刪除Iexplore.exe的病毒/劫持日誌

**xalice15x** · ＃1 2008年11月10日，18:14

嘿傢伙，
嗯。每次我啟動我的電腦，在Iexplore.exe（在任務管理器）來了，形單影只。我從來沒有使用Internet Explorer，我使用的是Firefox。但是，這是依靠自己。它也利用了我的記憶中最。我也得到了10億的彈出式窗口，我敢打賭都來自這裡。每當我結束進程，回到了3或4次，那麼它通常消失後，第五當時我的末尾。但這只是約5分鐘，然後它回來了。沒有人知道whats回事？我碰到的掃描與Ad - Aware的，諾頓等，但他們沒有發現任何東西。
附加信息：
我已經對Windows XP
＆＆另外有聲音fcoming從廣告。我什麼都試過。由於事先^ __ ^

我種新在此。因此，企業風險管理。誰可以告訴我如何刪除它？在一個簡單的原位雜交的方法？ = P

日誌文件的了HijackThis v1.99.1
掃描儲存於下午6點14分25秒，在2008年11月10日
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16735 ）

正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ System32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \窗口\ ehome \ ehtray.exe
ç ： \窗戶\系統\ hpsysdrv.exe
ç ： \ Program Files文件\惠普\數碼影像\卸載\ hpqcmon.exe
ç ： \窗口\ System32 \ hphmon05.exe
ç ： \惠普\大骨節病\ KBD.EXE
ç ： \窗口\ LTMSG.exe
ç ： \ Program Files文件\多媒體讀卡器\ shwicon2k.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \ Program Files文件\連\ PowerDVD 』 \ PDVDServ.exe
ç ： \ Program Files文件\微軟Office \ Office12 \ GrooveMonitor.exe
ç ： \窗口\ ALCXMNTR.EXE
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\惠普\數碼影像\斌\ hpqtra08.exe
ç ： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
葷：\窗口\ System32 \ 0LFlxR4x.exe
葷：\ Program Files文件\ Lavasoft \的Ad - Aware東南專業\廣告，Aware.exe
葷：\ PROGRA〜1 \ WinZip的\ winzip32.exe
葷：\ DOCUME〜1 \政府上台〜1 \當地人〜1 \溫度\ HijackThis.exe

受體1 - HKCU \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Internet Explorer \主， Default_Search_URL = http://srch-us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索欄= http://srch-us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索頁面= http://srch-us10.hpwis.com/
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受體1 - HKLM \軟件\微軟\的Internet Explorer \主，搜索欄= http://srch-us10.hpwis.com/
受體1 - HKLM \軟件\微軟\的Internet Explorer \主，搜索頁面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \軟件\微軟\的Internet Explorer \主，初始頁= http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKCU \軟件\微軟\ Internet連接嚮導， ShellNext = http://us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Windows \ CurrentVersion \國際以太設置， ProxyOverride =本地
氧- BHO ：（無姓名） - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - （沒有文件）
氧- BHO ：的Adobe PDF Reader鏈接幫手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \雜技\的ActiveX \ AcroIEHelper.dll
O2的安全- Process：（沒有名稱） - （3615EE58 - 6F38 - 47BA - 9DD9 - C99BD611C6A6） -葷：\窗口\ System32 \ efcdbxx.dll（文件丟失）
氧- BHO ：（無姓名） - （ 4715C8BC - 0204 - 06D4 - 0A62 - 2E00BBB78BBD ） - ç ： \窗口\ system32 \ izf.dll （檔案遺失）
氧- BHO ：槽隊瀏覽器助手- （ 72853161 - 30C5 - 4D22 - B7F9 - 0BBC1D38A37E ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GRA8E1 〜 1.DLL
氧- BHO ：（無姓名） - （ 843B515A - BBC4 - 4AF2 - 916D - 69E9F7DD8F9D ） - ç ： \窗口\ system32 \ vtsqo.dll （檔案遺失）
氧- BHO ：（ 684a8728 - dd11 - 3ef9 - b3e4 - ea3410654e7c ） - （ c7e45601 - 43ae - 4e3b - 9fe3 - 11dd8278a486 ） - ç ： \窗口\ system32 \ ikwijhuy.dll （檔案遺失）
臭氧-工具欄：惠普檢視- （ B2847E28 - 5D7D - 4DEB - 8B67 - 05D28BCF79F5 ） - ç ： \ Program Files文件\惠普\數碼影像\斌\ hpdtlk02.dll
物理學- HKLM \ .. \運行： [ ehTray ] ç ： \窗口\ ehome \ ehtray.exe
物理學- HKLM \ .. \運行： [ hpsysdrv ] ç ： \窗戶\系統\ hpsysdrv.exe
物理學- HKLM \ .. \運行： [ HotKeysCmds ] ç ： \窗口\ System32 \ hkcmd.exe
物理學- HKLM \ .. \運行： [ CamMonitor ] ç ： \ Program Files文件\惠普\數碼影像\卸載\ hpqcmon.exe
物理學- HKLM \ .. \運行： [ HPHUPD05 ] ç ： \ Program Files文件\惠普\ （ 45B6180B - DCAB - 4093 - 8EE8 - 6164457517F0 ） \ hphupd05.exe
物理學- HKLM \ .. \運行： [ HPHmon05 ] ç ： \窗口\ System32 \ hphmon05.exe
物理學- HKLM \ .. \運行： [大骨節病] ç ： \惠普\大骨節病\ KBD.EXE
物理學- HKLM \ .. \運行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” - osboot
物理學- HKLM \ .. \運行： [ AutoTKit ] ç ： \惠普\斌\ AUTOTKIT.EXE
物理學- HKLM \ .. \運行： [ Recguard ] ç ： \窗口\ SMINST \ RECGUARD.EXE
物理學- HKLM \ .. \運行： [ ATIModeChange ] Ati2mdxx.exe
物理學- HKLM \ .. \運行： [ LTMSG ] LTMSG.exe 7
物理學- HKLM \ .. \運行： [ PS2的] ç ： \窗口\ system32 \ ps2.exe
物理學- HKLM \ .. \運行： [ Sunkist2k ] ç ： \ Program Files文件\多媒體讀卡器\ shwicon2k.exe
物理學- HKLM \ .. \運行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe ”
物理學- HKLM \ .. \運行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理學- HKLM \ .. \運行： [ RemoteControl ]的“ C ： \ Program Files文件\連\ PowerDVD 』 \ PDVDServ.exe ”
物理學- HKLM \ .. \運行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理學- HKLM \ .. \運行： [ GrooveMonitor ]的“ C ： \ Program Files文件\微軟Office \ Office12 \ GrooveMonitor.exe ”
物理學- HKLM \ .. \運行： [ Adobe Reader軟件調速器]的“ C ： \ Program Files文件\ Adobe公司\閱讀器8.0 \閱讀器\ Reader_sl.exe ”
物理學- HKLM \ .. \運行： [ AlcxMonitor ] ALCXMNTR.EXE
物理學- HKLM \ .. \運行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新經理\ sgtray.exe ” /住宅
物理學- HKLM \ .. \運行： [ ATIPTA ] ç ： \ Program Files文件\ ATI科技\ ATI的控制面板\ atiptaxx.exe
ø4 - HKLM \ .. \ RunOnce的：[指數洗衣機]葷：\ Program Files文件\ Webroot公司\洗衣機\ WashIdx.exe“管理員”
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [工作分組] ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
物理學- HKCU \ .. \運行： [窗口洗衣機] ç ： \ Program Files文件\ Webroot公司\洗衣機\ wwDisp.exe
ø4 - HKCU \ .. \ RunOnce的：[指數洗衣機]葷：\ Program Files文件\ Webroot公司\洗衣機\ WashIdx.exe“管理員”
物理學-全球啟動： Adobe公司伽瑪Loader.lnk = C的： \ Program Files文件\共同文件\的Adobe \校準\ Adobe公司伽瑪Loader.exe
物理學-全球啟動：惠普數字成像Monitor.lnk = C的： \ Program Files文件\惠普\數碼影像\斌\ hpqtra08.exe
物理學-全球啟動：加快如期Updates.lnk = C的： \ Program Files文件\加快\ bagent.exe
物理學-全球啟動：更新從HP.lnk = C的： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ EXCEL.EXE/3000
O9 -額外的按鈕：發送到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -額外的'工具' menuitem ：標準普爾年底到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ REFIEBAR.DLL
O9 -額外的按鈕： Musicmatch公司的MX網絡播放器- （ d81ca86b - ef63 - 42af - bee3 - 4502d9a03c2d ） - http://wwws.musicmatch.com/mmz/openWebRadio.html （檔案遺失）
O9 -額外的按鈕：（無姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ％ windir ％ \網絡診斷\ xpnetdiag.exe （檔案遺失）
O9 -額外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ％ windir ％ \網絡診斷\ xpnetdiag.exe （檔案遺失）
O9 -額外的按鈕： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O11 -選項組： [國際]國際*
O16 -柴油機微粒過濾器：（ 67DABFBF - D0AB - 41FA - 9C46 - CC0F21721616 ） - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 -柴油機微粒過濾器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（衝擊波的Flash對象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 -協議： grooveLocalGWS - （ 88FED34C - F0CA - 4636 -瘤A375 - 3CB6248B04CD ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GR99D3 〜 1.DLL
O18 -協議：毫秒幫助- （ 314111C7 - A502 - 11D2 -豐原- 00C04F8EC294 ） - ç ： \ Program Files文件\共同文件\微軟共享\幫助\ hxds.dll
O18 -過濾器劫持：文字/ XML的- （ 807563E5 - 5146 - 11D5 - A672 - 00B0D022E945 ） - ç ： \ PROGRA 〜 1 \常見〜 1 \微〜 1 \ OFFICE12 \ MSOXMLMF.DL L
ø20 - Winlogon通知： dimsntfy - ％ SystemRoot ％ \ System32 \ dimsntfy.dll （檔案遺失）
Ø20 - Winlogon中通知：efcdbxx - efcdbxx.dll（文件丟失）
ø20 - Winlogon通知： igfxcui - ç ： \窗口\ SYSTEM32 \ igfxsrvc.dll
ø20 - Winlogon通知： NavLogon - ç ： \窗口\ system32 \ NavLogon.dll
O23 -服務： Adobe公司長征服務-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系統共享\服務\ Adobelmsvc.exe
O23 -服務：阿提熱鍵輪詢-未知所有者- ç ： \窗口\ System32 \ Ati2evxx.exe
O23 -服務：賽門鐵克事件管理器（ ccEvtMgr ） - Symantec Corporation的- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
O23 -服務：賽門鐵克密碼驗證（ ccPwdSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccPwdSvc.exe
O23 -服務：賽門鐵克設置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
O23 -服務：賽門鐵克防病毒定義觀察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服務：維甲酸驅動HPZ12 -惠普- ç ： \窗口\ system32 \ HPZipm12.exe
O23 -服務： SAVRoam （ SavRoam ） -賽門鐵克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服務： ScsiAccess -未知所有者- ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
O23 -服務：賽門鐵克網絡驅動器服務（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SNDSrvc.exe
O23 -服務：賽門鐵克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
O23 -服務：賽門鐵克殺毒軟件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe

**evilfantasy** · ＃2 2008年11月10日，20:23

歡迎希傑。

請打印這些說明，因為它們將需要後，互聯網無法使用。

下載 SDFix的AndyManchesta 並儲存到您的桌面。

當使用此工具，您必須使用 管理員帳戶 或一個帳戶， 行政權利

雙擊 SDFix.exe 這將解壓縮文件為％ SystemDrive ％
（這是驅動器包含Windows目錄，通常為C ： \ SDFix ）。
不使用它只是尚未。

重新啟動您的計算機中安全模式使用 按F8 方法。為此，重新啟動計算機，並在聽取您的計算機響鈴一次啟動時（但在此之前的Windows圖標出現）重複按F8鍵。的菜單，會出現幾個選項。使用箭頭鍵來瀏覽，並選擇選項將運行Windows的“安全模式” 。

打開SDFix文件夾並雙擊 RunThis.bat 啟動腳本。

類型 Ÿ 開始清理進程。
這將消除任何木馬服務或註冊表項發現提示您按任意鍵重新啟動。
按任意鍵 它將重新啟動電腦。
當電腦重新啟動後，將再次運行Fixtool和完成刪除過程然後顯示完成，按任意鍵結束腳本和加載您的桌面圖標。
一旦桌面圖標加載SDFix報告將在屏幕上打開並保存到文件夾中的SDFix Report.txt。
的內容複製並粘貼的結果文件 Report.txt 在您下次答复。

----------

還安裝新版本的HijackThis，並發布新的日誌，從它在正常的啟動模式後SDFix已完成。

下載趨勢科技HijackThis.exe （ HJT ）到桌面上。

雙擊HJTInstall 。
點擊安裝按鈕。
它會自動地在HJT ç ： \ Program Files文件\趨勢科技\了HijackThis \ HijackThis.exe。
安裝時，應打開了HijackThis適合您。
點擊 做了系統掃描並保存日誌文件 按鈕
了HijackThis掃描，然後將記錄在記事本中打開。
複製，然後粘貼的全部內容日誌在您的帖子。
不要有沒有什麼了HijackThis修復。大多數它認為將是無害的，甚至需要。

**xalice15x** · ＃3 2008年11月11號，08:55

SDFix報告

SDFix ：版本1.240
運行由管理員在2008年11月11日星期二上午08點39分

微軟Windows XP [版本2600年5月1號]
運行中： C ： \ SDFix

檢查服務 ：

恢復默認安全值
恢復默認Hosts文件

重新開機

檢查文件 ：

木馬找到的檔案：

葷：\ Program Files文件\ nvcoi \ mst.stt -刪除

文件夾C：\ Program Files文件\ nvcoi -移除
文件夾C：\ Program Files文件\臨時-移除
文件夾C：\ Temp中\ sanR24 -移除

刪除臨時文件

廣告檢查 ：

最後檢查 ：

catchme 0.3.1361.2 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
08年11月11日8點47分19秒的rootkit掃描
2600年5月1號的Windows Service Pack 3中的NTFS

掃描隱藏的進程...

掃描隱藏的服務及系統Hive ...

掃描隱藏的註冊表項...

掃描隱藏的文件...

掃描順利完成
隱藏的進程： 0
隱匿服務： 0
隱藏的文件： 0

其餘服務 ：

授權應用主要出口：

[ HKEY_LOCAL_MACHINE \系統\ currentcontrolset \ servic中心\ sharedaccess \參數\ firewallpolicy \標準配置文件\ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系統m32 \ \ sessmgr.exe ： * ：啟用： @ xpsp2res.dll ， -22019 ”
的“C：\ \ Program Files文件\ \更新從HP \ \ 137903 \ \程序\ \您BackWeb - 137903.exe”=的“C：\ \ Program Files文件\ \更新從HP \ \ 137903 \ \程序\ \您BackWeb - 137903 。exe文件：*：禁用：您BackWeb - 137903“
的“C：\ \ Program Files文件\ \微軟Office \ \ Office12 \ \的Outlook.exe”=的“C：\ \ Program Files文件\ \微軟Office \ \ Office12 \ \的Outlook.exe：*：啟用：Microsoft Office Outlook的”
的“C：\ \ Program Files文件\ \微軟Office \ \ Office12 \ \ GROOVE.EXE”=的“C：\ \ Program Files文件\ \微軟Office \ \ Office12 \ \ GROOVE.EXE：*：啟用：微軟的Office Groove”
的“C：\ \ Program Files文件\ \微軟Office \ \ Office12 \ \ ONENOTE.EXE”=的“C：\ \ Program Files文件\ \微軟Office \ \ Office12 \ \ ONENOTE.EXE：*：啟用：微軟Office OneNote中”
的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \裝載機\ \ aolload.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \裝載機\ \ aolload.exe ： * ：啟用：美國在線裝載機“
的“C：\ \ Program Files文件\ \ AIM6 \ \ aim6.exe”=的“C：\ \ Program Files文件\ \ AIM6 \ \ aim6.exe：*：啟用：目的”
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ： * ：啟用： @ xpsp3res.dll ， -20000 ”

[ HKEY_LOCAL_MACHINE \系統\ currentcontrolset \ servic中心\ sharedaccess \參數\ firewallpolicy \ domainpr ofile \ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系統m32 \ \ sessmgr.exe ： * ：啟用： @ xpsp2res.dll ， -22019 ”
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ： * ：啟用： @ xpsp3res.dll ， -20000 ”

其餘檔案 ：

文件備份： - ç ： \ SDFix \備份\ backups.zip

文件隱藏屬性 ：

週三14十一月2007 --- 204答：自發性高血壓大鼠的“C：\ BOOT.BAK”
週五2008年8月22日635848 A.SH. ---的“C：\ Program Files文件\的Internet Explorer \ Iexplore.exe的”
星期四2004年7月15日0 A.SH. ---的“C：\的Windows \ SMINST \ HPCD.SYS”
週四2008年1月10日4348 A.SH. ---的“C：\ Documents和設置\所有用戶\的DRM \ DRMv1.bak”
週四10一月2008 401 A.SH. ---的“C：\ Documents和設置\所有用戶\的DRM \ DRMv19.bak”
週三2008年10月29日3442 A.SH. ---的“C：\ Documents和設置\所有用戶\文件\錄製的電視\ TempRec \ TempSBE \ SBE3.tmp”

結束了！

------------------------------------------

HijackThis日誌

日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於上午8點55分16秒，在08年11月11日
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16735 ）
啟動模式：正常

正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ System32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
ç ： \窗口\ ehome \ ehtray.exe
ç ： \窗戶\系統\ hpsysdrv.exe
ç ： \ Program Files文件\惠普\數碼影像\卸載\ hpqcmon.exe
ç ： \窗口\ System32 \ hphmon05.exe
ç ： \惠普\大骨節病\ KBD.EXE
ç ： \窗口\ LTMSG.exe
ç ： \ Program Files文件\多媒體讀卡器\ shwicon2k.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
ç ： \ Program Files文件\連\ PowerDVD 』 \ PDVDServ.exe
ç ： \ Program Files文件\微軟Office \ Office12 \ GrooveMonitor.exe
ç ： \ Program Files文件\ Adobe公司\閱讀器8.0 \閱讀器\ Reader_sl.exe
ç ： \窗口\ ALCXMNTR.EXE
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\ Webroot公司\洗衣機\ wwDisp.exe
ç ： \ Program Files文件\惠普\數碼影像\斌\ hpqtra08.exe
ç ： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \窗口\ system32 \記事
ç ： \ Program Files文件\趨勢科技\了HijackThis \ HijackThis.exe

受體1 - HKCU \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Internet Explorer \主， Default_Search_URL = http://srch-us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索欄= http://srch-us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索頁面= http://srch-us10.hpwis.com/
R0 - HKCU \軟件\微軟\的Internet Explorer \主，初始頁=約：空白
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受體1 - HKLM \軟件\微軟\的Internet Explorer \主，搜索欄= http://srch-us10.hpwis.com/
受體1 - HKLM \軟件\微軟\的Internet Explorer \主，搜索頁面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \軟件\微軟\的Internet Explorer \主，初始頁= http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKCU \軟件\微軟\ Internet連接嚮導， ShellNext = http://us10.hpwis.com/
受體1 - HKCU \軟件\微軟\的Windows \ CurrentVersion \國際以太設置， ProxyOverride =本地
氧- BHO ：（無姓名） - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - （沒有文件）
氧- BHO ：的Adobe PDF Reader鏈接幫手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \雜技\的ActiveX \ AcroIEHelper.dll
氧- BHO ：（無姓名） - （ 4715C8BC - 0204 - 06D4 - 0A62 - 2E00BBB78BBD ） - ç ： \窗口\ system32 \ izf.dll （檔案遺失）
氧- BHO ：槽隊瀏覽器助手- （ 72853161 - 30C5 - 4D22 - B7F9 - 0BBC1D38A37E ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GRA8E1 〜 1.DLL
氧- BHO ：（無姓名） - （ 843B515A - BBC4 - 4AF2 - 916D - 69E9F7DD8F9D ） - ç ： \窗口\ system32 \ vtsqo.dll （檔案遺失）
氧- BHO ：（ 684a8728 - dd11 - 3ef9 - b3e4 - ea3410654e7c ） - （ c7e45601 - 43ae - 4e3b - 9fe3 - 11dd8278a486 ） - ç ： \窗口\ system32 \ ikwijhuy.dll （檔案遺失）
臭氧-工具欄：惠普檢視- （ B2847E28 - 5D7D - 4DEB - 8B67 - 05D28BCF79F5 ） - ç ： \ Program Files文件\惠普\數碼影像\斌\ hpdtlk02.dll
物理學- HKLM \ .. \運行： [ ehTray ] ç ： \窗口\ ehome \ ehtray.exe
物理學- HKLM \ .. \運行： [ hpsysdrv ] ç ： \窗戶\系統\ hpsysdrv.exe
物理學- HKLM \ .. \運行： [ HotKeysCmds ] ç ： \窗口\ System32 \ hkcmd.exe
物理學- HKLM \ .. \運行： [ CamMonitor ] ç ： \ Program Files文件\惠普\數碼影像\卸載\ hpqcmon.exe
物理學- HKLM \ .. \運行： [ HPHUPD05 ] ç ： \ Program Files文件\惠普\ （ 45B6180B - DCAB - 4093 - 8EE8 - 6164457517F0 ） \ hphupd05.exe
物理學- HKLM \ .. \運行： [ HPHmon05 ] ç ： \窗口\ System32 \ hphmon05.exe
物理學- HKLM \ .. \運行： [大骨節病] ç ： \惠普\大骨節病\ KBD.EXE
物理學- HKLM \ .. \運行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” - osboot
物理學- HKLM \ .. \運行： [ AutoTKit ] ç ： \惠普\斌\ AUTOTKIT.EXE
物理學- HKLM \ .. \運行： [ Recguard ] ç ： \窗口\ SMINST \ RECGUARD.EXE
物理學- HKLM \ .. \運行： [ ATIModeChange ] Ati2mdxx.exe
物理學- HKLM \ .. \運行： [ LTMSG ] LTMSG.exe 7
物理學- HKLM \ .. \運行： [ PS2的] ç ： \窗口\ system32 \ ps2.exe
物理學- HKLM \ .. \運行： [ Sunkist2k ] ç ： \ Program Files文件\多媒體讀卡器\ shwicon2k.exe
物理學- HKLM \ .. \運行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\賽門鐵克共享\ ccApp.exe ”
物理學- HKLM \ .. \運行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
物理學- HKLM \ .. \運行： [ RemoteControl ]的“ C ： \ Program Files文件\連\ PowerDVD 』 \ PDVDServ.exe ”
物理學- HKLM \ .. \運行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理學- HKLM \ .. \運行： [ GrooveMonitor ]的“ C ： \ Program Files文件\微軟Office \ Office12 \ GrooveMonitor.exe ”
物理學- HKLM \ .. \運行： [ Adobe Reader軟件調速器]的“ C ： \ Program Files文件\ Adobe公司\閱讀器8.0 \閱讀器\ Reader_sl.exe ”
物理學- HKLM \ .. \運行： [ AlcxMonitor ] ALCXMNTR.EXE
物理學- HKLM \ .. \運行： [ UpdateManager ]的“ C ： \ Program Files文件\共同文件\索尼克\更新經理\ sgtray.exe ” /住宅
物理學- HKLM \ .. \運行： [ ATIPTA ] ç ： \ Program Files文件\ ATI科技\ ATI的控制面板\ atiptaxx.exe
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [工作分組] ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
物理學- HKCU \ .. \運行： [窗口洗衣機] ç ： \ Program Files文件\ Webroot公司\洗衣機\ wwDisp.exe
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [ AdobeUpdater ] ç ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe （用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [ AdobeUpdater ] ç ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe （用戶默認用戶' ）
物理學-全球啟動： Adobe公司伽瑪Loader.lnk = C的： \ Program Files文件\共同文件\的Adobe \校準\ Adobe公司伽瑪Loader.exe
物理學-全球啟動：惠普數字成像Monitor.lnk = C的： \ Program Files文件\惠普\數碼影像\斌\ hpqtra08.exe
物理學-全球啟動：加快如期Updates.lnk = C的： \ Program Files文件\加快\ bagent.exe
物理學-全球啟動：更新從HP.lnk = C的： \ Program Files文件\更新由惠普\ 137903 \程序\ BackWeb - 137903.exe
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ EXCEL.EXE/3000
O9 -額外的按鈕：發送到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -額外的'工具' menuitem ：標準普爾年底到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ ONBttnIE.dll
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ REFIEBAR.DLL
O9 -額外的按鈕： Musicmatch公司的MX網絡播放器- （ d81ca86b - ef63 - 42af - bee3 - 4502d9a03c2d ） - http://wwws.musicmatch.com/mmz/openWebRadio.html （檔案遺失）
ø9 -額外的按鈕：（沒有名稱） - （e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583） -葷：\窗口\網絡診斷\ xpnetdiag.exe（文件丟失）
ø9 -額外的'工具'菜單項：@ xpsp3res.dll，-20001 - （e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583） -葷：\窗口\網絡診斷\ xpnetdiag.exe（文件丟失）
O9 -額外的按鈕： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器：（ 67DABFBF - D0AB - 41FA - 9C46 - CC0F21721616 ） - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 -柴油機微粒過濾器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（衝擊波的Flash對象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 -協議： grooveLocalGWS - （ 88FED34C - F0CA - 4636 -瘤A375 - 3CB6248B04CD ） - ç ： \ PROGRA 〜 1 \ MI1933 〜 1 \ Office12 \ GR99D3 〜 1.DLL
O23 -服務： Adobe公司長征服務-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系統共享\服務\ Adobelmsvc.exe
O23 -服務：阿提熱鍵輪詢-未知所有者- ç ： \窗口\ System32 \ Ati2evxx.exe
O23 -服務：賽門鐵克事件管理器（ ccEvtMgr ） - Symantec Corporation的- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
O23 -服務：賽門鐵克密碼驗證（ ccPwdSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccPwdSvc.exe
O23 -服務：賽門鐵克設置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
O23 -服務：賽門鐵克防病毒定義觀察者（ DefWatch ） - Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
O23 -服務：維甲酸驅動HPZ12 -惠普- ç ： \窗口\ system32 \ HPZipm12.exe
O23 -服務： SAVRoam （ SavRoam ） -賽門鐵克- ç ： \ Program Files文件\利用Symantec AntiVirus \ SavRoam.exe
O23 -服務： ScsiAccess -未知所有者- ç ： \ Program Files文件\ Photodex \ ProShowGold \ ScsiAccess.exe
O23 -服務：賽門鐵克網絡驅動器服務（ SNDSrvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SNDSrvc.exe
O23 -服務：賽門鐵克SPBBCSvc （ SPBBCSvc ） - Symantec公司- ç ： \ Program Files文件\共同文件\賽門鐵克共享\ SPBBC \ SPBBCSvc.exe
O23 -服務：賽門鐵克殺毒軟件- Symantec公司- ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe

-
結尾的文件- 9268字節

**evilfantasy** · ＃4 2008年11月11號，11:07

下載禁用/刪除Windows Messenger的桌面刪除 Windows Messenger的。

不要混淆 Windows Messenger的 帶有 MSN Messenger的 因為他們不一樣的。 Windows Messenger的 是一種常見的原因彈出。

解壓的文件在桌面上。打開 MessengerDisable.exe 並選擇底部框- 卸載Windows Messenger的 並點擊應用。

退出了MessengerDisable然後刪除這兩個文件，提出了在桌面上。

----------

打開HijackThis並選擇 這樣做只有一個系統掃描。

廣場旁邊選中复選標記以下條目：（如果有）

-氧- BHO ：（無姓名） - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - （沒有文件）
-氧安全- Process：（沒有名稱） - （4715C8BC - 0204 - 06D4 - 0A62 - 2E00BBB78BBD） -葷：\窗口\ System32 \ izf.dll（文件丟失）
-氧安全- Process：（沒有名稱） - （843B515A - BBC4 - 4AF2 - 916D - 69E9F7DD8F9D） -葷：\窗口\ System32 \ vtsqo.dll（文件丟失）
-氧安全- Process：（684a8728 - dd11 - 3ef9 - b3e4 - ea3410654e7c） - （c7e45601 - 43ae - 4e3b - 9fe3 - 11dd8278a486） -葷：\窗口\ System32 \ ikwijhuy.dll（文件丟失）
- ø4 - HKLM \ .. \運行：[AlcxMonitor] ALCXMNTR.EXE

重要提示： 關閉所有窗口除了HijackThis並然後單擊 菲克斯薩檢查。

退出了HijackThis 。

----------

注：下面的指示，成立專門為這一用戶。如果您不是此用戶，切忌請依照下列指示，因為它們可能會損害您的系統的運作

轉到 開始> “運行 和類型 記事本 然後單擊行

複製並粘貼到記事本，並在下面保存到您的fixme.reg 桌面

碼：

REGEDIT4 [HKEY_LOCAL_MACHINE \軟件\微軟\窗口\ CurrentVersion \ Run下]“AlcxMonitor”=-

找到fixme.reg在您的桌面並雙擊它。答案是當提示合併與書記官處。

請確認您告訴我，如果你收到一個成功的信息添加上述註冊表。如果您沒有獲得成功的消息，但沒有奏效。

刪除fixme.reg從桌面。

----------

下載ComboFix由潛艇從以下鏈接。請務必將它保存到頂部的桌面。

鏈接＃ 1
鏈接＃ 2

**注：重要的是，它是直接保存到桌面

關閉所有打開Web瀏覽器。（火狐時， Internet Explorer等），開始之前ComboFix 。

暫時 喪失能力 你的 防病毒和任何 反間諜 實時保護前執行掃描。點擊此鏈接看到一個列表的安全計劃，應該被禁用，以及如何禁用。

雙擊combofix.exe ＆按照提示操作。

對於Windows XP系統安裝故障恢復控制台：

-如果您使用的是Windows XP和尚未恢復控制台安裝，請確保您的Internet連接處於活動狀態（如果可能的話），然後點擊是。
-如果由於某種原因，您的互聯網工作不按否。
- 如果您沒有使用Windows XP中，您將不會提示。
-當提示接受EULA點擊行。
-接受微軟的EULA （點擊是）。
-當你被告知，鋼筋混凝土已正確安裝單擊是繼續掃描惡意軟件。

當完成時，將產生ComboFix日誌您。
郵政的 ComboFix日誌 在您下次答复。

重要提示： 不要mouseclick ComboFix的窗口同時運行。這可能會導致它攤檔。

記得要重新啟用您的防病毒和反間諜保護時ComboFix完成。

也讓我知道的計算機運行的是現在。

**xalice15x** · ＃5 2008年11月11號，11:55

ComboFix日誌

ComboFix是08-11-10.01 -管理員2008-11-11 11:39:43.1 - NTFSx86
微軟Windows XP專業版5.1.2600.3.1252.1.1033.18.176 [格林尼治-7:00]
運行中： C ： \文件和設置\管理員\桌面\ ComboFix.exe
*創建了一個新的還原點
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

葷：\ Documents和Settings \用戶名\ My Documents文件\ TSKS〜1
葷：\程序文件\ Common Files文件\拉克勒〜1
葷：\程序文件\ stem32〜1
葷：\程序文件\ wnsxs〜1
葷：\窗戶\ BMf3ec611b.txt
ç ： \窗戶\ system32 \0LFlxR4x.exe.a_a
葷：\窗口\ System32 \ epljwqgq.ini
葷：\窗口\ System32 \ fj8wNOvc.exe.a_a
葷：\窗口\ System32 \ icidbcft.ini
葷：\窗口\ System32 \ iDlo01
葷：\窗口\ System32 \ jrjvfibu.ini
葷：\窗口\ System32 \ jryeuaqx.ini
葷：\窗口\ System32 \ mcrh.tmp
葷：\窗口\ System32 \ MSINET.oca
葷：\窗口\ System32 \ mvmqocpc.ini
葷：\窗口\ System32 \ oqstv.ini
葷：\窗口\ System32 \ oqstv.ini2
D組： \的Autorun.inf

。
(((((((((((((((((((((((((文件創建從2008年10月11日至2008年11月11日))))))))))) ))))))))))))))))))))
。

2008年11月11日8時54分。 2008年11月11日8時54分<目錄Ḏ--------葷：\程序文件\趨勢科技
2008年11月11日08:38。 2008年11月11日8點38 578560 - A類- C ---葷：\的Windows \ System32 \ Dllcache文件\ user32.dll中
2008年11月11日8點29分。 2008年11月11日8時29 <目錄Ḏ--------葷：\窗戶\ ERUNT
2008年11月11日8點23分。 2008年11月11日8時51 <目錄Ḏ--------葷：\ SDFix
2008年11月2日9點12分。 2008年11月10日14點十41474 - 1 ------葷：\窗口\ System32 \0LFlxR4x.exe_
2008年11月2日9點12分。 2008年11月11日9點12 40,450 - 1 ------葷：\窗口\ System32 \0LFlxR4x.exe
2008年10月31日18:00。 2008年10月31日18:00 <目錄Ḏ--------葷：\文件和設置\是NetworkService \應用數據\雅虎！
2008年10月31日16點40。 2008年10月31日16點40 <目錄Ḏ--------葷：\ Documents和Settings \用戶名\應用數據\雅虎！
2008年10月31日16時39分。 2008年11月10日17時27 <目錄Ḏ--------葷：\程序文件\雅虎！
2008年10月29日17:23。 2008年10月29日17時23 <目錄Ḏ--------葷：\窗口\ System32 \ CatRoot_bak
2008年10月29日17:23。 2008-09-08 03:41 333,824 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ srv.sys
2008年10月29日17:23。 2008年6月13日04:05 272128 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ bthport.sys
2008年10月29日17:23。 2008年8月14日03:04 138496 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ Afd.sys的
2008年10月29日17點22分。 2008年8月14日03:11 2189184 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntoskrnl.exe中
2008年10月29日17點22分。 2008年8月14日03:09 214.528萬-----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntkrnlmp.exe
2008年10月29日17點22分。 2008年8月14日02:33 2066048 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntkrnlpa.exe
2008年10月29日17點22分。 2008年8月14日02:33 2023936 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntkrpamp.exe
2008年10月29日17點22分。 2008-09-15五點12 1846400 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ Win32k.sys中
2008年10月29日17點22分。 2008年4月11日12時04 691712 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ inetcomm.dll
2008年10月29日17點22分。 2008年5月8日7點02分203136 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ rmcast.sys
2008年10月28日18時39分。 2008年10月28日18時39分10 - 1 ------葷：\窗戶\存在Wininit.ini
2008年10月23日14:45。 2008年10月15日9時34 337,408 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ netapi32.dll
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗口\ System32 \腳本
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗口\ System32 \中文
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗口\ System32 \位
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗戶\ l2schemas
2008年10月15日18時23分。 2007-06-13 03:23 1033216 - 1 ------葷：\窗戶\ SET25A.tmp
2008年10月15日18時22分。 2008年8月14日03:09 214.528萬- 1 ------葷：\窗口\ System32 \ ntoskrnl.exe中
2008年10月15日16:09。 2008年10月15日16時零九<目錄Ḏ--------葷：\ Documents和Settings \用戶名\應用數據\動機
2008年10月12日17時26分。 2008年10月12日17時25 30272 - 1 ------葷：\窗口\ System32 \ fj8wNOvc.exe

。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008年11月11日18時38分---------Ḏ-----廁所：\程序文件\賽門鐵克防病毒
2008年11月10日22時05分---------Ḏ-----廁所：\程序文件\ DiVX或者
2008年11月10日22點03 ---------Ḏ-----廁所：\程序文件\爪哇
2008-11-10 01:37 ---------Ḏ-----廁所：\程序文件\的Microsoft Plus！數字媒體版
2008-11-10 01:35 ---------Ḏ-----廁所：\程序文件\ Microsoft Works中
2008-11-08 02:37 90,112 ----胡葷：\窗戶\ DUMP3a98.tmp
2008-11-08 01:26 30 ----胡葷：\ Documents和Settings \用戶名\ jagex_runescape_preferences。逸
2008年10月29日22時21分77824 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ FDIWrapper.dll
2008年10月29日22時21分69632 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ jsharpde \ msxmlwrapper.dll
2008年10月29日22時21分5632 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ jsharpde \ GUI.dll
2008年10月29日22時21分49152 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ PCHI18N.dll
2008年10月29日22時21分32,768 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ jsharpde \ pchapi.dll
2008年10月29日22時21分26572 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ jsharpde \ INV16.dll
2008年10月29日22時21 213089 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ jsharpde \ motive.zip
2008年10月29日22時21 139264 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ ContentUpdater.exe
2008年10月29日22時21 114688 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ jsharpde \ ZipLib.dll
2008年10月29日22時21 114688 ----胡葷：\窗戶\ PCHealth的\ helpctr \供應商\單紗=惠普，1 =蘋果，商S =鈣分，C =美國\亭\ XPENABP4EN \插件\斌\ jsharpde \ asst_ui.dll
2008年10月29日22時11 ---------Ḏ -魔-廁所：\程序文件\ InstallShield安裝信息
2008年10月29日22時11 ---------Ḏ-----廁所：\程序文件\ ATI技術
2008年10月25日01:16 ---------Ḏ-----廁所：\文件和設置\用戶名\應用數據\移動網絡
08年10月16日22時05分---------Ḏ-----廁所：\文件和設置\所有用戶\應用數據\觀
08年10月16日01:06 ---------Ḏ-----廁所：\程序文件\谷歌
2008年9月28日22:59 ---------Ḏ-----廁所：\程序文件\ Common Files文件\美國在線
2008年9月22日21時29 ---------Ḏ-----廁所：\文件和設置\所有用戶\應用數據\ AOL的OCP
2008年9月22日21時29 ---------Ḏ-----廁所：\文件和設置\用戶名\應用數據\ acccore
2008年9月22日21時27分---------Ḏ-----廁所：\文件和設置\所有用戶\應用數據\美國在線
2008-09-17 01:24 ---------Ḏ-----廁所：\文件和設置\用戶名\應用數據\ Vso
2008年9月15號12:12 1846400 ----胡ç ： \窗戶\ system32 \ Win32k.sys中
2008年8月26日7時24 826368 ----胡葷：\窗口\ System32 \ Wininet.dll中
2008年8月14日9時33 2023936 ----胡葷：\窗口\ System32 \ ntkrnlpa.exe
2007年12月28日00:53 79738 ----胡葷：\文件和設置\字體\ broken_ghost.zip
2007年11月23日01:25 81,920 ----胡葷：\ Documents和Settings \用戶名\應用數據\ ezpinst.exe
2007年11月23日01:25 47360 ----胡葷：\ Documents和Settings \用戶名\應用數據\ pcouffin.sys
。

(((((((((((((((((((((((((((((((((((((註冊裝載點)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白條目與合法默認項不會顯示
REGEDIT4

[ HKEY_CURRENT_USER \軟件\微軟\的Windows \曲線ntVersion \運行]
“ Ctfmon.exe會” =的“ C ： \窗戶\ system32 \ Ctfmon.exe會” [ 08年4月13日15360 ]
“窗口洗衣機”=的“C：\程序文件\ Webroot公司\洗衣機\ wwDisp.exe”[2005-01-27 910336]

[ HKEY_LOCAL_MACHINE \軟件\微軟\的Windows \當前entVersion \運行]
“ehTray”=的“C：\窗戶\微軟公司eHome \ ehtray.exe”[2004-08-04 50176]
“hpsysdrv”=的“C：\的Windows \ System \ hpsysdrv.exe”[1998年5月7日52736]
“HotKeysCmds”=的“C：\的Windows \ System32 \ hkcmd.exe”[2003-10-02 118784]
“CamMonitor”=的“C：\程序文件\惠普\數碼影像\卸載\ hpqcmon.exe”[2002-10-07 90112]
“HPHmon05”=的“C：\的Windows \ System32 \ hphmon05.exe”[2003年5月23日483328]
“大骨節病”=的“C：\惠普\大骨節病\ KBD.EXE”[2003-02-11 61440]
“TkBellExe”=的“C：\程序文件\ Common Files文件\房地產\ Update_OB \ realsched.exe”[2003-12-17 151597]
“Recguard”=的“C：\窗戶\ SMINST \ RECGUARD.EXE”[2002-09-13 212992]
“PS2的”=的“C：\的Windows \ System32 \ ps2.exe”[2002-10-16 81920]
“Sunkist2k”=的“C：\程序文件\多媒體讀卡器\ shwicon2k.exe”[2003年8月14日139264]
“ccApp”=的“C：\程序文件\ Common Files文件\賽門鐵克共享\ ccApp.exe”[2005-06-02 48752]
“vptray”=的“C：\ progra〜1 \ SYMANT〜1 \ VPTray.exe”[2005年6月23日85696]
“RemoteControl”=的“C：\程序文件\威力\ PowerDVD \ PDVDServ.exe”[2004-11-02 32768]
“ NeroFilterCheck ” =的“ C ： \窗戶\ system32 \ NeroCheck.e氙” [ 2001年7月9日155648 ]
“ GrooveMonitor ” =的“ C ： \ Program Files文件\微軟Office \ Office12 \ GrooveMonitor.exe ” [ 2006年10月27號31016 ]
“ Adobe Reader軟件高速發射” =的“ C ： \ Program Files文件\ Adobe公司\閱讀器8.0 \閱讀器\ Reader_sl.exe ” [ 2007年10月10號39792 ]
“ATIModeChange”=“Ati2mdxx.exe”[2001-09-05葷：\窗口\ System32 \ Ati2mdxx.exe]
“LTMSG”=“LTMSG.exe”[2003-07-14葷：\窗戶\ ltmsg.exe]

[ HKEY_USERS \ 。缺省\軟件\微軟\的Windows \薑黃素rentVersion \運行]
“ AdobeUpdater ” =的“ C ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe ” [ 2007年3月1日2321600 ]

ç ： \文件和設置\所有用戶\開始菜單\程序\啟動\
Adobe公司伽瑪Loader.lnk -葷：\程序文件\ Common Files文件\ Adobe公司\校準\ Adobe公司伽瑪Loader.exe [2007-11-22 113664]
惠普數字成像Monitor.lnk -葷：\程序文件\惠普\數碼影像\斌\ hpqtra08.exe [2003-09-16 237568]

[ HKEY_LOCAL_MACHINE \軟件\微軟\安全中心\監測\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ AuthorizedApplications \名單]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“C：\ \ Program Files文件\ \更新從HP \ \ 137903 \ \程序\ \您BackWeb - 137903.exe”=
的“ C ： \ \ Program Files文件\ \微軟Office \ \ Office12 \ \的Outlook.exe ” =
的“ C ： \ \ Program Files文件\ \微軟Office \ \ Office12 \ \ GROOVE.EXE ” =
的“ C ： \ \ Program Files文件\ \微軟Office \ \ Office12 \ \ ONENOTE.EXE ” =
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” =

R2的CX88XBAR;勝2388x縱橫雙輸入;葷：\窗口\ System32 \驅動程序\ CX88XBARDUAL.sys [2003-12-10 7040]

[ HKEY_CURRENT_USER \軟件\微軟\窗戶\曲線ntversion \探險\ mountpoints2 \ D ]
\殼\自動運行\命令- Ḏ：\ Info.exe folder.htt 480 480

*新成立的服務* - PROCEXP90
。
內容'計劃任務的文件夾

2008年10月30日葷：\窗戶\任務\ At1.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月11日葷：\窗戶\任務\ At10.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02葷：\窗戶\任務\ At100.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At101.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At102.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At103.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At104.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At105.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日葷：\窗戶\任務\ At106.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日葷：\窗戶\任務\ At107.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09葷：\窗戶\任務\ At108.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09葷：\窗戶\任務\ At109.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日葷：\窗戶\任務\ At11.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09葷：\窗戶\任務\ At110.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-10葷：\窗戶\任務\ At111.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-10葷：\窗戶\任務\ At112.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-06葷：\窗戶\任務\ At113.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09葷：\窗戶\任務\ At114.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日葷：\窗戶\任務\ At115.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008年11月11日葷：\窗戶\任務\ At116.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09葷：\窗戶\任務\ At117.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At118.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At119.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09葷：\窗戶\任務\ At12.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02葷：\窗戶\任務\ At120.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09葷：\窗戶\任務\ At13.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09葷：\窗戶\任務\ At14.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-10葷：\窗戶\任務\ At15.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-10葷：\窗戶\任務\ At16.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-06葷：\窗戶\任務\ At17.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09葷：\窗戶\任務\ At18.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月11日葷：\窗戶\任務\ At19.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At2.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年11月11日葷：\窗戶\任務\ At20.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09葷：\窗戶\任務\ At21.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At22.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At23.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At24.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At3.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At4.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At5.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At6.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月31日葷：\窗戶\任務\ At7.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008年10月30日葷：\窗戶\任務\ At8.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-01葷：\窗戶\任務\ At9.job
-葷：\窗口\ System32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02葷：\窗戶\任務\ At97.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At98.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02葷：\窗戶\任務\ At99.job
-葷：\窗口\ System32 \0LFlxR4x.exe [2008-11-11 09:12]
。
- - - -孤寡刪除- - - -

HKCU -潤絲徑-葷：\程序文件\谷歌\ GoogleToolbarNotifier \ 1.2.1128.5462 \摹oogleToolbarNotifier.exe
HKCU -運行的RecordNow！ - （沒有文件）
HKLM，運行HPHUPD05 -葷：\程序文件\惠普\（45B6180B -日糧電解質平衡- 4093 - 8EE8 - 6164457517F0）\ hphupd05.exe
HKLM，運行AutoTKit -葷：\惠普\本\ AUTOTKIT.EXE
HKLM，運行UpdateManager -葷：\程序文件\ Common Files文件\聲\更新管理器\ sgtray.exe
HKLM，運行ATIPTA -葷：\程序文件\ ATI技術\ ATI控制面板\ atiptaxx.exe

。
補充掃描------- -------
。
火狐- ：公司簡介-葷：\ Documents和Settings \用戶名\應用數據\ Mozilla的\火狐\配置文件\0rews22y.default \
火狐瀏覽器- ： prefs.js - STARTUP.HOMEPAGE -關於：空白
法郎- ：插件-葷：\ Documents和Settings \用戶名\應用數據\ Mozilla的\火狐\配置文件\0rews22y.default \擴展\ moveplayer @ movenetworks。com \平台\ WINNT_x86 - MSVC的\插件\ npmnqmp07076007.dll
法郎- ：插件-葷：\ Documents和Settings \用戶名\應用數據\ Mozilla的\插件\ npPxPlay.dll
法郎- ：插件-葷：\程序文件\ Mozilla Firefox瀏覽器\插件\ npmozax.dll
法郎- ：插件-葷：\程序文件\ Mozilla Firefox瀏覽器\插件\ npsnapfish.dll
法郎- ：插件-葷：\程序文件\房地產\ RealOne播放器\ Netscape6 \ nppl3260.dll
法郎- ：插件-葷：\程序文件\房地產\ RealOne播放器\ Netscape6 \ nprjplug.dll
法郎- ：插件-葷：\程序文件\房地產\ RealOne播放器\ Netscape6 \ nprpjplug.dll
。

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
08年11月11日11點44分13秒的rootkit掃描
2600年5月1號的Windows Service Pack 3中的NTFS

掃描隱藏的進程...

掃描隱藏的自動啟動項...

掃描隱藏的文件...

************************************************** ************************
。
完成時間：08年11月11日11時47分43秒
ComboFix是，隔離- files.txt 08年11月11日18時46分39秒

預運行：八百九十〇億零四百十萬一千六百三十二字節的可用
運行後：八百九十億八千一百零九萬八千二百四十字節的可用

272 ---民間文學--- 2008年10月30日三時01分59秒

〜〜
到目前為止Iexplore.exe的hasn't突然出現了^ _ ^
反正是有，以確保公司就不見了？
＆＆，好嗎如果我刪除的東西，我下載？

**evilfantasy** · ＃6 08年11月11日，12:04

我們將清除一切之前，我們終於完成。還有更多的事情要做，但我必須運行一段時間。回來以後。

**xalice15x** · ＃7 2008年11月11號，12:19

更多的步驟？我以為我們這樣做Ḏ：
快速的問題，這是任何將影響到程序安裝到我的計算機？
Alrightie，我要回去了一會兒，以及XP的

**xalice15x** · ＃8 2008年11月11號，13時07分

Iexplore.exe的'S仍然在這裡; - ;

**evilfantasy** · ＃9 2008年11月11號，16點28分

不，我們還沒有完成。我給了大家很清楚時，一切都結束了

注：下面的指示，成立專門為這一用戶。如果您不是此用戶，切忌請依照下列指示，因為它們可能會損害您的系統的運作

刪除這些文件/文件夾，如下：

1 。轉到開始 “ 跑 “型 記事本 並點擊行打開記事本。
它必須將記事本，而不是寫字板。
2 。複製文字在下面代碼中強調的所有文字和緊迫 按Ctrl + C

碼：

3 。去記事本窗口，並點擊編輯 “ 粘貼
4 。然後單擊文件 “ 保存
5 。將該文件命名為 CFScript.txt -將文件保存到桌面
6 。然後拖動 CFScript （按住鼠標左鍵的同時拖動文件）拖放（釋放鼠標左鍵）到ComboFix.exe因為你看到在下面的截圖。 重要提示： 執行此指令仔細！

ComboFix將開始執行，只要按照提示操作。
之後重新啟動（如果它要求重新啟動），這將會產生一個日誌你。
郵報記錄（ Combofix.txt ）在您下一次的答复。

注： 不要mouseclick ComboFix的窗口同時運行。可能會導致您的系統凍結

**xalice15x** · ＃10 2008年11月11號，17時36分

好^ __ ^

Combofix日誌

ComboFix是08-11-10.01 -管理員2008-11-11 17:21:42.2 - NTFSx86
微軟Windows XP專業版5.1.2600.3.1252.1.1033.18.153 [格林尼治-7:00]
運行中： C ： \文件和設置\管理員\桌面\ ComboFix.exe
命令開關用於：中：C：\ Documents和Settings \用戶名\桌面\ CFScript.txt
*創建了一個新的還原點

文件：：
葷：\窗戶\ SET25A.tmp
ç ： \窗戶\ system32 \0LFlxR4x.exe
ç ： \窗戶\ system32 \0LFlxR4x.exe_
葷：\窗口\ System32 \ fj8wNOvc.exe
ç ： \窗戶\任務\ At1.job
葷：\窗戶\任務\ At10.job
葷：\窗戶\任務\ At100.job
葷：\窗戶\任務\ At101.job
葷：\窗戶\任務\ At102.job
葷：\窗戶\任務\ At103.job
葷：\窗戶\任務\ At104.job
葷：\窗戶\任務\ At105.job
葷：\窗戶\任務\ At106.job
葷：\窗戶\任務\ At107.job
葷：\窗戶\任務\ At108.job
葷：\窗戶\任務\ At109.job
葷：\窗戶\任務\ At11.job
葷：\窗戶\任務\ At110.job
葷：\窗戶\任務\ At111.job
葷：\窗戶\任務\ At112.job
葷：\窗戶\任務\ At113.job
葷：\窗戶\任務\ At114.job
葷：\窗戶\任務\ At115.job
葷：\窗戶\任務\ At116.job
葷：\窗戶\任務\ At117.job
葷：\窗戶\任務\ At118.job
葷：\窗戶\任務\ At119.job
葷：\窗戶\任務\ At12.job
葷：\窗戶\任務\ At120.job
葷：\窗戶\任務\ At13.job
葷：\窗戶\任務\ At14.job
葷：\窗戶\任務\ At15.job
葷：\窗戶\任務\ At16.job
葷：\窗戶\任務\ At17.job
葷：\窗戶\任務\ At18.job
葷：\窗戶\任務\ At19.job
葷：\窗戶\任務\ At2.job
葷：\窗戶\任務\ At20.job
葷：\窗戶\任務\ At21.job
葷：\窗戶\任務\ At22.job
葷：\窗戶\任務\ At23.job
葷：\窗戶\任務\ At24.job
葷：\窗戶\任務\ At3.job
葷：\窗戶\任務\ At4.job
葷：\窗戶\任務\ At5.job
葷：\窗戶\任務\ At6.job
葷：\窗戶\任務\ At7.job
葷：\窗戶\任務\ At8.job
葷：\窗戶\任務\ At9.job
葷：\窗戶\任務\ At97.job
葷：\窗戶\任務\ At98.job
葷：\窗戶\任務\ At99.job
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

葷：\窗戶\ SET25A.tmp
ç ： \窗戶\ system32 \0LFlxR4x.exe
ç ： \窗戶\ system32 \0LFlxR4x.exe.a_a
葷：\窗口\ System32 \ fj8wNOvc.exe
ç ： \窗戶\任務\ At1.job
葷：\窗戶\任務\ At10.job
葷：\窗戶\任務\ At100.job
葷：\窗戶\任務\ At101.job
葷：\窗戶\任務\ At102.job
葷：\窗戶\任務\ At103.job
葷：\窗戶\任務\ At104.job
葷：\窗戶\任務\ At105.job
葷：\窗戶\任務\ At106.job
葷：\窗戶\任務\ At107.job
葷：\窗戶\任務\ At108.job
葷：\窗戶\任務\ At109.job
葷：\窗戶\任務\ At11.job
葷：\窗戶\任務\ At110.job
葷：\窗戶\任務\ At111.job
葷：\窗戶\任務\ At112.job
葷：\窗戶\任務\ At113.job
葷：\窗戶\任務\ At114.job
葷：\窗戶\任務\ At115.job
葷：\窗戶\任務\ At116.job
葷：\窗戶\任務\ At117.job
葷：\窗戶\任務\ At118.job
葷：\窗戶\任務\ At119.job
葷：\窗戶\任務\ At12.job
葷：\窗戶\任務\ At120.job
葷：\窗戶\任務\ At13.job
葷：\窗戶\任務\ At14.job
葷：\窗戶\任務\ At15.job
葷：\窗戶\任務\ At16.job
葷：\窗戶\任務\ At17.job
葷：\窗戶\任務\ At18.job
葷：\窗戶\任務\ At19.job
葷：\窗戶\任務\ At2.job
葷：\窗戶\任務\ At20.job
葷：\窗戶\任務\ At21.job
葷：\窗戶\任務\ At22.job
葷：\窗戶\任務\ At23.job
葷：\窗戶\任務\ At24.job
葷：\窗戶\任務\ At3.job
葷：\窗戶\任務\ At4.job
葷：\窗戶\任務\ At5.job
葷：\窗戶\任務\ At6.job
葷：\窗戶\任務\ At7.job
葷：\窗戶\任務\ At8.job
葷：\窗戶\任務\ At9.job
葷：\窗戶\任務\ At97.job
葷：\窗戶\任務\ At98.job
葷：\窗戶\任務\ At99.job

。
(((((((((((((((((((((((((文件創建從2008年10月12日至2008年11月12日))))))))))) ))))))))))))))))))))
。

2008年11月11日8時54分。 2008年11月11日8時54分<目錄Ḏ--------葷：\程序文件\趨勢科技
2008年11月11日08:38。 2008年11月11日8點38 578560 - A類- C ---葷：\的Windows \ System32 \ Dllcache文件\ user32.dll中
2008年11月11日8點29分。 2008年11月11日8時29 <目錄Ḏ--------葷：\窗戶\ ERUNT
2008年11月11日8點23分。 2008年11月11日8時51 <目錄Ḏ--------葷：\ SDFix
2008年10月31日18:00。 2008年10月31日18:00 <目錄Ḏ--------葷：\文件和設置\是NetworkService \應用數據\雅虎！
2008年10月31日16點40。 2008年10月31日16點40 <目錄Ḏ--------葷：\ Documents和Settings \用戶名\應用數據\雅虎！
2008年10月31日16時39分。 2008年11月10日17時27 <目錄Ḏ--------葷：\程序文件\雅虎！
2008年10月29日17:23。 2008年10月29日17時23 <目錄Ḏ--------葷：\窗口\ System32 \ CatRoot_bak
2008年10月29日17:23。 2008-09-08 03:41 333,824 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ srv.sys
2008年10月29日17:23。 2008年6月13日04:05 272128 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ bthport.sys
2008年10月29日17:23。 2008年8月14日03:04 138496 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ Afd.sys的
2008年10月29日17點22分。 2008年8月14日03:11 2189184 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntoskrnl.exe中
2008年10月29日17點22分。 2008年8月14日03:09 214.528萬-----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntkrnlmp.exe
2008年10月29日17點22分。 2008年8月14日02:33 2066048 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntkrnlpa.exe
2008年10月29日17點22分。 2008年8月14日02:33 2023936 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ ntkrpamp.exe
2008年10月29日17點22分。 2008-09-15五點12 1846400 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ Win32k.sys中
2008年10月29日17點22分。 2008年4月11日12時04 691712 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ inetcomm.dll
2008年10月29日17點22分。 2008年5月8日7點02分203136 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ rmcast.sys
2008年10月28日18時39分。 2008年10月28日18時39分10 - 1 ------葷：\窗戶\存在Wininit.ini
2008年10月23日14:45。 2008年10月15日9時34 337,408 -----℃---葷：\的Windows \ System32 \ Dllcache文件\ netapi32.dll
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗口\ System32 \腳本
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗口\ System32 \中文
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗口\ System32 \位
2008年10月15日18時38分。 2008年10月29日15時26 <目錄Ḏ--------葷：\窗戶\ l2schemas
2008年10月15日18時23分。 2006年9月23日14時12分1,022,976 - 1 ------葷：\窗口\ System32 \ SETA0B.tmp
2008年10月15日18時22分。 2008年8月14日03:09 214.528萬- 1 ------葷：\窗口\ System32 \ ntoskrnl.exe中
2008年10月15日16:09。 2008年10月15日16時零九<目錄Ḏ--------葷：\ Documents和Settings \用戶名\應用數據\動機

。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2008-11-12 00:29 ---------Ḏ-----廁所：\程序文件\賽門鐵克防病毒
2008年11月10日22時05分---------Ḏ-----廁所：\程序文件\ DiVX或者
2008年11月10日22點03 ---------Ḏ-----廁所：\程序文件\爪哇
2008-11-10 01:37 ---------Ḏ-----廁所：\程序文件\的Microsoft Plus！數字媒體版
2008-11-10 01:35 ---------Ḏ-----廁所：\程序文件\ Microsoft Works中
2008-11-08 02:37 90,112 ----胡葷：\窗戶\ DUMP3a98.tmp
2008-11-08 01:26 30 ----胡葷：\ Documents和Settings \用戶名\ jagex_runescape_preferences。逸
2008年10月29日22時11 ---------Ḏ -魔-廁所：\程序文件\ InstallShield安裝信息
2008年10月29日22時11 ---------Ḏ-----廁所：\程序文件\ ATI技術
2008年10月25日01:16 ---------Ḏ-----廁所：\文件和設置\用戶名\應用數據\移動網絡
08年10月16日22時05分---------Ḏ-----廁所：\文件和設置\所有用戶\應用數據\觀
08年10月16日01:06 ---------Ḏ-----廁所：\程序文件\谷歌
2008年9月28日22:59 ---------Ḏ-----廁所：\程序文件\ Common Files文件\美國在線
2008年9月22日21時29 ---------Ḏ-----廁所：\文件和設置\所有用戶\應用數據\ AOL的OCP
2008年9月22日21時29 ---------Ḏ-----廁所：\文件和設置\用戶名\應用數據\ acccore
2008年9月22日21時27分---------Ḏ-----廁所：\文件和設置\所有用戶\應用數據\美國在線
2008-09-17 01:24 ---------Ḏ-----廁所：\文件和設置\用戶名\應用數據\ Vso
2007年12月28日00:53 79738 ----胡葷：\文件和設置\字體\ broken_ghost.zip
2007年11月23日01:25 81,920 ----胡葷：\ Documents和Settings \用戶名\應用數據\ ezpinst.exe
2007年11月23日01:25 47360 ----胡葷：\ Documents和Settings \用戶名\應用數據\ pcouffin.sys
。

(((((((((((((((((((((((((((((((((((((註冊裝載點)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白條目與合法默認項不會顯示
REGEDIT4

[ HKEY_CURRENT_USER \軟件\微軟\的Windows \曲線ntVersion \運行]
“ Ctfmon.exe會” =的“ C ： \窗戶\ system32 \ Ctfmon.exe會” [ 08年4月13日15360 ]
“窗口洗衣機”=的“C：\程序文件\ Webroot公司\洗衣機\ wwDisp.exe”[2005-01-27 910336]

[ HKEY_LOCAL_MACHINE \軟件\微軟\的Windows \當前entVersion \運行]
“ehTray”=的“C：\窗戶\微軟公司eHome \ ehtray.exe”[2004-08-04 50176]
“hpsysdrv”=的“C：\的Windows \ System \ hpsysdrv.exe”[1998年5月7日52736]
“HotKeysCmds”=的“C：\的Windows \ System32 \ hkcmd.exe”[2003-10-02 118784]
“CamMonitor”=的“C：\程序文件\惠普\數碼影像\卸載\ hpqcmon.exe”[2002-10-07 90112]
“HPHmon05”=的“C：\的Windows \ System32 \ hphmon05.exe”[2003年5月23日483328]
“大骨節病”=的“C：\惠普\大骨節病\ KBD.EXE”[2003-02-11 61440]
“TkBellExe”=的“C：\程序文件\ Common Files文件\房地產\ Update_OB \ realsched.exe”[2003-12-17 151597]
“Recguard”=的“C：\窗戶\ SMINST \ RECGUARD.EXE”[2002-09-13 212992]
“PS2的”=的“C：\的Windows \ System32 \ ps2.exe”[2002-10-16 81920]
“Sunkist2k”=的“C：\程序文件\多媒體讀卡器\ shwicon2k.exe”[2003年8月14日139264]
“ccApp”=的“C：\程序文件\ Common Files文件\賽門鐵克共享\ ccApp.exe”[2005-06-02 48752]
“vptray”=的“C：\ progra〜1 \ SYMANT〜1 \ VPTray.exe”[2005年6月23日85696]
“RemoteControl”=的“C：\程序文件\威力\ PowerDVD \ PDVDServ.exe”[2004-11-02 32768]
“ NeroFilterCheck ” =的“ C ： \窗戶\ system32 \ NeroCheck.e氙” [ 2001年7月9日155648 ]
“ GrooveMonitor ” =的“ C ： \ Program Files文件\微軟Office \ Office12 \ GrooveMonitor.exe ” [ 2006年10月27號31016 ]
“ Adobe Reader軟件高速發射” =的“ C ： \ Program Files文件\ Adobe公司\閱讀器8.0 \閱讀器\ Reader_sl.exe ” [ 2007年10月10號39792 ]
“ATIModeChange”=“Ati2mdxx.exe”[2001-09-05葷：\窗口\ System32 \ Ati2mdxx.exe]
“LTMSG”=“LTMSG.exe”[2003-07-14葷：\窗戶\ ltmsg.exe]

[ HKEY_USERS \ 。缺省\軟件\微軟\的Windows \薑黃素rentVersion \運行]
“ AdobeUpdater ” =的“ C ： \ Program Files文件\共同文件\的Adobe \ Updater5 \ AdobeUpdater.exe ” [ 2007年3月1日2321600 ]

ç ： \文件和設置\所有用戶\開始菜單\程序\啟動\
Adobe公司伽瑪Loader.lnk -葷：\程序文件\ Common Files文件\ Adobe公司\校準\ Adobe公司伽瑪Loader.exe [2007-11-22 113664]
惠普數字成像Monitor.lnk -葷：\程序文件\惠普\數碼影像\斌\ hpqtra08.exe [2003-09-16 237568]

[ HKEY_LOCAL_MACHINE \軟件\微軟\安全中心\監測\ SymantecAntiVirus ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ AuthorizedApplications \名單]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“C：\ \ Program Files文件\ \更新從HP \ \ 137903 \ \程序\ \您BackWeb - 137903.exe”=
的“ C ： \ \ Program Files文件\ \微軟Office \ \ Office12 \ \的Outlook.exe ” =
的“ C ： \ \ Program Files文件\ \微軟Office \ \ Office12 \ \ GROOVE.EXE ” =
的“ C ： \ \ Program Files文件\ \微軟Office \ \ Office12 \ \ ONENOTE.EXE ” =
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” =

R2的CX88XBAR;勝2388x縱橫雙輸入;葷：\窗口\ System32 \驅動程序\ CX88XBARDUAL.sys [2003-12-10 7040]
。

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
08年11月11日17時26分59秒的rootkit掃描
2600年5月1號的Windows Service Pack 3中的NTFS

掃描隱藏的進程...

掃描隱藏的自動啟動項...

掃描隱藏的文件...

掃描順利完成
隱藏的文件： 0

************************************************** ************************
。
------------------------其他正在運行的進程----------------------- -
。
ç ： \窗戶\ system32 \ ati2evxx.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccSetMgr.exe
ç ： \ Program Files文件\共同文件\賽門鐵克共享\ ccEvtMgr.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ DefWatch.exe
葷：\程序文件\ Photodex \ ProShowGold \ scsiaccess.exe
ç ： \ Program Files文件\利用Symantec AntiVirus \ Rtvscan.exe
葷：\程序文件\更新從HP \ 137903 \程序\您BackWeb - 137903.exe
葷：\窗口\ System32 \ hpzipm12.exe
。
************************************************** ************************
。
完成時間：08年11月11日17時34分29秒-機已重新啟動
ComboFix是，隔離- files.txt 2008年11月12日0時34分22秒
ComboFix2.txt 2008年11月11日18點47分44秒

預運行：89064681472字節的可用
運行後：八百九十零億五千五百六十二萬九千三百十二字節的可用

239 ---民間文學--- 2008年10月30日三時01分59秒

類似的主題
線	線程入門	論壇	答复	最後發表
回复： iexplore.exe病毒	mpenney	病毒，間諜軟件和安全	6	08年11月3日 14:11
Iexplore病毒和一些呢？	rreiss	病毒，間諜軟件和安全	1	2008年10月19號 18:46
Iexplore.exe病毒再次！	davejess00	病毒，間諜軟件和安全	18	2008年10月13號 10:16
IEXPLORER.EXE病毒請審查劫持日誌	nitingaur	病毒，間諜軟件和安全	15	2008年09月22日 16:40
Iexplore.exe病毒	kfarns00	病毒，間諜軟件和安全	9	2007年12月4號 14點26分