删除Iexplore.exe的病毒/劫持日志

**xalice15x** · ＃1 2008年11月10日，18:14

嘿家伙，
嗯。每次我启动我的计算机，在Iexplore.exe（在任务管理器）来增长了一切。我从来没有使用Internet Explorer，我使用的是Firefox。但随之而来了自己。这也是用我的记忆中最。我也得到了10亿的弹出式窗口，我敢打赌来自这一点。每当我结束进程谈到了3或4回次，那么它通常消失后的第五当时我结束了。但这只是约5分钟，则其回来了。没有人知道whats回事？我已经运行广告扫描感知，诺顿等，但他们没有发现任何东西。
附加信息：
我已经对Windows XP
＆＆另外有声音的广告fcoming。我什么都试过。在此先感谢^ __ ^

我的这一种新。因此，企业风险管理。谁可以告诉我如何删除它？在一个简单的杂交呢？ = P

日志文件的了HijackThis v1.99.1
扫描储存于下午6点14分25秒，就11/10/2008
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16735 ）

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ System32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \窗口\ ehome \ ehtray.exe
ç ： \窗户\系统\ hpsysdrv.exe
ç ： \ Program Files文件\惠普\数码影像\卸载\ hpqcmon.exe
ç ： \窗口\ System32 \ hphmon05.exe
ç ： \惠普\大骨节病\ KBD.EXE
ç ： \窗口\ LTMSG.exe
ç ： \ Program Files文件\多媒体读卡器\ shwicon2k.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe
ç ： \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe
ç ： \窗口\ ALCXMNTR.EXE
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\惠普\数码影像\斌\ hpqtra08.exe
ç ： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç：\的Windows \ System32 \ 0LFlxR4x.exe
ç：\ Program Files文件\ Lavasoft \的Ad - Aware东南专业\广告，Aware.exe
ç：\ PROGRA〜1 \ WinZip的\ winzip32.exe
ç：\ DOCUME〜1 \政府上台〜1 \当地人〜1 \温度\ HijackThis.exe

受体1 - HKCU \软件\微软\的Internet Explorer \主， Default_Page_URL = http://us10.hpwis.com/
受体1 - HKCU \软件\微软\的Internet Explorer \主， Default_Search_URL = http://srch-us10.hpwis.com/
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索栏= http://srch-us10.hpwis.com/
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://srch-us10.hpwis.com/
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索栏= http://srch-us10.hpwis.com/
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKCU \软件\微软\ Internet连接向导， ShellNext = http://us10.hpwis.com/
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride =本地
氧- BHO ：（无姓名） - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - （没有文件）
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll
O2的安全- Process：（没有名字） - （3615EE58 - 6F38 - 47BA - 9DD9 - C99BD611C6A6） -荤：\窗口\ System32 \ efcdbxx.dll（文件丢失）
氧- BHO ：（无姓名） - （ 4715C8BC - 0204 - 06D4 - 0A62 - 2E00BBB78BBD ） - ç ： \窗口\ system32 \ izf.dll （档案遗失）
氧- BHO ：槽队浏览器助手- （ 72853161 - 30C5 - 4D22 - B7F9 - 0BBC1D38A37E ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GRA8E1 〜 1.DLL
氧- BHO ：（无姓名） - （ 843B515A - BBC4 - 4AF2 - 916D - 69E9F7DD8F9D ） - ç ： \窗口\ system32 \ vtsqo.dll （档案遗失）
氧- BHO ：（ 684a8728 - dd11 - 3ef9 - b3e4 - ea3410654e7c ） - （ c7e45601 - 43ae - 4e3b - 9fe3 - 11dd8278a486 ） - ç ： \窗口\ system32 \ ikwijhuy.dll （档案遗失）
臭氧-工具栏：惠普检视- （ B2847E28 - 5D7D - 4DEB - 8B67 - 05D28BCF79F5 ） - ç ： \ Program Files文件\惠普\数码影像\斌\ hpdtlk02.dll
物理学- HKLM \ .. \运行： [ ehTray ] ç ： \窗口\ ehome \ ehtray.exe
物理学- HKLM \ .. \运行： [ hpsysdrv ] ç ： \窗户\系统\ hpsysdrv.exe
物理学- HKLM \ .. \运行： [ HotKeysCmds ] ç ： \窗口\ System32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [ CamMonitor ] ç ： \ Program Files文件\惠普\数码影像\卸载\ hpqcmon.exe
物理学- HKLM \ .. \运行： [ HPHUPD05 ] ç ： \ Program Files文件\惠普\ （ 45B6180B - DCAB - 4093 - 8EE8 - 6164457517F0 ） \ hphupd05.exe
物理学- HKLM \ .. \运行： [ HPHmon05 ] ç ： \窗口\ System32 \ hphmon05.exe
物理学- HKLM \ .. \运行： [大骨节病] ç ： \惠普\大骨节病\ KBD.EXE
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ AutoTKit ] ç ： \惠普\斌\ AUTOTKIT.EXE
物理学- HKLM \ .. \运行： [ Recguard ] ç ： \窗口\ SMINST \ RECGUARD.EXE
物理学- HKLM \ .. \运行： [ ATIModeChange ] Ati2mdxx.exe
物理学- HKLM \ .. \运行： [ LTMSG ] LTMSG.exe 7
物理学- HKLM \ .. \运行： [ PS2的] ç ： \窗口\ system32 \ ps2.exe
物理学- HKLM \ .. \运行： [ Sunkist2k ] ç ： \ Program Files文件\多媒体读卡器\ shwicon2k.exe
物理学- HKLM \ .. \运行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ”
物理学- HKLM \ .. \运行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理学- HKLM \ .. \运行： [ RemoteControl ]的“ C ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe ”
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ GrooveMonitor ]的“ C ： \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ”
物理学- HKLM \ .. \运行： [ Adobe Reader软件调速器]的“ C ： \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ”
物理学- HKLM \ .. \运行： [ AlcxMonitor ] ALCXMNTR.EXE
物理学- HKLM \ .. \运行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新经理\ sgtray.exe ” /住宅
物理学- HKLM \ .. \运行： [ ATIPTA ] ç ： \ Program Files文件\ ATI科技\ ATI的控制面板\ atiptaxx.exe
ø4 - HKLM \ .. \ RunOnce的：[索引洗衣机]荤：\ Program Files文件\ Webroot公司\洗衣机\ WashIdx.exe“管理员”
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [工作分组] ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
物理学- HKCU \ .. \运行： [窗口洗衣机] ç ： \ Program Files文件\ Webroot公司\洗衣机\ wwDisp.exe
ø4 - HKCU \ .. \ RunOnce的：[索引洗衣机]荤：\ Program Files文件\ Webroot公司\洗衣机\ WashIdx.exe“管理员”
物理学-全球启动： Adobe公司伽玛Loader.lnk = C的： \ Program Files文件\共同文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe
物理学-全球启动：惠普数字成像Monitor.lnk = C的： \ Program Files文件\惠普\数码影像\斌\ hpqtra08.exe
物理学-全球启动：加快如期Updates.lnk = C的： \ Program Files文件\加快\ bagent.exe
物理学-全球启动：更新从HP.lnk = C的： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ EXCEL.EXE/3000
O9 -额外的按钮：发送到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -额外的'工具' menuitem ：标准普尔年底到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ REFIEBAR.DLL
O9 -额外的按钮： Musicmatch公司的MX网络播放器- （ d81ca86b - ef63 - 42af - bee3 - 4502d9a03c2d ） - http://wwws.musicmatch.com/mmz/openWebRadio.html （档案遗失）
O9 -额外的按钮：（无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ％ windir ％ \网络诊断\ xpnetdiag.exe （档案遗失）
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ％ windir ％ \网络诊断\ xpnetdiag.exe （档案遗失）
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O11 -选项组： [国际]国际*
O16 -柴油机微粒过滤器：（ 67DABFBF - D0AB - 41FA - 9C46 - CC0F21721616 ） - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 -柴油机微粒过滤器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（冲击波的Flash对象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 -协议： grooveLocalGWS - （ 88FED34C - F0CA - 4636 -瘤A375 - 3CB6248B04CD ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GR99D3 〜 1.DLL
O18 -协议：毫秒帮助- （ 314111C7 - A502 - 11D2 -丰原- 00C04F8EC294 ） - ç ： \ Program Files文件\共同文件\微软共享\帮助\ hxds.dll
O18 -过滤器劫持：文字/ XML的- （ 807563E5 - 5146 - 11D5 - A672 - 00B0D022E945 ） - ç ： \ PROGRA 〜 1 \常见〜 1 \微〜 1 \ OFFICE12 \ MSOXMLMF.DL L
ø20 - Winlogon通知： dimsntfy - ％ SystemRoot ％ \ System32 \ dimsntfy.dll （档案遗失）
Ø20 - Winlogon中通知：efcdbxx - efcdbxx.dll（文件丢失）
ø20 - Winlogon通知： igfxcui - ç ： \窗口\ SYSTEM32 \ igfxsrvc.dll
ø20 - Winlogon通知： NavLogon - ç ： \窗口\ system32 \ NavLogon.dll
O23 -服务： Adobe公司长征服务-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系统共享\服务\ Adobelmsvc.exe
O23 -服务：阿提热键轮询-未知所有者- ç ： \窗口\ System32 \ Ati2evxx.exe
O23 -服务：赛门铁克事件管理器（ ccEvtMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
O23 -服务：赛门铁克密码验证（ ccPwdSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccPwdSvc.exe
O23 -服务：赛门铁克设置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
O23 -服务：赛门铁克防病毒定义观察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服务：维甲酸驱动HPZ12 -惠普- ç ： \窗口\ system32 \ HPZipm12.exe
O23 -服务： SAVRoam （ SavRoam ） -赛门铁克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服务： ScsiAccess -未知所有者- ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
O23 -服务：赛门铁克网络驱动器服务（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SNDSrvc.exe
O23 -服务：赛门铁克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
O23 -服务：赛门铁克杀毒软件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe

**evilfantasy** · ＃2 2008年11月10日，20:23

欢迎希杰。

请打印这些说明，因为它们将需要后，互联网无法使用。

下载 SDFix的AndyManchesta 并储存到您的桌面。

当使用此工具，您必须使用 管理员帐户 或一个帐户， 行政权利

双击 SDFix.exe 这将解压缩文件为％ SystemDrive ％
（这是驱动器包含Windows目录，通常为C ： \ SDFix ）。
不使用它只是尚未。

重新启动您的计算机中安全模式使用 按F8 方法。为此，重新启动计算机，并在听取您的计算机响铃一次启动时（但在此之前的Windows图标出现）重复按F8键。的菜单，会出现几个选项。使用箭头键来浏览，并选择选项将运行Windows的“安全模式” 。

打开SDFix文件夹并双击 RunThis.bat 启动脚本。

类型 Ÿ 开始清理进程。
这将消除任何木马服务或注册表项发现提示您按任意键重新启动。
按任意键 它将重新启动电脑。
当电脑重新启动后，将再次运行Fixtool和完成删除过程然后显示完成，按任意键结束脚本和加载您的桌面图标。
一旦桌面图标加载SDFix报告将在屏幕上打开并保存到文件夹中的SDFix Report.txt。
的内容复制并粘贴的结果文件 Report.txt 在您下次答复。

----------

另外安装新版本的HijackThis，后从它在正常模式下启动一个新的日志后SDFix已完成。

下载趋势科技HijackThis.exe （ HJT ）到桌面上。

双击HJTInstall 。
点击安装按钮。
它会自动地在HJT ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe。
安装时，应打开了HijackThis适合您。
点击 做了系统扫描并保存日志文件 按钮
了HijackThis扫描，然后将记录在记事本中打开。
复制，然后粘贴的全部内容日志在您的帖子。
不要有没有什么了HijackThis修复。大多数它认为将是无害的，甚至需要。

**xalice15x** · ＃3 2008年11月11号，08:55

SDFix报告

SDFix ：版本1.240
运行于周二在08年11月11日上午8点39分由管理员

微软Windows XP [版本2600年5月1号]
运行中： C ： \ SDFix

检查服务 ：

恢复默认安全值
恢复默认Hosts文件

重新开机

检查文件 ：

木马找到的档案：

ç：\ Program Files文件\ nvcoi \ mst.stt -删除

文件夹C：\ Program Files文件\ nvcoi -删除
文件夹C：\ Program Files文件\临时-删除
文件夹C：\温度\ sanR24 -删除

删除临时文件

广告检查 ：

最后检查 ：

catchme 0.3.1361.2 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
8点47分19秒的rootkit扫描2008-11-11
2600年5月1号的Windows Service Pack 3中的NTFS

扫描隐藏的进程...

扫描隐藏的服务及系统Hive ...

扫描隐藏的注册表项...

扫描隐藏的文件...

扫描顺利完成
隐藏的进程： 0
隐匿服务： 0
隐藏的文件： 0

其余服务 ：

授权应用主要出口：

[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \ servic中心\ sharedaccess \参数\ firewallpolicy \标准配置文件\ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系统m32 \ \ sessmgr.exe ： * ：启用： @ xpsp2res.dll ， -22019 ”
的“C：\ \ Program Files文件\ \惠普更新\ \ 137903 \ \程序\ \您BackWeb - 137903.exe”=的“C：\ \ Program Files文件\ \惠普更新\ \ 137903 \ \程序\ \您BackWeb - 137903 。exe文件：*：禁用：您BackWeb - 137903“
的“C：\ \ Program Files文件\ \微软Office \ \ Office12 \ \的Outlook.exe”=的“C：\ \ Program Files文件\ \微软Office \ \ Office12 \ \的Outlook.exe：*：启用：Microsoft Office Outlook的”
的“C：\ \ Program Files文件\ \微软Office \ \ Office12 \ \ GROOVE.EXE”=的“C：\ \ Program Files文件\ \微软Office \ \ Office12 \ \ GROOVE.EXE：*：启用：微软的Office Groove”
的“C：\ \ Program Files文件\ \微软Office \ \ Office12 \ \ ONENOTE.EXE”=的“C：\ \ Program Files文件\ \微软Office \ \ Office12 \ \ ONENOTE.EXE：*：启用：微软Office OneNote中”
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \装载机\ \ aolload.exe ： * ：启用：美国在线装载机“
的“C：\ \ Program Files文件\ \ AIM6 \ \ aim6.exe”=的“C：\ \ Program Files文件\ \ AIM6 \ \ aim6.exe：*：启用：目的”
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ： * ：启用： @ xpsp3res.dll ， -20000 ”

[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \ servic中心\ sharedaccess \参数\ firewallpolicy \ domainpr ofile \ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系统m32 \ \ sessmgr.exe ： * ：启用： @ xpsp2res.dll ， -22019 ”
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ： * ：启用： @ xpsp3res.dll ， -20000 ”

其余档案 ：

文件备份： - ç ： \ SDFix \备份\ backups.zip

文件隐藏属性 ：

周三07年11月14号204 ---答：自发性高血压大鼠的“C：\ BOOT.BAK”
周五2008年8月22日635848 A.SH. ---的“C：\ Program Files文件\的Internet Explorer \ Iexplore.exe的”
星期四2004年7月15日0 A.SH. ---的“C：\的Windows \ SMINST \ HPCD.SYS”
周四2008年1月10日4348 A.SH. ---的“C：\ Documents和设置\所有用户\的DRM \ DRMv1.bak”
周四2008年1月10日401 A.SH. ---的“C：\ Documents和设置\所有用户\的DRM \ DRMv19.bak”
周三08年10月29日3442 A.SH. ---的“C：\ Documents和设置\所有用户\文件\录制的电视\ TempRec \ TempSBE \ SBE3.tmp”

结束了！

------------------------------------------

HijackThis日志

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于上午8点55分16秒，在08年11月11日
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16735 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ System32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \窗口\ ehome \ ehtray.exe
ç ： \窗户\系统\ hpsysdrv.exe
ç ： \ Program Files文件\惠普\数码影像\卸载\ hpqcmon.exe
ç ： \窗口\ System32 \ hphmon05.exe
ç ： \惠普\大骨节病\ KBD.EXE
ç ： \窗口\ LTMSG.exe
ç ： \ Program Files文件\多媒体读卡器\ shwicon2k.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe
ç ： \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe
ç ： \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe
ç ： \窗口\ ALCXMNTR.EXE
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\ Webroot公司\洗衣机\ wwDisp.exe
ç ： \ Program Files文件\惠普\数码影像\斌\ hpqtra08.exe
ç ： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \窗口\ system32 \记事
ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe

受体1 - HKCU \软件\微软\的Internet Explorer \主， Default_Page_URL = http://us10.hpwis.com/
受体1 - HKCU \软件\微软\的Internet Explorer \主， Default_Search_URL = http://srch-us10.hpwis.com/
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索栏= http://srch-us10.hpwis.com/
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://srch-us10.hpwis.com/
R0 - HKCU \软件\微软\的Internet Explorer \主，初始页=约：空白
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索栏= http://srch-us10.hpwis.com/
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKCU \软件\微软\ Internet连接向导， ShellNext = http://us10.hpwis.com/
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride =本地
氧- BHO ：（无姓名） - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - （没有文件）
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll
氧- BHO ：（无姓名） - （ 4715C8BC - 0204 - 06D4 - 0A62 - 2E00BBB78BBD ） - ç ： \窗口\ system32 \ izf.dll （档案遗失）
氧- BHO ：槽队浏览器助手- （ 72853161 - 30C5 - 4D22 - B7F9 - 0BBC1D38A37E ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GRA8E1 〜 1.DLL
氧- BHO ：（无姓名） - （ 843B515A - BBC4 - 4AF2 - 916D - 69E9F7DD8F9D ） - ç ： \窗口\ system32 \ vtsqo.dll （档案遗失）
氧- BHO ：（ 684a8728 - dd11 - 3ef9 - b3e4 - ea3410654e7c ） - （ c7e45601 - 43ae - 4e3b - 9fe3 - 11dd8278a486 ） - ç ： \窗口\ system32 \ ikwijhuy.dll （档案遗失）
臭氧-工具栏：惠普检视- （ B2847E28 - 5D7D - 4DEB - 8B67 - 05D28BCF79F5 ） - ç ： \ Program Files文件\惠普\数码影像\斌\ hpdtlk02.dll
物理学- HKLM \ .. \运行： [ ehTray ] ç ： \窗口\ ehome \ ehtray.exe
物理学- HKLM \ .. \运行： [ hpsysdrv ] ç ： \窗户\系统\ hpsysdrv.exe
物理学- HKLM \ .. \运行： [ HotKeysCmds ] ç ： \窗口\ System32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [ CamMonitor ] ç ： \ Program Files文件\惠普\数码影像\卸载\ hpqcmon.exe
物理学- HKLM \ .. \运行： [ HPHUPD05 ] ç ： \ Program Files文件\惠普\ （ 45B6180B - DCAB - 4093 - 8EE8 - 6164457517F0 ） \ hphupd05.exe
物理学- HKLM \ .. \运行： [ HPHmon05 ] ç ： \窗口\ System32 \ hphmon05.exe
物理学- HKLM \ .. \运行： [大骨节病] ç ： \惠普\大骨节病\ KBD.EXE
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ AutoTKit ] ç ： \惠普\斌\ AUTOTKIT.EXE
物理学- HKLM \ .. \运行： [ Recguard ] ç ： \窗口\ SMINST \ RECGUARD.EXE
物理学- HKLM \ .. \运行： [ ATIModeChange ] Ati2mdxx.exe
物理学- HKLM \ .. \运行： [ LTMSG ] LTMSG.exe 7
物理学- HKLM \ .. \运行： [ PS2的] ç ： \窗口\ system32 \ ps2.exe
物理学- HKLM \ .. \运行： [ Sunkist2k ] ç ： \ Program Files文件\多媒体读卡器\ shwicon2k.exe
物理学- HKLM \ .. \运行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ”
物理学- HKLM \ .. \运行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理学- HKLM \ .. \运行： [ RemoteControl ]的“ C ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe ”
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ GrooveMonitor ]的“ C ： \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ”
物理学- HKLM \ .. \运行： [ Adobe Reader软件调速器]的“ C ： \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ”
物理学- HKLM \ .. \运行： [ AlcxMonitor ] ALCXMNTR.EXE
物理学- HKLM \ .. \运行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新经理\ sgtray.exe ” /住宅
物理学- HKLM \ .. \运行： [ ATIPTA ] ç ： \ Program Files文件\ ATI科技\ ATI的控制面板\ atiptaxx.exe
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [工作分组] ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
物理学- HKCU \ .. \运行： [窗口洗衣机] ç ： \ Program Files文件\ Webroot公司\洗衣机\ wwDisp.exe
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ AdobeUpdater ] ç ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe （用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ AdobeUpdater ] ç ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe （用户默认用户' ）
物理学-全球启动： Adobe公司伽玛Loader.lnk = C的： \ Program Files文件\共同文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe
物理学-全球启动：惠普数字成像Monitor.lnk = C的： \ Program Files文件\惠普\数码影像\斌\ hpqtra08.exe
物理学-全球启动：加快如期Updates.lnk = C的： \ Program Files文件\加快\ bagent.exe
物理学-全球启动：更新从HP.lnk = C的： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ EXCEL.EXE/3000
O9 -额外的按钮：发送到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -额外的'工具' menuitem ：标准普尔年底到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ REFIEBAR.DLL
O9 -额外的按钮： Musicmatch公司的MX网络播放器- （ d81ca86b - ef63 - 42af - bee3 - 4502d9a03c2d ） - http://wwws.musicmatch.com/mmz/openWebRadio.html （档案遗失）
ø9 -额外的按钮：（没有名字） - （e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583） -荤：\的Windows \网络诊断\ xpnetdiag.exe（文件丢失）
ø9 -额外的'工具'菜单项：@ xpsp3res.dll，-20001 - （e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583） -荤：\的Windows \网络诊断\ xpnetdiag.exe（文件丢失）
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器：（ 67DABFBF - D0AB - 41FA - 9C46 - CC0F21721616 ） - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 -柴油机微粒过滤器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（冲击波的Flash对象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 -协议： grooveLocalGWS - （ 88FED34C - F0CA - 4636 -瘤A375 - 3CB6248B04CD ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GR99D3 〜 1.DLL
O23 -服务： Adobe公司长征服务-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系统共享\服务\ Adobelmsvc.exe
O23 -服务：阿提热键轮询-未知所有者- ç ： \窗口\ System32 \ Ati2evxx.exe
O23 -服务：赛门铁克事件管理器（ ccEvtMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
O23 -服务：赛门铁克密码验证（ ccPwdSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccPwdSvc.exe
O23 -服务：赛门铁克设置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
O23 -服务：赛门铁克防病毒定义观察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服务：维甲酸驱动HPZ12 -惠普- ç ： \窗口\ system32 \ HPZipm12.exe
O23 -服务： SAVRoam （ SavRoam ） -赛门铁克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服务： ScsiAccess -未知所有者- ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
O23 -服务：赛门铁克网络驱动器服务（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SNDSrvc.exe
O23 -服务：赛门铁克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ SPBBC \ SPBBCSvc.exe
O23 -服务：赛门铁克杀毒软件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe

-
文件结束- 9268字节

**evilfantasy** · ＃4 2008年11月11号，11:07

下载禁用/删除Windows Messenger的桌面删除 Windows Messenger的。

不要混淆 Windows Messenger的 带有 MSN Messenger的 因为他们不一样的。 Windows Messenger的 是一种常见的原因弹出。

解压的文件在桌面上。打开 MessengerDisable.exe 并选择底部框- 卸载Windows Messenger的 并点击应用。

退出了MessengerDisable然后删除这两个文件，提出了在桌面上。

----------

打开HijackThis并选择 这样做只有一个系统扫描。

广场旁边选中复选标记以下条目：（如果有）

-氧- BHO ：（无姓名） - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - （没有文件）
-氧安全- Process：（没有名字） - （4715C8BC - 0204 - 06D4 - 0A62 - 2E00BBB78BBD） -荤：\窗口\ System32 \ izf.dll（文件丢失）
-氧安全- Process：（没有名字） - （843B515A - BBC4 - 4AF2 - 916D - 69E9F7DD8F9D） -荤：\窗口\ System32 \ vtsqo.dll（文件丢失）
-氧安全- Process：（684a8728 - dd11 - 3ef9 - b3e4 - ea3410654e7c） - （c7e45601 - 43ae - 4e3b - 9fe3 - 11dd8278a486） -荤：\窗口\ System32 \ ikwijhuy.dll（文件丢失）
- ø4 - HKLM \ .. \运行：[AlcxMonitor] ALCXMNTR.EXE

重要提示： 关闭所有窗口除了HijackThis并然后单击 菲克斯萨检查。

退出了HijackThis 。

----------

注：下面的指示，成立专门为这一用户。如果您不是此用户，切忌请依照下列指示，因为它们可能会损害您的系统的运作

转到 开始> “运行 和类型 记事本 然后单击行

复制并粘贴到记事本，并在下面保存到您的fixme.reg 桌面

码：

REGEDIT4 [ HKEY_LOCAL_MACHINE \软件\微软\窗户\ currentVersion \运行] “ AlcxMonitor ” =-

找到fixme.reg在您的桌面并双击它。答案是当提示合并与书记官处。

请确认您告诉我，如果你收到一个成功的信息添加上述注册表。如果您没有获得成功的消息，但没有奏效。

删除fixme.reg从桌面。

----------

下载ComboFix由潜艇从以下链接。请务必将它保存到顶部的桌面。

链接＃ 1
链接＃ 2

**注：重要的是，它是直接保存到桌面

关闭所有打开Web浏览器。（火狐时， Internet Explorer等），开始之前ComboFix 。

暂时 丧失能力 你的 防病毒和任何 反间谍 实时保护前执行扫描。点击此链接看到一个列表的安全计划，应该被禁用，以及如何禁用。

双击combofix.exe ＆按照提示操作。

对于Windows XP系统安装故障恢复控制台：

-如果您使用的是Windows XP和尚未恢复控制台安装，请确保您的Internet连接处于活动状态（如果可能的话），然后点击是。
-如果由于某种原因，您的互联网工作不按否。
- 如果您没有使用Windows XP中，您将不会提示。
-当提示接受EULA点击行。
-接受微软的EULA （点击是）。
-当你被告知，钢筋混凝土已正确安装单击是继续扫描恶意软件。

当完成时，将产生ComboFix日志您。
邮政的 ComboFix日志 在您下次答复。

重要提示： 不要mouseclick ComboFix的窗口同时运行。这可能会导致它摊档。

记得要重新启用您的防病毒和反间谍保护时ComboFix完成。

也让我知道的计算机运行的是现在。

**xalice15x** · ＃5 2008年11月11号，11:55

ComboFix日志

ComboFix是08-11-10.01 -管理员2008-11-11 11:39:43.1 - NTFSx86
微软Windows XP专业版5.1.2600.3.1252.1.1033.18.176 [格林尼治-7:00]
运行中： C ： \文件和设置\管理员\桌面\ ComboFix.exe
*创建了一个新的还原点
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç：\文件和设置\用户名\ My Documents文件\ TSKS〜1
ç：\程序文件\共同文件\拉克勒〜1
ç：\程序文件\ stem32〜1
ç：\程序文件\ wnsxs〜1
ç：\窗户\ BMf3ec611b.txt
ç ： \窗户\ system32 \0LFlxR4x.exe.a_a
ç：\窗口\ System32 \ epljwqgq.ini
ç：\窗口\ System32 \ fj8wNOvc.exe.a_a
ç：\窗口\ System32 \ icidbcft.ini
ç：\窗口\ System32 \ iDlo01
ç：\窗口\ System32 \ jrjvfibu.ini
ç：\窗口\ System32 \ jryeuaqx.ini
ç：\窗口\ System32 \ mcrh.tmp
ç：\窗口\ System32 \ MSINET.oca
ç：\窗口\ System32 \ mvmqocpc.ini
ç：\窗口\ System32 \ oqstv.ini
ç：\窗口\ System32 \ oqstv.ini2
D组： \的Autorun.inf

。
(((((((((((((((((((((((((创建的文件从2008年10月11日至2008-11-11 ))))))))))) ))))))))))))))))))))
。

2008年11月11日8时54分。 2008年11月11日8时54分<目录Ḏ--------荤：\程序文件\趋势科技
2008年11月11日8点38分。 2008年11月11日8点38 578560 - A类- C ---荤：\窗口\ System32 \ Dllcache文件\ user32.dll中
2008年11月11日8点29分。 2008年11月11日8时29 <目录Ḏ--------荤：\窗户\ ERUNT
2008年11月11日8点23分。 2008年11月11日8时51 <目录Ḏ--------荤：\ SDFix
2008年11月2日9点12分。 2008-11-10 14:10 41474 - 1 ------荤：\窗口\ System32 \0LFlxR4x.exe_
2008年11月2日9点12分。 2008年11月11日9点12 40,450 - 1 ------荤：\窗口\ System32 \0LFlxR4x.exe
2008年10月31日18:00。 2008年10月31日18:00 <目录Ḏ--------荤：\文件和设置\是NetworkService \应用数据\雅虎！
2008年10月31日16点40。 2008年10月31日16点40 <目录Ḏ--------荤：\文件和设置\管理\应用数据\雅虎！
2008年10月31日16时39分。 2008-11-10 17点27分<目录Ḏ--------荤：\程序文件\雅虎！
2008年10月29日17:23。 2008年10月29日17时23 <目录Ḏ--------荤：\窗口\ System32 \ CatRoot_bak
2008年10月29日17:23。 2008-09-08 03:41 333,824 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ srv.sys
2008年10月29日17:23。 08年6月13日04:05 272128 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ bthport.sys
2008年10月29日17:23。 2008年8月14日03:04 138496 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ Afd.sys的
2008年10月29日17点22分。 2008年8月14日03:11 2189184 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntoskrnl.exe中
2008年10月29日17点22分。 2008年8月14日03:09 214.528万-----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntkrnlmp.exe
2008年10月29日17点22分。 2008年8月14日02:33 2066048 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntkrnlpa.exe
2008年10月29日17点22分。 2008年8月14日02:33 2023936 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntkrpamp.exe
2008年10月29日17点22分。 2008-09-15 05:12 1846400 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ Win32k.sys中
2008年10月29日17点22分。 2008年4月11号00:04:00 691712 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ inetcomm.dll
2008年10月29日17点22分。 2008年5月8日7点02分203136 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ rmcast.sys
2008年10月28日18:39。 2008年10月28日18:39 10 - 1 ------荤：\窗户\存在Wininit.ini
2008年10月23日14:45。 08年10月15日9时34 337408 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ netapi32.dll
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗口\ System32 \脚本
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗口\ System32 \中文
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗口\ System32 \位
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗户\ l2schemas
08年10月15日18时23分。 2007年6月13号03:23 1033216 - 1 ------荤：\窗户\ SET25A.tmp
08年10月15日18时22分。 2008年8月14日03:09 214.528万- 1 ------荤：\窗口\ System32 \ ntoskrnl.exe中
08年10月15日16:09。 08年10月15日16时零九<目录Ḏ--------荤：\文件和设置\管理\应用数据\动机
08年10月12日17时26分。 08年10月12日17时25 30272 - 1 ------荤：\窗口\ System32 \ fj8wNOvc.exe

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年11月11日18时38分---------Ḏ-----厕所：\程序文件\赛门铁克防病毒
2008-11-10 22:05 ---------Ḏ-----厕所：\程序文件\ DiVX或者
2008-11-10 22点03 ---------Ḏ-----厕所：\程序文件\爪哇
2008-11-10 01:37 ---------Ḏ-----厕所：\程序文件\的Microsoft Plus！数字媒体版
2008-11-10 01:35 ---------Ḏ-----厕所：\程序文件\ Microsoft Works中
2008-11-08 02:37 90,112 ----胡荤：\窗户\ DUMP3a98.tmp
2008-11-08 01:26 30 ----胡荤：\文件和设置\管理员\ jagex_runescape_preferences。逸
2008年10月29日22时21分77824 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ FDIWrapper.dll
2008年10月29日22时21分69632 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ jsharpde \ msxmlwrapper.dll
2008年10月29日22时21 5,632 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ jsharpde \ GUI.dll
2008年10月29日22时21分49152 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ PCHI18N.dll
2008年10月29日22时21分32,768 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ jsharpde \ pchapi.dll
2008年10月29日22时21分26572 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ jsharpde \ INV16.dll
2008年10月29日22时21 213089 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ jsharpde \ motive.zip
2008年10月29日22时21 139264 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ ContentUpdater.exe
2008年10月29日22时21 114688 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ jsharpde \ ZipLib.dll
2008年10月29日22时21 114688 ----胡荤：\窗户\ PCHealth的\ helpctr \供应商\单纱=惠普，1 =苹果，商S =钙分，C =美国\亭\ XPENABP4EN \插件\本\ jsharpde \ asst_ui.dll
2008年10月29日22时11 ---------Ḏ -魔-厕所：\程序文件\ InstallShield安装信息
2008年10月29日22时11 ---------Ḏ-----厕所：\程序文件\ ATI技术
2008年10月25日01:16 ---------Ḏ-----厕所：\文件和设置\管理\应用数据\移动网络
08年10月16日22:05 ---------Ḏ-----厕所：\文件和设置\所有用户\应用数据\观
08年10月16日01:06 ---------Ḏ-----厕所：\程序文件\谷歌
2008年9月28日22:59 ---------Ḏ-----厕所：\程序文件\共同文件\美国在线
2008年9月22日21时29 ---------Ḏ-----厕所：\文件和设置\所有用户\应用数据\ AOL的OCP
2008年9月22日21时29 ---------Ḏ-----厕所：\文件和设置\管理\应用数据\ acccore
2008年9月22日21时27分---------Ḏ-----厕所：\文件和设置\所有用户\应用数据\美国在线
2008年9月17日01:24 ---------Ḏ-----厕所：\文件和设置\管理\应用数据\ Vso
2008年9月15号12:12 1846400 ----胡ç ： \窗户\ system32 \ Win32k.sys中
2008年8月26日7时24 826368 ----胡荤：\窗口\ System32 \ Wininet.dll中
2008年8月14日9时33 2023936 ----胡荤：\窗口\ System32 \ ntkrnlpa.exe
2007年12月28日00:53 79738 ----胡荤：\文件和设置\字体\ broken_ghost.zip
二零零七年十一月二十三日01:25 81,920 ----胡荤：\文件和设置\管理\应用数据\ ezpinst.exe
二零零七年十一月二十三日01:25 47360 ----胡荤：\文件和设置\管理\应用数据\ pcouffin.sys
。

(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗户\ system32 \ Ctfmon.exe会” [ 08年4月13日15360 ]
“窗口洗衣机”=的“C：\程序文件\ Webroot公司\洗衣机\ wwDisp.exe”[2005-01-27 910336]

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ehTray”=的“C：\窗户\微软公司eHome \ ehtray.exe”[2004-08-04 50176]
“hpsysdrv”=的“C：\的Windows \ System \ hpsysdrv.exe”[1998年5月7日52736]
“HotKeysCmds”=的“C：\窗口\ System32 \ hkcmd.exe”[2003年10月2日118784]
“CamMonitor”=的“C：\程序文件\惠普\数码影像\卸载\ hpqcmon.exe”[02年10月7日90112]
“HPHmon05”=的“C：\窗口\ System32 \ hphmon05.exe”[2003年5月23日483328]
“大骨节病”=的“C：\惠普\骨节\ KBD.EXE”[2003年2月11号61440]
“TkBellExe”=的“C：\程序文件\共同文件\房地产\ Update_OB \ realsched.exe”[2003年12月17日151597]
“Recguard”=的“C：\窗户\ SMINST \ RECGUARD.EXE”[2002-09-13 212992]
“PS2的”=的“C：\窗口\ System32 \ ps2.exe”[2002-10-16 81920]
“Sunkist2k”=的“C：\程序文件\多媒体读卡器\ shwicon2k.exe”[2003年8月14日139264]
“ccApp”=的“C：\程序文件\共同文件\赛门铁克共享\ ccApp.exe”[2005-06-02 48752]
“vptray”=的“C：\ progra〜1 \ SYMANT〜1 \ VPTray.exe”[2005年6月23日85696]
“RemoteControl”=的“C：\程序文件\威力\ PowerDVD \ PDVDServ.exe”[二零零四年十一月二日32768]
“ NeroFilterCheck ” =的“ C ： \窗户\ system32 \ NeroCheck.e氙” [ 2001年7月9日155648 ]
“ GrooveMonitor ” =的“ C ： \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ” [ 2006年10月27号31016 ]
“ Adobe Reader软件高速发射” =的“ C ： \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ” [ 2007年10月10号39792 ]
“ATIModeChange”=“Ati2mdxx.exe”[2001年9月5日ç：\的Windows \ System32 \ Ati2mdxx.exe]
“LTMSG”=“LTMSG.exe”[2003年7月14号ç：\窗户\ ltmsg.exe]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ AdobeUpdater ” =的“ C ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe ” [ 2007年3月1日2321600 ]

ç ： \文件和设置\所有用户\开始菜单\程序\启动\
Adobe公司伽玛Loader.lnk -荤：\程序文件\共同文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe [2007-11-22 113664]
惠普数字成像Monitor.lnk -荤：\程序文件\惠普\数码影像\本\ hpqtra08.exe [2003年9月16号237568]

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“C：\ \ Program Files文件\ \惠普更新\ \ 137903 \ \程序\ \您BackWeb - 137903.exe”=
的“ C ： \ \ Program Files文件\ \微软Office \ \ Office12 \ \的Outlook.exe ” =
的“ C ： \ \ Program Files文件\ \微软Office \ \ Office12 \ \ GROOVE.EXE ” =
的“ C ： \ \ Program Files文件\ \微软Office \ \ Office12 \ \ ONENOTE.EXE ” =
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” =

R2的CX88XBAR;胜2388x纵横双输入;荤：\窗口\ System32 \驱动程序\ CX88XBARDUAL.sys [2003年12月10号7040]

[ HKEY_CURRENT_USER \软件\微软\窗户\曲线ntversion \探险\ mountpoints2 \ D ]
\壳\自动运行\命令- Ḏ：\ Info.exe folder.htt 480 480

*新成立的服务* - PROCEXP90
。
内容'计划任务的文件夹

2008年10月30日ç：\窗户\任务\ At1.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月11日ç：\窗户\任务\ At10.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02荤：\窗户\任务\ At100.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At101.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At102.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At103.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At104.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At105.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日ç：\窗户\任务\ At106.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日ç：\窗户\任务\ At107.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月9日ç：\窗户\任务\ At108.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月9日ç：\窗户\任务\ At109.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日ç：\窗户\任务\ At11.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月9日ç：\窗户\任务\ At110.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-10荤：\窗户\任务\ At111.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-10荤：\窗户\任务\ At112.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-06荤：\窗户\任务\ At113.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月9日ç：\窗户\任务\ At114.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日ç：\窗户\任务\ At115.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日ç：\窗户\任务\ At116.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月9日ç：\窗户\任务\ At117.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At118.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At119.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月9日ç：\窗户\任务\ At12.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02荤：\窗户\任务\ At120.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月9日ç：\窗户\任务\ At13.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月9日ç：\窗户\任务\ At14.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-10荤：\窗户\任务\ At15.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-10荤：\窗户\任务\ At16.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月6号ç ： \窗户\任务\ At17.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月9日ç：\窗户\任务\ At18.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月11日ç：\窗户\任务\ At19.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At2.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月11日ç：\窗户\任务\ At20.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月9日ç：\窗户\任务\ At21.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At22.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At23.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At24.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At3.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At4.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At5.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At6.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月31日ç：\窗户\任务\ At7.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日ç：\窗户\任务\ At8.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-01荤：\窗户\任务\ At9.job
-荤：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02荤：\窗户\任务\ At97.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At98.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02荤：\窗户\任务\ At99.job
-荤：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]
。
- - - -孤寡删除- - - -

HKCU -润丝径- ç：\程序文件\谷歌\ GoogleToolbarNotifier \ 1.2.1128.5462 \摹oogleToolbarNotifier.exe
HKCU -运行的RecordNow！ - （没有文件）
HKLM，运行HPHUPD05 - ç：\程序文件\惠普\（45B6180B -日粮电解质平衡- 4093 - 8EE8 - 6164457517F0）\ hphupd05.exe
HKLM，运行AutoTKit - ç：\惠普\本\ AUTOTKIT.EXE
HKLM，运行UpdateManager - ç：\程序文件\共同文件\声\更新管理器\ sgtray.exe
HKLM，运行ATIPTA - ç：\程序文件\ ATI技术\ ATI控制面板\ atiptaxx.exe

。
补充扫描------- -------
。
火狐- ：公司简介-荤：\文件和设置\管理\应用数据\ Mozilla的\火狐\配置文件\0rews22y.default \
火狐浏览器- ： prefs.js - STARTUP.HOMEPAGE -关于：空白
法郎- ：插件-荤：\文件和设置\管理\应用数据\ Mozilla的\火狐\配置文件\0rews22y.default \扩展\ @ movenetworks moveplayer。com \平台\ WINNT_x86 - MSVC的\插件\ npmnqmp07076007.dll
法郎- ：插件-荤：\文件和设置\管理\应用数据\ Mozilla的\插件\ npPxPlay.dll
法郎- ：插件-荤：\程序文件\ Mozilla Firefox浏览器\插件\ npmozax.dll
法郎- ：插件-荤：\程序文件\ Mozilla Firefox浏览器\插件\ npsnapfish.dll
法郎- ：插件-荤：\程序文件\房地产\ RealOne播放器\ Netscape6 \ nppl3260.dll
法郎- ：插件-荤：\程序文件\房地产\ RealOne播放器\ Netscape6 \ nprjplug.dll
法郎- ：插件-荤：\程序文件\房地产\ RealOne播放器\ Netscape6 \ nprpjplug.dll
。

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008-11-11 11点44分13秒的rootkit扫描
2600年5月1号的Windows Service Pack 3中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

************************************************** ************************
。
完成时间：08年11月11日11时47分43秒
ComboFix是，隔离- files.txt 2008-11-11 18时46分39秒

前运行：八百九十〇亿零四百十万一千六百三十二字节自由
后运行：八百九十亿八千一百零九万八千二百四十字节自由

272 ---民间文学--- 2008年10月30日三时01分59秒

〜〜
到目前为止Iexplore.exe的hasn't弹出^ _ ^
反正有确保的是去了呢？
＆＆，好吗如果我删除的东西，我下载？

**evilfantasy** · ＃6 08年11月11日，12:04

我们将清除一切我们之前完成。还有更多的工作要做，但我必须运行一段时间。回来以后。

**xalice15x** · ＃7 2008年11月11号，12:19

更多的步骤？我想我们做Ḏ：
快速的问题，是这个会影响到的是我的计算机上安装任何程序？
Alrightie，我必须走了一会儿，以及XP的

**xalice15x** · ＃8 2008年11月11号，13时07分

Iexplore.exe的'S仍然在这里， - ;

**evilfantasy** · ＃9 2008年11月11号，16点28分

不，我们没有这样做。我给了大家很清楚时，对

注：下面的指示，成立专门为这一用户。如果您不是此用户，切忌请依照下列指示，因为它们可能会损害您的系统的运作

删除这些文件/文件夹，如下：

1 。转到开始 “ 跑 “型 记事本 并点击行打开记事本。
它必须将记事本，而不是写字板。
2 。复制文字在下面代码中强调的所有文字和紧迫 按Ctrl + C

码：

3 。去记事本窗口，并点击编辑 “ 粘贴
4 。然后单击文件 “ 保存
5 。将该文件命名为 CFScript.txt -将文件保存到桌面
6 。然后拖动 CFScript （按住鼠标左键的同时拖动文件）拖放（释放鼠标左键）到ComboFix.exe因为你看到在下面的截图。 重要提示： 执行此指令仔细！

ComboFix将开始执行，只要按照提示操作。
之后重新启动（如果它要求重新启动），这将会产生一个日志你。
邮报记录（ Combofix.txt ）在您下一次的答复。

注： 不要mouseclick ComboFix的窗口同时运行。可能会导致您的系统冻结

**xalice15x** · ＃10 2008年11月11号，17时36分

好^ __ ^

Combofix日志

ComboFix是08-11-10.01 -管理员2008-11-11 17:21:42.2 - NTFSx86
微软Windows XP专业版5.1.2600.3.1252.1.1033.18.153 [格林尼治-7:00]
运行中： C ： \文件和设置\管理员\桌面\ ComboFix.exe
使用命令开关：中：C：\ Documents和Settings \用户名\桌面\ CFScript.txt
*创建了一个新的还原点

文件：：
ç：\窗户\ SET25A.tmp
ç ： \窗户\ system32 \0LFlxR4x.exe
ç ： \窗户\ system32 \0LFlxR4x.exe_
ç：\窗口\ System32 \ fj8wNOvc.exe
ç ： \窗户\任务\ At1.job
ç ： \窗户\任务\ At10.job
ç：\窗户\任务\ At100.job
ç：\窗户\任务\ At101.job
ç：\窗户\任务\ At102.job
ç：\窗户\任务\ At103.job
ç：\窗户\任务\ At104.job
ç：\窗户\任务\ At105.job
ç：\窗户\任务\ At106.job
ç：\窗户\任务\ At107.job
ç：\窗户\任务\ At108.job
ç：\窗户\任务\ At109.job
ç ： \窗户\任务\ At11.job
ç：\窗户\任务\ At110.job
ç：\窗户\任务\ At111.job
ç：\窗户\任务\ At112.job
ç：\窗户\任务\ At113.job
ç：\窗户\任务\ At114.job
ç：\窗户\任务\ At115.job
ç：\窗户\任务\ At116.job
ç：\窗户\任务\ At117.job
ç：\窗户\任务\ At118.job
ç：\窗户\任务\ At119.job
ç ： \窗户\任务\ At12.job
ç：\窗户\任务\ At120.job
ç ： \窗户\任务\ At13.job
ç ： \窗户\任务\ At14.job
ç ： \窗户\任务\ At15.job
ç ： \窗户\任务\ At16.job
ç ： \窗户\任务\ At17.job
ç ： \窗户\任务\ At18.job
ç ： \窗户\任务\ At19.job
ç ： \窗户\任务\ At2.job
ç ： \窗户\任务\ At20.job
ç ： \窗户\任务\ At21.job
ç ： \窗户\任务\ At22.job
ç ： \窗户\任务\ At23.job
ç ： \窗户\任务\ At24.job
ç ： \窗户\任务\ At3.job
ç ： \窗户\任务\ At4.job
ç ： \窗户\任务\ At5.job
ç ： \窗户\任务\ At6.job
ç ： \窗户\任务\ At7.job
ç ： \窗户\任务\ At8.job
ç ： \窗户\任务\ At9.job
ç：\窗户\任务\ At97.job
ç：\窗户\任务\ At98.job
ç：\窗户\任务\ At99.job
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç：\窗户\ SET25A.tmp
ç ： \窗户\ system32 \0LFlxR4x.exe
ç ： \窗户\ system32 \0LFlxR4x.exe.a_a
ç：\窗口\ System32 \ fj8wNOvc.exe
ç ： \窗户\任务\ At1.job
ç ： \窗户\任务\ At10.job
ç：\窗户\任务\ At100.job
ç：\窗户\任务\ At101.job
ç：\窗户\任务\ At102.job
ç：\窗户\任务\ At103.job
ç：\窗户\任务\ At104.job
ç：\窗户\任务\ At105.job
ç：\窗户\任务\ At106.job
ç：\窗户\任务\ At107.job
ç：\窗户\任务\ At108.job
ç：\窗户\任务\ At109.job
ç ： \窗户\任务\ At11.job
ç：\窗户\任务\ At110.job
ç：\窗户\任务\ At111.job
ç：\窗户\任务\ At112.job
ç：\窗户\任务\ At113.job
ç：\窗户\任务\ At114.job
ç：\窗户\任务\ At115.job
ç：\窗户\任务\ At116.job
ç：\窗户\任务\ At117.job
ç：\窗户\任务\ At118.job
ç：\窗户\任务\ At119.job
ç ： \窗户\任务\ At12.job
ç：\窗户\任务\ At120.job
ç ： \窗户\任务\ At13.job
ç ： \窗户\任务\ At14.job
ç ： \窗户\任务\ At15.job
ç ： \窗户\任务\ At16.job
ç ： \窗户\任务\ At17.job
ç ： \窗户\任务\ At18.job
ç ： \窗户\任务\ At19.job
ç ： \窗户\任务\ At2.job
ç ： \窗户\任务\ At20.job
ç ： \窗户\任务\ At21.job
ç ： \窗户\任务\ At22.job
ç ： \窗户\任务\ At23.job
ç ： \窗户\任务\ At24.job
ç ： \窗户\任务\ At3.job
ç ： \窗户\任务\ At4.job
ç ： \窗户\任务\ At5.job
ç ： \窗户\任务\ At6.job
ç ： \窗户\任务\ At7.job
ç ： \窗户\任务\ At8.job
ç ： \窗户\任务\ At9.job
ç：\窗户\任务\ At97.job
ç：\窗户\任务\ At98.job
ç：\窗户\任务\ At99.job

。
(((((((((((((((((((((((((创建的文件从2008年10月12日至2008年11月12日))))))))))) ))))))))))))))))))))
。

2008年11月11日8时54分。 2008年11月11日8时54分<目录Ḏ--------荤：\程序文件\趋势科技
2008年11月11日8点38分。 2008年11月11日8点38 578560 - A类- C ---荤：\窗口\ System32 \ Dllcache文件\ user32.dll中
2008年11月11日8点29分。 2008年11月11日8时29 <目录Ḏ--------荤：\窗户\ ERUNT
2008年11月11日8点23分。 2008年11月11日8时51 <目录Ḏ--------荤：\ SDFix
2008年10月31日18:00。 2008年10月31日18:00 <目录Ḏ--------荤：\文件和设置\是NetworkService \应用数据\雅虎！
2008年10月31日16点40。 2008年10月31日16点40 <目录Ḏ--------荤：\文件和设置\管理\应用数据\雅虎！
2008年10月31日16时39分。 2008-11-10 17点27分<目录Ḏ--------荤：\程序文件\雅虎！
2008年10月29日17:23。 2008年10月29日17时23 <目录Ḏ--------荤：\窗口\ System32 \ CatRoot_bak
2008年10月29日17:23。 2008-09-08 03:41 333,824 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ srv.sys
2008年10月29日17:23。 08年6月13日04:05 272128 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ bthport.sys
2008年10月29日17:23。 2008年8月14日03:04 138496 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ Afd.sys的
2008年10月29日17点22分。 2008年8月14日03:11 2189184 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntoskrnl.exe中
2008年10月29日17点22分。 2008年8月14日03:09 214.528万-----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntkrnlmp.exe
2008年10月29日17点22分。 2008年8月14日02:33 2066048 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntkrnlpa.exe
2008年10月29日17点22分。 2008年8月14日02:33 2023936 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ ntkrpamp.exe
2008年10月29日17点22分。 2008-09-15 05:12 1846400 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ Win32k.sys中
2008年10月29日17点22分。 2008年4月11号00:04:00 691712 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ inetcomm.dll
2008年10月29日17点22分。 2008年5月8日7点02分203136 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ rmcast.sys
2008年10月28日18:39。 2008年10月28日18:39 10 - 1 ------荤：\窗户\存在Wininit.ini
2008年10月23日14:45。 08年10月15日9时34 337408 -----℃--- ç：\的Windows \ System32 \ Dllcache文件\ netapi32.dll
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗口\ System32 \脚本
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗口\ System32 \中文
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗口\ System32 \位
08年10月15日18时38分。 2008年10月29日15时26 <目录Ḏ--------荤：\窗户\ l2schemas
08年10月15日18时23分。 2006年9月23日14时12分1022976 - 1 ------荤：\窗口\ System32 \ SETA0B.tmp
08年10月15日18时22分。 2008年8月14日03:09 214.528万- 1 ------荤：\窗口\ System32 \ ntoskrnl.exe中
08年10月15日16:09。 08年10月15日16时零九<目录Ḏ--------荤：\文件和设置\管理\应用数据\动机

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008-11-12 00:29 ---------Ḏ-----厕所：\程序文件\赛门铁克防病毒
2008-11-10 22:05 ---------Ḏ-----厕所：\程序文件\ DiVX或者
2008-11-10 22点03 ---------Ḏ-----厕所：\程序文件\爪哇
2008-11-10 01:37 ---------Ḏ-----厕所：\程序文件\的Microsoft Plus！数字媒体版
2008-11-10 01:35 ---------Ḏ-----厕所：\程序文件\ Microsoft Works中
2008-11-08 02:37 90,112 ----胡荤：\窗户\ DUMP3a98.tmp
2008-11-08 01:26 30 ----胡荤：\文件和设置\管理员\ jagex_runescape_preferences。逸
2008年10月29日22时11 ---------Ḏ -魔-厕所：\程序文件\ InstallShield安装信息
2008年10月29日22时11 ---------Ḏ-----厕所：\程序文件\ ATI技术
2008年10月25日01:16 ---------Ḏ-----厕所：\文件和设置\管理\应用数据\移动网络
08年10月16日22:05 ---------Ḏ-----厕所：\文件和设置\所有用户\应用数据\观
08年10月16日01:06 ---------Ḏ-----厕所：\程序文件\谷歌
2008年9月28日22:59 ---------Ḏ-----厕所：\程序文件\共同文件\美国在线
2008年9月22日21时29 ---------Ḏ-----厕所：\文件和设置\所有用户\应用数据\ AOL的OCP
2008年9月22日21时29 ---------Ḏ-----厕所：\文件和设置\管理\应用数据\ acccore
2008年9月22日21时27分---------Ḏ-----厕所：\文件和设置\所有用户\应用数据\美国在线
2008年9月17日01:24 ---------Ḏ-----厕所：\文件和设置\管理\应用数据\ Vso
2007年12月28日00:53 79738 ----胡荤：\文件和设置\字体\ broken_ghost.zip
二零零七年十一月二十三日01:25 81,920 ----胡荤：\文件和设置\管理\应用数据\ ezpinst.exe
二零零七年十一月二十三日01:25 47360 ----胡荤：\文件和设置\管理\应用数据\ pcouffin.sys
。

(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗户\ system32 \ Ctfmon.exe会” [ 08年4月13日15360 ]
“窗口洗衣机”=的“C：\程序文件\ Webroot公司\洗衣机\ wwDisp.exe”[2005-01-27 910336]

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ehTray”=的“C：\窗户\微软公司eHome \ ehtray.exe”[2004-08-04 50176]
“hpsysdrv”=的“C：\的Windows \ System \ hpsysdrv.exe”[1998年5月7日52736]
“HotKeysCmds”=的“C：\窗口\ System32 \ hkcmd.exe”[2003年10月2日118784]
“CamMonitor”=的“C：\程序文件\惠普\数码影像\卸载\ hpqcmon.exe”[02年10月7日90112]
“HPHmon05”=的“C：\窗口\ System32 \ hphmon05.exe”[2003年5月23日483328]
“大骨节病”=的“C：\惠普\骨节\ KBD.EXE”[2003年2月11号61440]
“TkBellExe”=的“C：\程序文件\共同文件\房地产\ Update_OB \ realsched.exe”[2003年12月17日151597]
“Recguard”=的“C：\窗户\ SMINST \ RECGUARD.EXE”[2002-09-13 212992]
“PS2的”=的“C：\窗口\ System32 \ ps2.exe”[2002-10-16 81920]
“Sunkist2k”=的“C：\程序文件\多媒体读卡器\ shwicon2k.exe”[2003年8月14日139264]
“ccApp”=的“C：\程序文件\共同文件\赛门铁克共享\ ccApp.exe”[2005-06-02 48752]
“vptray”=的“C：\ progra〜1 \ SYMANT〜1 \ VPTray.exe”[2005年6月23日85696]
“RemoteControl”=的“C：\程序文件\威力\ PowerDVD \ PDVDServ.exe”[二零零四年十一月二日32768]
“ NeroFilterCheck ” =的“ C ： \窗户\ system32 \ NeroCheck.e氙” [ 2001年7月9日155648 ]
“ GrooveMonitor ” =的“ C ： \ Program Files文件\微软Office \ Office12 \ GrooveMonitor.exe ” [ 2006年10月27号31016 ]
“ Adobe Reader软件高速发射” =的“ C ： \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ” [ 2007年10月10号39792 ]
“ATIModeChange”=“Ati2mdxx.exe”[2001年9月5日ç：\的Windows \ System32 \ Ati2mdxx.exe]
“LTMSG”=“LTMSG.exe”[2003年7月14号ç：\窗户\ ltmsg.exe]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ AdobeUpdater ” =的“ C ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe ” [ 2007年3月1日2321600 ]

ç ： \文件和设置\所有用户\开始菜单\程序\启动\
Adobe公司伽玛Loader.lnk -荤：\程序文件\共同文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe [2007-11-22 113664]
惠普数字成像Monitor.lnk -荤：\程序文件\惠普\数码影像\本\ hpqtra08.exe [2003年9月16号237568]

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“C：\ \ Program Files文件\ \惠普更新\ \ 137903 \ \程序\ \您BackWeb - 137903.exe”=
的“ C ： \ \ Program Files文件\ \微软Office \ \ Office12 \ \的Outlook.exe ” =
的“ C ： \ \ Program Files文件\ \微软Office \ \ Office12 \ \ GROOVE.EXE ” =
的“ C ： \ \ Program Files文件\ \微软Office \ \ Office12 \ \ ONENOTE.EXE ” =
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” =

R2的CX88XBAR;胜2388x纵横双输入;荤：\窗口\ System32 \驱动程序\ CX88XBARDUAL.sys [2003年12月10号7040]
。

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
17时26分59秒的rootkit扫描2008-11-11
2600年5月1号的Windows Service Pack 3中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
------------------------其他正在运行的进程----------------------- -
。
ç ： \窗户\ system32 \ ati2evxx.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç：\程序文件\ Photodex \ ProShowGold \ scsiaccess.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç：\程序文件\惠普更新\ 137903 \程序\您BackWeb - 137903.exe
ç：\窗口\ System32 \ hpzipm12.exe
。
************************************************** ************************
。
完成时间：08年11月11日17时34分29秒-机器重新启动
ComboFix是，隔离- files.txt 2008年11月12日0时34分22秒
ComboFix2.txt 08年11月11日18点47分44秒

前运行：89064681472字节自由
后运行：八百九十零亿五千五百六十二万九千三百十二字节自由

239 ---民间文学--- 2008年10月30日三时01分59秒

类似的主题
线	线程入门	论坛	答复	最后发表
回复： iexplore.exe病毒	mpenney	病毒，间谍软件和安全	6	08年11月3日 14:11
Iexplore病毒和一些呢？	rreiss	病毒，间谍软件和安全	1	2008年10月19号 18:46
Iexplore.exe病毒再次！	davejess00	病毒，间谍软件和安全	18	2008年10月13号 10:16
IEXPLORER.EXE病毒请审查劫持日志	nitingaur	病毒，间谍软件和安全	15	2008年09月22日 16:40
Iexplore.exe病毒	kfarns00	病毒，间谍软件和安全	9	2007年12月4号 14点26分