请帮助Trojan.SystemDriver发现

希拉里 · ＃1 二○○八年十一月三十日，09:59

您好，我有一个电脑，是新的，我已经把文件和程序的，然后这个月，这是玩了。

如果我去启动计算机有时，但是， 80 ％是不会过去的欢迎页， 10 ％的时间，但当时它的屏幕只有去黑色，每一次遥感总局黑色或不会去过去的欢迎页。我不得不重新启动电脑。

有时我不得不打开它，在安全模式重新启动，然后工程。

然后当我去关闭它，它站关闭网页，并不会移动，我离开了这一个晚上，看它是否会在今天上午说，它仍然是关闭的窗户。

我跑超级反间谍软件和它发现这一点：

木马。系统驱动程序是C ： \ 32788R22FWJFW \ CREG.DAT

一直放在隔离的项目文件，我应该将它删除？

它还fould 52追踪cookies其中还建立了隔离的文件。

我做了了HijackThis扫描，这是它说：

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于12时04分二十〇秒，就15/11/2008
平台： Windows Vista SP1的（使用WINNT 6.00.1905 ）
MSIE ： Internet Explorer的v7.00 （ 7.00.6001.18000 ）
启动模式：安全模式
正在运行的进程：
ç ： \的Windows \ Explorer.exe的
ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= 网址为： https ： / / login.yahoo.com /配置/邮件？。国际=英国＆。钢骨混凝土=明
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKLM \软件\微软\的Internet Explorer \搜索， SearchAssistant =
R0 - HKLM \软件\微软\的Internet Explorer \搜索， CustomizeSearch =
R0 - HKCU \软件\微软\的Internet Explorer \主，当地页=
R0 - HKLM \软件\微软\的Internet Explorer \主，当地页=
R0 - HKCU \软件\微软\的Internet Explorer \工具栏， LinksFolderName =
01 -主办单位：：： 1本地
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ：士官2.0 IE浏览器BHO - （ 602ADB0E - 4AFF - 4217 - 8AA1 - 95DAC4DFA408 ） - ç ： \ Program Files文件\共同文件\赛门铁克共享\ coShared \浏览器\ 2.6 \ coIEPlg.dll
氧- BHO ：赛门铁克的入侵防护- （ 6D53EC84 - 6AAE - 4787 - AEEE - F4628F01010C ） - ç ： \ PROGRA 〜 1 \常见〜 1 \ SYMANT 〜 1 \入侵\ IPSBHO.dll
氧- BHO ：槽队浏览器助手- （ 72853161 - 30C5 - 4D22 - B7F9 - 0BBC1D38A37E ） - ç ： \ Program Files文件\微软Office \ Office12 \ GrooveShellExtensions.dll
氧- BHO ：谷歌工具栏助手- （ AA58ED58 - 01DD - 4d91 - 8333 - CF10577473F7 ） - ç ： \ Program Files文件\谷歌\ googletoolbar2.dll
臭氧-工具栏：查看诺顿工具栏- （ 7FEBEFE3 - 6B19 - 4349 - 98D2 - FFB09D4B49CA ） - ç ： \ Program Files文件\共同文件\赛门铁克共享\ coShared \浏览器\ 2.6 \ CoIEPlg.dll
臭氧-工具栏：与谷歌- （ 2318C2B1 - 4965 - 11d4 - 9B18 - 009027A5CD4F ） - ç ： \ Program Files文件\谷歌\ googletoolbar2.dll
物理学- HKLM \ .. \运行： [ Windows Defender的] ％ ProgramFiles ％ \ Windows Defender的\ MSASCui.exe隐藏
物理学- HKLM \ .. \运行： [ hpsysdrv ] ç ： \惠普的\ Support \ hpsysdrv.exe
物理学- HKLM \ .. \运行： [大骨节病] ç ： \惠普\大骨节病\ KbdStub.EXE
物理学- HKLM \ .. \运行： [ ATICCC ]的“ C ： \ Program Files文件\ ATI科技\ ATI.ACE \ CLIStart.exe ”
物理学- HKLM \ .. \运行： [ RtHDVCpl ] RtHDVCpl.exe
物理学- HKLM \ .. \运行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ”
物理学- HKLM \ .. \运行： [ osCheck ]的“ C ： \ Program Files文件\诺顿360 \ osCheck.exe ”
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ iTunesHelper ]的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ”
物理学- HKLM \ .. \运行： [ GrooveMonitor ]的“ C ： \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ”
物理学- HKLM \ .. \运行： [ IAAnotif ]的“ C ： \ Program Files文件\英特尔\英特尔矩阵存储管理器\ Iaanotif.exe ”
物理学- HKLM \ .. \运行： [惠普软件更新] ç ： \ Program Files文件\惠普\惠普软件更新\ HPWuSchd2.exe
物理学- HKLM \ .. \运行： [ RoxWatchTray ]的“ C ： \ Program Files文件\共同文件\的Roxio共享\ 9.0 \ SharedCOM \ RoxWatchTray9.exe ”
物理学- HKLM \ .. \运行： [ DMXLauncher ]的“ C ： \ Program Files文件\的Roxio \媒体体验\ DMXLauncher.exe ”
物理学- HKLM \ .. \运行： [ RoxioDragToDisc ]的“ C ： \ Program Files文件\的Roxio \拖动到磁盘\ DrgToDsc.exe ”
物理学- HKLM \ .. \的RunOnce ： [启动] ％ WINDIR ％ \ SMINST \ launcher.exe
物理学- HKCU \ .. \运行： [涂鸦] ç ： \ Program Files文件\涂鸦\ Scribble.exe无声
物理学- HKCU \ .. \运行： [ OM2_Monitor ]的“ C ： \ Program Files文件\奥林巴斯\奥林巴斯硕士2 \ MMonitor.exe ”
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [栏] ％ ProgramFiles ％ \ Windows工具\ Sidebar.exe / detectMem （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ WindowsWelcomeCenter ] rundll32.exe oobefldr.dll ， ShowWelcomeCenter （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [栏] ％ ProgramFiles ％ \ Windows工具\ Sidebar.exe / detectMem （用户的网络服务' ）
物理学-启动： Scheduler.lnk = ？
物理学-启动： TracksCleaner.lnk = C的： \ Program Files文件\ GhostSurf白金\ TracksCleaner.exe
物理学-全球启动： GhostSurf proxy.lnk = C的： \ Program Files文件\ GhostSurf白金\ Proxy.exe
物理学-全球启动： SpyCatcher.lnk = C的： \ Program Files文件\ GhostSurf白金\ SpyCatcher.exe
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 3 \ Office12 \ EXCEL.EXE/3000
O9 -额外的按钮：发送到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ Office12 \ ONBttnIE.dll
O9 -额外的'工具' menuitem ：标准普尔年底到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ Office12 \ ONBttnIE.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ Office12 \ REFIEBAR.DLL
O13 - Gopher网络前缀：
O16 -柴油机微粒过滤器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（冲击波的Flash对象） - 网址为： https ： / / fpdownload.macromedia.com / ge...nt / swflash.cab
O18 -协议： grooveLocalGWS - （ 88FED34C - F0CA - 4636 -瘤A375 - 3CB6248B04CD ） - ç ： \ Program Files文件\微软Office \ Office12 \ GrooveSystemServices.dll
ø20 - AppInit_DLLs ： secuload.dll
O23 -服务：英特尔（ R ）警报服务（ AlertService ） -英特尔（ R ）公司- ç ： \ Program Files文件\英特尔\ IntelDH \控制器\ AlertService.exe
O23 -服务：苹果移动设备-苹果- ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
O23 -服务：阿提外部事件工具- ATI Technologies公司- ç ： \的Windows \ system32 \ Ati2evxx.exe
O23 -服务：自动的LiveUpdate调度程序- Symantec公司- ç ： \ Program Files文件\赛门铁克\的LiveUpdate \ AluSchedulerSvc.exe
O23 -服务：卓悦服务-苹果公司- ç ： \ Program Files文件\卓悦\ mDNSResponder.exe
O23 -服务：赛门铁克事件管理器（ ccEvtMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务：赛门铁克设置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务：赛门铁克公共NetConnect服务（ CLTNetCnService ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务： COM公司主机（ comHost ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ VAScanner \ comHost.exe
O23 -服务： DQLWinService -未知所有者- ç ： \ Program Files文件\共同文件\英特尔\ IntelDH \网管\ AdpPlugins \ DQLWinService.e氙
O23 -服务： FLEXnet许可服务- Macrovision的欧洲公司- ç ： \ Program Files文件\共同文件\ Macrovision的共享\ FLEXnet Publisher中\ FNPLicensingService.exe
O23 -服务：谷歌更新器服务（ gusvc ） -谷歌- ç ： \ Program Files文件\谷歌\共同\谷歌更新\ GoogleUpdaterService.exe
O23 -服务：英特尔（ R ）矩阵存储事件监视器（ IAANTMON ） -英特尔公司- ç ： \ Program Files文件\英特尔\英特尔矩阵存储管理器\ Iaantmon.exe
O23 -服务： InstallDriver表经理（ IDriverT ） - Macrovision公司- ç ： \ Program Files文件\共同文件\ InstallShield \驱动程序\ 1050年\英特尔32 \ IDriverT.exe
O23 -服务：英特尔鮬服务（ IntelDHSvcConf ） -英特尔（ R ）公司- ç ： \ Program Files文件\英特尔\ IntelDH \英特尔媒体服务器\工具\ IntelDHSvcConf.exe
O23 -服务： iPod服务-苹果- ç ： \ Program Files文件\苹果\斌\ iPodService.exe
O23 -服务：英特尔（ R ）软件服务管理器（软系统方法论） -英特尔（ R ）公司- ç ： \ Program Files文件\英特尔\ IntelDH \英特尔媒体服务器\媒体服务器\斌\ ISSM.exe
O23 -服务： LightScribeService直接光盘标识服务（ LightScribeService ） -惠普公司- ç ： \ Program Files文件\共同文件\光\ LSSrvc.exe
O23 -服务：的LiveUpdate - Symantec公司- ç ： \ Program Files文件\赛门铁克\的LiveUpdate \ LuComServer_3_4.EXE
O23 -服务：的LiveUpdate通告-赛门铁克公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务：英特尔（ R ）欢跃（商标）媒体服务器供应量（ M1服务器） -未知所有者- ç ： \ Program Files文件\英特尔\ IntelDH \英特尔媒体服务器\媒体服务器\斌\ mediaserver.exe
O23 -服务：英特尔（ R ）应用跟踪（ MCLServiceATL ） -英特尔（ R ）公司- ç ： \ Program Files文件\英特尔\ IntelDH \英特尔媒体服务器\壳\ MCLServiceATL.exe
O23 -服务：保护- Tenebril公司- ç ： \ Program Files文件\ GhostSurf白金\ ProtectorSvc.exe
O23 -服务：英特尔（ R ）远程服务（远程用户界面服务） -英特尔（ R ）公司- ç ： \ Program Files文件\英特尔\ IntelDH \英特尔媒体服务器\壳\远程用户界面Service.exe
O23 -服务：与Roxio UPnP的渲染器9 - Sonic Solutions公司- ç ： \ Program Files文件\的Roxio \数字家庭9 \ RoxioUPnPRenderer9.exe
O23 -服务：与Roxio UPnP的服务器9 - Sonic Solutions公司- ç ： \ Program Files文件\的Roxio \数字家庭9 \ RoxioUpnpService9.exe
O23 -服务： LiveShare的P2P服务器9 （ RoxLiveShare9 ） - Sonic Solutions公司- ç ： \ Program Files文件\共同文件\的Roxio共享\ 9.0 \ SharedCOM \ RoxLiveShare9.exe
O23 -服务： RoxMediaDB9 - Sonic Solutions公司- ç ： \ Program Files文件\共同文件\的Roxio共享\ 9.0 \ SharedCOM \ RoxMediaDB9.exe
O23 -服务：硬盘驱动器的Roxio守望9 （ RoxWatch9 ） - Sonic Solutions公司- ç ： \ Program Files文件\共同文件\的Roxio共享\ 9.0 \ SharedCOM \ RoxWatch9.exe
O23 -服务： stllssvr -电脑发展公司- ç ： \ Program Files文件\共同文件\的SureThing共享\ stllssvr.exe
O23 -服务：赛门铁克核心立法会-未知所有者- ç ： \ PROGRA 〜 1 \常见〜 1 \ SYMANT 〜 1 \文建会，立法会\ symlcsvc.exe
-
文件结尾- 9503字节

**evilfantasy** · ＃2 二○○八年十一月三十日，13:03

欢迎希杰。

下载 Malwarebytes '反恶意软件（ MBAM ）

双击 mbam -的Setup.exe 并按照提示安装程序。
结束时，请务必一对号放在旁边，如下：
- 更新Malwarebytes '反恶意软件
- 发射Malwarebytes '反恶意软件
然后单击完成。
如果更新发现，它会下载并安装最新版本。
一旦该程序已加载，请选择 执行快速扫描，然后按一下扫描。
当扫描完成后，单击行，然后 显示结果 以查看结果。
确保所有被选中，然后点击 删除所选。
当消毒完成后，日志会打开记事本，并可能会提示您重新启动。（见额外注）
该日志是自动保存的MBAM ，可以通过点击浏览日志标签MBAM 。
复制并粘贴整个报告会在下次答复。

特注： 如果MBAM遇到文件，很难去除，你会看到1 2提示，单击确定以要么让MBAM进行消毒过程中，如果要求重新启动计算机时，请立即这样做。

----------

下载随机的系统信息工具（ RSIT ）随机/随机抽样，然后将其保存到桌面。

双击 RSIT.exe 运行。
点击继续在声明屏幕。
一旦完成后，将开放两个记录。
log.txt “将最大限度地和 info.txt “将减少到最低限度
请张贴的内容，两者记录在未来的答复。

希拉里 · ＃3 2008年12月2日，04:58

您好，对不起，你周围的混乱，我把这个两个网站正在试图寻求帮助。
另一种回答，很好，所以不希望你都一团糟左右。
感谢您为您提供任何帮助。

**evilfantasy** · ＃4 2008年12月2日，11:59

感谢您让我们知道。

类似的主题
线	线程入门	论坛	答复	最后发表
Jsdvwsdk.dll不能仅见于IE8	帕梅拉	网络浏览器与FTP客户端	0	2009年6月5日 23:52
Trojan.vundo.h ， trojan.agent ， adware.mirar +更多！：（	sillyarfer	病毒，间谍软件和安全	1	2008年12月14号 09:59
硬盘找不到	Menzina	驱动器和可移动媒体	5	07年12月30号 17时26分
帮助再次evilfantasy ！ avast发现特洛伊木马！	guccijana	病毒，间谍软件和安全	58	二〇〇七年十月十一号 21:47
失物招领	亚历克斯	从专题讨论	1	2007年7月22日 09:53