用

248

;************************************************* ************************************************** ************************************************** ******************************
分析： 2009年6月22日7点16分51秒
保护： 1
恶意软件： 10
嫌疑人： 0
;************************************************* ************************************************** ************************************************** ******************************
保护
描述版本主动更新
;================================================= ================================================== ================================================== =================
的AVG反病毒软件免费8.0是是
;================================================= ================================================== ================================================== =================
恶意软件
编号描述型有源严重Disinfectable消毒地点
;================================================= ================================================== ================================================== =================
00139061的Cookie / Doubleclick之TrackingCookie否0是否C ： \的Documents and Settings \业主\曲奇\老板@ DoubleClick的[ 1 ] 。文本
00262020的Cookie / Atwola TrackingCookie否0是否C ： \的Documents and Settings \业主\曲奇\老板@ atwola [ 2 ] 。文本
00590315的rootkit / Agent.LNB HackTools否0是否C ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP500 \ A0228202.sys
00590315的rootkit / Agent.LNB HackTools否0是否C ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP501 \ A0229224.sys
00590315的rootkit / Agent.LNB HackTools否0是否C ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP491 \ A0222017.sys
00590315的rootkit / Agent.LNB HackTools否0是否C ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP493 \ A0223098.sys
00674736 W32/Autorun.AFX病毒/蠕虫1是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP491 \ A0221911.dll
00674736 W32/Autorun.AFX病毒/蠕虫1是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP490 \ A0221821.dll
00950476脚/ Tdss.AZ病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP503 \ A0233263.dll
00950476脚/ Tdss.AZ病毒/木马否0是是c ： \ Qoobox \检疫\ ç \窗口\ system32 \ UACakmovnk vlbejvsw.dll.vir
00950477脚/ Tdss.AZ病毒/木马否0是是c ： \ Qoobox \检疫\ ç \窗口\ system32 \ UACllkyxud engakpfn.dll.vir
00950477脚/ Tdss.AZ病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP503 \ A0233264.dll
00966996脚/ Tdss.BC病毒/木马否0是是c ： \ Qoobox \检疫\ ç \窗口\ system32 \ UACkpxjqwv ugnspokq.dll.vir
00966996脚/ Tdss.BC病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP503 \ A0233265.dll
01099605 Trj / Alureon.AL病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP503 \ A0233262.dll
01099605 Trj / Alureon.AL病毒/木马否0是是c ： \ Qoobox \检疫\ ç \窗口\ system32 \ UACxcvrjkw rnbmiqml.dll.vir
01318562 Trj / Downloader.WAV病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP492 \ A0223044.dll
01318562 Trj / Downloader.WAV病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP492 \ A0223065.dll
01318562 Trj / Downloader.WAV病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP492 \ A0223056.dll
01318562 Trj / Downloader.WAV病毒/木马否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP492 \ A0223073.dll
02885963的rootkit / Booto.C病毒/蠕虫否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP503 \ A0234260.sys
02885963的rootkit / Booto.C病毒/蠕虫否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP505 \ A0235260.sys
02885963的rootkit / Booto.C病毒/蠕虫否0是是c ： \ System Volume Information资料\ _restore （ 0BC9C26D - 029D - 4DC1 - B3DC - 4990696A2ECD ） \ RP503 \ A0233266.sys
;================================================= ================================================== ================================================== =================
犯罪嫌疑人
发送位置f
;================================================= ================================================== ================================================== =================
;================================================= ================================================== ================================================== =================
漏洞
编号病情描述f
;================================================= ================================================== ================================================== =================
208380高MS09 - 015 f
208379高MS09 - 014 f
208378高MS09 - 013 f
208377高MS09 - 012 f
206981高MS09 - 007 f
二十〇点六九八万高MS09 - 006 f
二十〇点四六七万高MS09 - 001 f
二十万三千八百零六高MS08 - 078 f
203508高MS08 - 073 f
203505高MS08 - 071 f
202465高MS08 - 068 f
201683高MS08 - 067 f
201258高MS08 - 066 f
201256高MS08 - 064 f
201255高MS08 - 063 f
201253高MS08 - 061 f
201250高MS08 - 058 f
209275高MS08 - 049 f
209273高MS08 - 045 f
196455中MS08 - 037 f
194861高MS08 - 031 f
十九点四八六万高MS08 - 030 f
191618高MS08 - 025 f
191617高MS08 - 024 f
191614高MS08 - 021 f
191613高MS08 - 020 f
187735高MS08 - 010 f
187733高MS08 - 008 f
184380中MS08 - 002 f
184379中MS08 - 001 f
182048高MS07 - 069 f
182046高MS07 - 067 f
179553高MS07 - 061 f
176383高MS07 - 058 f
176382高MS07 - 057 f
170911高MS07 - 050 f
170907高MS07 - 046 f
170906高MS07 - 045 f
170904高MS07 - 043 f
114666高MS06 - 015补丁f
93454中的MS05 - 049 f
;================================================= ================================================== ================================================== =================

**sjb007** · ＃10 2009年6月22日， 09:30

你好有

请注意 -在此修复程序，我们将进入安全模式。请打印出这些指示为您的互联网连接将不会被提供给您在此期间。您也可以复制并粘贴修复成一个文本文件并保存在一个容易存取的位置，以供参考。

报价：

我们对此深感抱歉。我不知道发生了什么

不要担心，公正的事情之一！

有一件事我没有提到的意思是，你前面似乎有两个antiviruses安装，有一个残疾人。可我刚才问的是F - Secure公司在一个老的AV认购已用完？

虽然熊猫扫描拿起几个项目-扫描结果实际上不错。大部分是什么发现无论是在检疫所combofix或被困在您的系统还原，我们可以清除结束时的修补程序，以防止再次感染。

我注意到，你已经SUPERAntiSpyware安装...

我要你运行扫描我在安全模式。

首先让更新SAS和设定选项之前扫描

更新的定义，通过选择“检查更新“ 。（如果您遇到任何问题，同时下载更新，手动下载他们这里。双击链接下载安装并保存SASDEFINITIONS.EXE到您的桌面。然后双击安装就SASDEFINITIONS.EXE的定义。）
主菜单中，单击 预置... 按钮。
点击“扫描控制“标签，并根据 扫描选项，请务必检查以下 （离开所有其他不受控制）：
- 关闭浏览器前扫描。
- 扫描追踪cookies 。
- 终止内存威胁面前隔离。
点击“关闭“按钮，使控制中心屏幕和退出程序。
不要运行扫描只是尚未。

启动您的计算机，在“安全模式“使用 按F8 方法。为此，重新启动计算机，并在听取您的计算机响铃一次启动时（但在此之前的Windows图标出现）重复按F8键。的菜单，会出现几个选项。使用箭头键来浏览，并选择选项将运行Windows的“安全模式” 。

扫描SUPERAntiSpyware如下：

启动程序，并重新回到主画面，在“扫描有害软件“点击 扫描您的计算机。
在左边，请务必检查 ç ： \固定驱动器。
权问题，根据“完整扫描“ ，选择 执行完整扫描 并点击“下一个“ 。
后扫描完成，扫描摘要中会出现与可能有害的项目进行检测。点击“行“ 。
确保所有的对号它旁边，然后点击“下一个“ 。
通知说，将出现“检疫及去除完成“ 。点击”行“ ，然后点击”完成“按钮返回到主菜单。
如果询问您是否要重新启动，单击“是“并重新启动正常。
检索删除信息后，重新启动，启动SUPERAntispyware一次。
- 点击 使用偏好，然后点击 统计/日志 标签。
- 根据扫描日志中，双击 SUPERAntiSpyware扫描日志。
- 如果有几个记录，请按一下目前的月记录，然后按下 查看日志。的文本文件将在您的默认文本编辑器。
- 请复制并粘贴扫描转换结果在您下次答复。
点击关闭退出该程序。

回来后所产生的日志中，还就如何更新我的事情现在正在运行