[evilfantasy]

下载ComboFix由潜艇从以下链接。请务必将它保存到顶部的 桌面。

链接＃ 1
链接＃ 2

**注：重要的是，它是直接保存到桌面

关闭所有打开Web浏览器。 （火狐时， Internet Explorer等） ，开始之前ComboFix 。

暂时 丧失能力 你的 防病毒和任何 反间谍 实时保护 前 执行扫描。点击 此链接 看到一个列表的安全计划，应该被禁用，以及如何禁用。

双击combofix.exe ＆按照提示操作。

对于Windows XP系统安装故障恢复控制台：

-如果您使用的是Windows XP和尚未恢复控制台安装，请确保您的Internet连接处于活动状态（如果可能的话） ，然后点击 是。
-如果由于某种原因，您的互联网工作不按 否。
- 如果您没有使用Windows XP中，您将不会提示。
-当提示接受EULA点击 行。
-接受微软的EULA （点击 是） 。
-当你被告知，钢筋混凝土已正确安装单击 是 继续扫描恶意软件。

当完成时，将产生ComboFix日志您。
邮政的 ComboFix日志 和一个新的 HijackThis日志 在您下次答复。

重要提示： 不要mouseclick ComboFix的窗口同时运行。这可能会导致它摊档。

记得要重新启用您的防病毒和反间谍保护时ComboFix完成。

[lolli_pop]

ComboFix是08-10-28.01 -彗星08年10月28日16:45:41.2 - 32的X86
微软Windows XP家庭版5.1.2600.2.1252.1.1033.18.200 [格林尼治0:00]
从运行中：C：\ Documents和Settings \彗星\桌面\ ComboFix.exe
*创建了一个新的还原点
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç ： \窗口\ Downloaded Program Files文件\ setup.inf
ç：\的Windows \ System32 \ dao350.dll
ç：\的Windows \ System32 \ spptfqyx.ini
ç：\的Windows \ System32 \ xhqmppgy.ini

。
(((((((((((((((((((((((((创建的文件从2008年9月28日至08年10月28日))))))))))) ))))))))))))))))))))
。

08年10月26日23:17。 08年10月26日23时16 410976 - 1 ------荤：\窗口\ System32 \ deploytk.dll
08年10月26日23时02分。 08年10月26日23时02 <目录Ḏ--------荤：\ Program Files文件\ Malwarebytes'反恶意软件
08年10月26日23时02分。 08年10月26日23时02 <目录Ḏ--------荤：\ Documents和Settings \彗星\应用数据\ Malwarebytes
08年10月26日23时02分。 08年10月26日23时02 <目录Ḏ--------荤：\ Documents和设置\所有用户\应用数据\ Malwarebytes
08年10月26日23时02分。 2008年10月22日16:10 38496 - 1 ------荤：\窗口\ System32 \驱动程序\ mbamswissarmy.sys
08年10月26日23时02分。 2008年10月22日16:10 15504 - 1 ------荤：\窗口\ System32 \驱动程序\ mbam.sys
08年10月26日19:27。 08年10月26日19:27 <目录Ḏ--------荤：\ Program Files文件\ SUPERAntiSpyware
08年10月26日19:27。 08年10月26日19:27 <目录Ḏ--------荤：\ Documents和Settings \彗星\应用数据\ SUPERAntiSpyware.com
08年10月26日19:27。 08年10月26日19:27 <目录Ḏ--------荤：\ Documents和设置\所有用户\应用数据\ SUPERAntiSpyware.com
08年10月18日15时04分。 08年10月18日15时04 <目录Ḏ--------荤：\ Documents和设置\所有用户\应用数据\ qfkhglkl

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ） ）
。
08年10月15日17时57 332800 ----胡ç：\的Windows \ System32 \ Dllcache文件\ netapi32.dll
2008年10月3日18时41分6066176 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ieframe.dll
2008-09-15 12点57分1846016 ----胡荤：\窗口\ System32 \ Win32k.sys中
2008-09-15 12点57分1846016 ----胡ç：\的Windows \ System32 \ Dllcache文件\ Win32k.sys中
2008年8月31日13时51分97928 ----胡荤：\窗口\ System32 \驱动程序\ avgldx86.sys
2008年8月28日十一时04 333056 ----胡荤：\窗口\ System32 \驱动程序\ srv.sys
2008年8月28日十一时04 333056 ----胡ç：\的Windows \ System32 \ Dllcache文件\ srv.sys
2008-08-27 9时24 3593216 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ Mshtml.dll中
2008年8月25日9时38分70,656 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ie4uinit.exe
2008年8月25日9时38分13,824 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ieudinit.exe
2008年8月23日六时56 635848 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ Iexplore.exe的
2008年8月23日6时54分161792 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ieakui.dll
2008年8月14日11:00 2180352 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ntoskrnl.exe中
2008年8月14日10点58 2136064 ----胡荤：\窗口\ System32 \ ntoskrnl.exe中
2008年8月14日10点58 2136064 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ntkrnlmp.exe
2008年8月14日10时五十一138368 ----胡ç：\的Windows \ System32 \ Dllcache文件\ Afd.sys的
2008年8月14日10时22分2057728 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ntkrnlpa.exe
2008年8月14日10时22分2015744 ----胡荤：\窗口\ System32 \ ntkrnlpa.exe
2008年8月14日10时22分2015744 ------碳化钨：\的Windows \ System32 \ Dllcache文件\ ntkrpamp.exe
2007年7月21日23时46 2,244 ----胡荤：\ Documents和Settings \彗星\应用数据\ filterclsid.dat
。

(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ MsnMsgr ” =的“ C ： \ Program Files文件\的MSN Messenger \ MsnMsgr.Exe ” [ 2007年1月19日5674352 ]
“丝径”=的“C：\ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe”[07年6月17日68856]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日15360 ]

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“LaunchApp”=“Alaunch”[X]
“ntiMUI”=的“C：\ Program Files文件\星技Infosystems有限公司\俪CD和DVD -机7 \ ntiMUI.exe”[2005年5月11日45056]
“RemoteControl”=的“C：\ Program Files文件\威力\ PowerDVD \ PDVDServ.exe”[二零零四年十一月二日32768]
“ IMJPMIG8.1 ” =的“ C ： \窗口\的IME \ imjp8_1 \ IMJPMIG.E氙气” [ 2004年8月4日208952 ]
“ MSPY2002 ” =的“ C ： \窗口\ system32 \的IME \ PINTLGNT \ ImScI nst.exe ” [ 2004年8月4日59392 ]
“ PHIME2002ASync ” =的“ C ： \窗口\ system32 \的IME \ TINTLGNT \ TINTSETP.EXE ” [ 2004年8月4日455168 ]
“ PHIME2002A ” =的“ C ： \窗口\ system32 \的IME \ TINTLGNT \锡TSETP.EXE ” [ 2004年8月4日455168 ]
“eRecoveryService”=的“C：\宏基\赋权技术\ eRecovery \ Monitor.exe”[日期2005-11-16 397312]
“SunJavaUpdateSched”=的“C：\ Program Files文件\爪哇\ jre6 \本\ jusched.exe”[2008年10月26日13.66万]
“BJCFD”=的“C：\ Program Files文件\ BroadJump \客户基金会\ CFD.exe”[2003年1月27日376912]
“Broadbandadvisor.exe”=的“C：\ Program Files文件\维尔京宽带\顾问\ Broadbandadvisor.exe”[2007年1月24日二百零三万七千二百四十〇 ]
“InstantAccess”=的“C：\ Program Files文件\ TextBridge临千年\斌\ InstantAccess.exe”[2001-10-04 49152]
“TkBellExe”=的“C：\ Program Files文件\ Common Files文件\房地产\ Update_OB \ realsched.exe”[2007年10月11日185632]
“ QuickTime的工作” =的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” [ 2008年3月28日413696 ]
“ iTunesHelper ” =的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ” [ 2008年3月30号267048 ]
“AVG8_TRAY”=的“C：\ PROGRA〜1 \的AVG \ AVG8 \ avgtray.exe”[2008-09-29 1234712]
“SiSPower”=“SiSPower.dll”[2005年7月13日ç：\的Windows \ System32 \ SiSPower.dll]
“录音师”=“SOUNDMAN.EXE”[2005年8月17日ç：\的Windows \ soundman.exe]
“SMSERIAL”=“sm56hlpr.exe”[2005年6月6日ç：\的Windows \ sm56hlpr.exe]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日15360 ]

ç ： \的Documents and Settings \所有用户\开始菜单\程序\启动\
Adobe Reader软件高速Launch.lnk - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ reader_sl.exe [ 2004年12月14号29696 ]
实用Tray.lnk -荤：\窗口\ System32 \ sistray.exe [2006-08-01 262144]
Bluetooth.lnk -荤：\ Program Files文件\ WIDCOMM \蓝牙软件\ BTTray.exe [2006-06-07 553021]
友立相片Express 3.0的东南日历Checker.lnk -荤：\ Program Files文件\友立资讯\友立相片快3.0东南\ CalCheck.exe [2007-05-19 61440]
ScanPanel.lnk -荤：\ Program Files文件\信托\易Webscan 19200 \ ScanPanel \ ScnPanel.exe [2007-06-06 3043409]
的EXIF启动S.lnk -荤：\ Program Files文件\ FinePixViewerS \ QuickDCF2.exe [2007-10-27三○三一○四]
Adobe公司伽玛Loader.lnk -荤：\ Program Files文件\ Common Files文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe [2008年8月5日113664]

[ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” =的“ C ： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2008年5月13日77824 ]

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
2008年7月23日16时28 352256 ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \窗口]
“ AppInit_DLLs ” = avgrsstx.dll

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =
的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ” =
的“ C ： \ \ Program Files文件\ \ utorrent \ \ utorrent.exe ” =
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” =
的“ C ： \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ” =
的“ C ： \ \ Program Files文件\ \的AVG \ \ AVG8 \ \ avgupd.exe ” =

R1 AvgLdx86; AVG的阿维装载机驱动x86; ç：\的Windows \ System32 \驱动程序\ avgldx86.sys [2008-08-31 97928]
R2的avg8wd; AVG8看门狗;荤：\ PROGRA〜1 \的AVG \ AVG8 \ avgwdsvc.exe [2008-08-31 231704]
R2的int15.sys; int15.sys，荤：\宏基\赋权技术\ eRecovery \ int15.sys [2005-01-13 69632]
R2的JavaQuickStarterService; Java快速起动;荤：\ Program Files文件\爪哇\ jre6 \本\ jqs.exe [2008年10月26日152984]
三ss_bus;三星移动USB设备1.0驱动器（WDM）; ç：\的Windows \ System32 \驱动\ ss_bus.sys [2005年1月24日52384]
三ss_mdfl;三星移动USB Modem 1.0滤波器;荤：\窗口\ System32 \驱动\ ss_mdfl.sys [2005年1月24日6064]
三ss_mdm;三星移动USB Modem 1.0驱动程序;荤：\窗口\ System32 \驱动\ ss_mdm.sys [2005年1月24日84512]

*新创建的服务* - INT15.SYS
。
内容'计划任务的文件夹

2008年10月22日ç：\的Windows \任务\ AppleSoftwareUpdate.job
-荤：\ Program Files文件\苹果软件更新\ SoftwareUpdate.exe [2008年4月11日17时57分]
。
。
补充扫描------- -------
。
火狐- ：公司简介-荤：\ Documents和Settings \彗星\应用数据\ Mozilla的\火狐\ Profiles文件\ mrpo7rd4.default \
火狐- ：prefs.js文件- SEARCH.DEFAULTURL - 1
火狐- ：prefs.js文件- STARTUP.HOMEPAGE - www.google.co.uk |www.google.co.uk
法郎- ：插件-荤：\ Program Files文件\ Adobe公司\的Acrobat 7.0 \器\浏览器\下存在Nppdf32.dll
法国法郎- ：插件- ç ： \ Program Files文件\的iTunes \ Mozilla浏览器插件\ npitunes.dll
法郎- ：插件-荤：\ Program Files文件\爪哇\ jre6 \本\ new_plugin \ npdeploytk.dll
法郎- ：插件-荤：\ Program Files文件\爪哇\ jre6 \本\ new_plugin \ npjp2.dll
法郎- ：插件-荤：\ Program Files文件\ Mozilla Firefox浏览器\插件\ npdeploytk.dll
。

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
08年10月28日16时47分36秒的rootkit扫描
2600年5月1号的Windows Service Pack 2中的FAT NTAPI

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
完成时间：2008年10月28号16时48分32秒
ComboFix2.txt 2007年11月12日22时53分46秒
ComboFix是，隔离- files.txt 2008年10月28日十六点48分30秒

前运行：七六六五五八二○八○字节自由
后运行：7917305856字节自由

视窗- KB310994 - SP2的家庭BootDisk - ENU.exe
[的Boot Loader ]
超时= 2
默认=多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 2 ） \窗县
[操作系统]
ç ： \ CMDCONS \ BOOTSECT.DAT = “ Microsoft Windows故障恢复控制台” / cmdcons
多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 2 ） \窗口= “微软使用Windows XP Home Edition ” / noexecute =选择启用/ fastdetect

148 ---民间文学--- 2008年10月24号23点26分39秒



Hijack This的日志：


日志文件的趋势科技了HijackThis v2.0.2
扫描储存于16时49分55秒，就28/10/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16735 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe
ç ： \ Program Files文件\ WIDCOMM \蓝牙软件\斌\ btwdins.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgrsx.exe
ç ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe
荤：\宏基\赋权技术\ eRecovery \ Monitor.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe
ç ： \ Program Files文件\维珍宽带\顾问\ Broadbandadvisor.exe
荤：\ Program Files文件\ TextBridge临千年\斌\ InstantAccess.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \ Program Files文件\的iTunes \ iTunesHelper.exe
ç ： \窗口\ sm56hlpr.exe
ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \窗口\ system32 \ sistray.exe
ç ： \ Program Files文件\ WIDCOMM \蓝牙软件\ BTTray.exe
荤：\ Program Files文件\友立资讯\友立相片Express 3.0的东南\ CalCheck.exe
荤：\ Program Files文件\信托\易Webscan 19200 \ ScanPanel \ ScnPanel.exe
ç ： \ Program Files文件\苹果\斌\ iPodService.exe
荤：\ Program Files文件\ FinePixViewerS \ QuickDCF2.exe
ç ： \ PROGRA 〜 1 \ WIDCOMM \ BLUETO 〜 1 \ BTSTAC 〜 1
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \窗口\ Explorer.exe的
荤：\ Program Files文件\ 360安全\ Analyse.exe.exe

R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.google.co.uk/
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索栏= http://us.rd.yahoo.com/customize/ie/...ch/search.html
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride = *.地方
氧- BHO ： AcroIEHlprObj类- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： StumbleUpon公司发射器- （ 145B29F4 - A56B - 4b90 - BBAC - 45784EBEBBB7 ） - ç ： \ Program Files文件\ StumbleUpon公司\ StumbleUponIEBar.dll
氧- BHO ： WormRadar.com IESiteBlocker.NavFilter - （ 3CA2F312 - 6F6E - 4B53 - A66E - 4E65E497C8C0 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgssie.dll
氧- BHO ： Java （商标）插件SSV助手- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\ Java的\ jre6 \斌\ ssv.dll
氧- BHO ：的Windows Live登录助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll
氧- BHO ： AVG安全工具栏- （ A057A204 -广管局投诉- 4D26 - 9990 - 79A187E2698E ） - ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ AVGTOO 〜 1.DLL
氧- BHO ：谷歌工具栏助手- （ AA58ED58 - 01DD - 4d91 - 8333 - CF10577473F7 ） - ç ： \ Program Files文件\谷歌\ googletoolbar1.dll
氧- BHO ：谷歌工具栏的通知BHO - （ AF69DE43 - 7D58 - 4638 - B6FA - CE66B5AD205D ） - ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ 3.1.807.1746 \瑞士法郎g.dll
氧- BHO ： Java （商标）插件2 SSV助手- （ DBC80044 - A445 - 435b - BC74 - 9C25C1C588A9 ） - ç ： \ Program Files文件\ Java的\ jre6 \斌\ jp2ssv.dll
氧- BHO ： JQSIEStartDetectorImpl - （ E7E6F031 - 17CE - 4C07 - BC86 - EABFE594F69C ） - ç ： \ Program Files文件\ Java的\ jre6 \库\部署\实验台\即\ jqs_plugin.dll
氧- BHO ： EpsonToolBandKicker类- （ E99421FB - 68DD - 40F0 - B4AC - B7027CAE2F1A ） - ç ： \ Program Files文件\爱普生\爱普生网络到页\爱普生网络到Page.dll
臭氧-工具栏：与谷歌- （ 2318C2B1 - 4965 - 11d4 - 9B18 - 009027A5CD4F ） - ç ： \ Program Files文件\谷歌\ googletoolbar1.dll
臭氧-工具栏：爱普生网络到页面- （ EE5D279F - 081B - 4404 - 994D - C6B60AAEBA6D ） - ç ： \ Program Files文件\爱普生\爱普生网络到页\爱普生网络到Page.dll
臭氧-工具栏： StumbleUpon公司工具栏- （ 5093EB4C - 3E93 - 40AB - 9266 - B607BA87BDC8 ） - ç ： \ Program Files文件\ StumbleUpon公司\ StumbleUponIEBar.dll
臭氧-工具栏： AVG安全工具栏- （ A057A204 -广管局投诉- 4D26 - 9990 - 79A187E2698E ） - ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ AVGTOO 〜 1.DLL
物理学- HKLM \ .. \运行： [ LaunchApp ] Alaunch
ø4 - HKLM \ .. \运行：[ntiMUI]荤：\ Program Files文件\星技Infosystems在\俪CD和DVD -机7 \ ntiMUI.exe
物理学- HKLM \ .. \运行： [ RemoteControl ]的“ C ： \ Program Files文件\连\ PowerDVD 』 \ PDVDServ.exe ”
物理学- HKLM \ .. \运行： [ IMJPMIG8.1 ]的“ C ： \窗口\的IME \ imjp8_1 \ IMJPMIG.EXE ” /宠爱/ RemAdvDef / Migration32
物理学- HKLM \ .. \运行： [ MSPY2002 ] ç ： \窗口\ system32 \的IME \ PINTLGNT \ ImScInst.exe /同步
物理学- HKLM \ .. \运行： [ PHIME2002ASync ] ç ： \窗口\ system32 \的IME \ TINTLGNT \ TINTSETP.EXE /同步
物理学- HKLM \ .. \运行： [ PHIME2002A ] ç ： \窗口\ system32 \的IME \ TINTLGNT \ TINTSETP.EXE / IMEName
物理学- HKLM \ .. \运行： [ SiSPower ] Rundll32.exe SiSPower.dll ， ModeAgent
物理学- HKLM \ .. \运行： [音效] SOUNDMAN.EXE
ø4 - HKLM \ .. \运行：[eRecoveryService]荤：\宏基\赋权技术\ eRecovery \ Monitor.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe ”
物理学- HKLM \ .. \运行： [ BJCFD ] ç ： \ Program Files文件\ BroadJump \客户基金会\ CFD.exe
物理学- HKLM \ .. \运行： [ Broadbandadvisor.exe ]的“ C ： \ Program Files文件\维珍宽带\顾问\ Broadbandadvisor.exe ” /自动
ø4 - HKLM \ .. \运行：[InstantAccess]荤：\ Program Files文件\ TextBridge临千年\斌\ InstantAccess.exe /小时
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ iTunesHelper ]的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ”
物理学- HKLM \ .. \运行： [ AVG8_TRAY ] ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgtray.exe
ø4 - HKLM \ .. \运行：[SMSERIAL] sm56hlpr.exe
物理学- HKCU \ .. \运行： [ MsnMsgr ]的“ C ： \ Program Files文件\的MSN Messenger \ MsnMsgr.Exe ” /背景
物理学- HKCU \ .. \运行： [工作分组] ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
ø4 -启动：彗星Screensaver.lnk =荤：\ Program Files文件\彗星屏幕\彗星Screensaver.exe
ø4 -启动：IMVU.lnk =荤：\ Program Files文件\ IMVU \ IMVUClient.exe
ø4 -启动：配件
物理学-全球启动： Adobe Reader软件高速Launch.lnk = C的： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ reader_sl.exe
物理学-全球启动：实用Tray.lnk = C的： \窗口\ system32 \ sistray.exe
物理学-全球启动： Bluetooth.lnk = ？
ø4 -全球启动：友立相片Express 3.0的东南日历Checker.lnk =荤：\ Program Files文件\友立资讯\友立相片Express 3.0的东南\ CalCheck.exe
ø4 -全球启动：ScanPanel.lnk =荤：\ Program Files文件\信托\易Webscan 19200 \ ScanPanel \ ScnPanel.exe
ø4 -全球启动：启动S.lnk的EXIF =？
物理学-全球启动： Adobe公司伽玛Loader.lnk = C的： \ Program Files文件\共同文件\ Adobe公司\校准\ Adobe公司伽玛Loader.exe
O8 -额外上下文菜单项目：添加到Windows与现场的收藏- http://favorites.live.com/quickadd.aspx
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O8 -额外上下文菜单项目：发送给＆蓝牙- ç ： \ Program Files文件\贝尔\蓝牙软件\ btsendto_ie_ctx.htm
O8 -额外上下文菜单项目：发送给与蓝牙设备... - ç ： \ Program Files文件\ WIDCOMM \蓝牙软件\ btsendto_ie_ctx.htm
O8 -额外上下文菜单项目： StumbleUpon公司PhotoBlog它！ -水库： / / StumbleUponIEBar.dll / blogimage
O9 -额外的按钮： StumbleUpon公司- （ 75C9223A - 409A - 4795 - A3CA - 08DE6B075B4B ） - ç ： \ Program Files文件\ StumbleUpon公司\ StumbleUponIEBar.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮： @ btrez.dll ， -4015 - （ CCA281CA - C863 - 46ef - 9331 - 5C8D4460577F ） - ç ： \ Program Files文件\ WIDCOMM \蓝牙软件\ btsendto_ie.htm
O9 -额外的'工具' menuitem ： @ btrez.dll ， -12650 - （ CCA281CA - C863 - 46ef - 9331 - 5C8D4460577F ） - ç ： \ Program Files文件\ WIDCOMM \蓝牙软件\ btsendto_ie.htm
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器： （ 20A60F0D - 9AFA - 4515 - A0FD - 83BD84642501 ） （跳棋类） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 -柴油机微粒过滤器： （三千○五十二点八二三万- 99f7 - 4bb4 - 88d8 - fa1d4f56a2ab ） （ YInstStarter类） - ç ： \ Program Files文件\雅虎\共同\ yinsthelper.dll
O16 -柴油机微粒过滤器： （ 48DD0448 - 9209 - 4F81 - 9F6D - D83562940134 ） （供应载控制） - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 -柴油机微粒过滤器： （ 4F1E5B1A - 2A80 - 42CA - 8532 - 2D05CB959537 ） （的MSN图片上传工具） - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 -柴油机微粒过滤器： （ 5C051655 - FCD5 - 4969 - 9182 - 770EA5AA5565 ） （纸牌摊牌类） - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 -柴油机微粒过滤器： （ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） （ UnoCtrl类） - http://messenger.zone.msn.com/EN-GB/.../GAME_UNO1.cab
O16 -柴油机微粒过滤器： （ 6414512B - B978 - 451D - A0D8 - FCFDF33E833C ） （ WUWebControl类） - http://update.microsoft.com/windowsu...?1177956484625
O16 -柴油机微粒过滤器： （ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） （ MessengerStatsClient类） - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 -柴油机微粒过滤器： （ F5A7706B - B9C0 - 4C89 - A715 - 7A0C6B05DD48 ） （扫雷旗级） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O18 -协议： linkscanner - （ F274614C - 63F8 - 47D5 - A4D1 - FBDDE494F8D1 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgpp.dll
ø20 - AppInit_DLLs ： avgrsstx.dll
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服务：苹果移动设备-苹果公司- ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
O23 -服务： AVG8看门狗（ avg8wd ） -平均技术长征，氧化锶- ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe
O23 -服务：蓝牙服务（ btwdins ） - Broadcom公司。 - ç ： \ Program Files文件\ WIDCOMM \蓝牙软件\斌\ btwdins.exe
O23 -服务： FLEXnet许可服务- Macrovision的欧洲公司- ç ： \ Program Files文件\共同文件\ Macrovision的共享\ FLEXnet Publisher中\ FNPLicensingService.exe
O23 -服务：谷歌更新器服务（ gusvc ） -谷歌- ç ： \ Program Files文件\谷歌\共同\谷歌更新\ GoogleUpdaterService.exe
O23 -服务： iPod服务-苹果- ç ： \ Program Files文件\苹果\斌\ iPodService.exe
O23 -服务： Java快速入门（ JavaQuickStarterService ） - Sun Microsystems公司- ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe

-
完文件- 10971字节

[evilfantasy]

• 点击 阶段 那么 运行
• 现在型 Combofix / ü 在runbox
• 确保有一个空间之间Combofix和/ ü
• 然后按下 输入。

• 上述程序：
• 删除以下内容：
• ComboFix及其相关文件和文件夹。
• 重置时钟设置。
• 隐藏的文件扩展名，如果需要的话。
• 隐藏系统/隐藏文件，如果需要的话。
• 创造了新的，干净的还原点。

----------

运行CCleaner 。

----------

运行此在线扫描。

这种扫描仪需要Internet Explorer

使用 ESET 32在线扫描

1 。勾选 是的，我接受有关的使用条款。
2 。点击 开始
3 。当记者问，请允许ActiveX控件安装
4 。点击 开始
5 。请确保选择 删除发现威胁 并选择 扫描不需要的应用 检查标记。
6 。点击 扫描
7 。等待扫描完成
8 。使用记事本打开日志文件位于 ç ： \ Program Files文件\ EsetOnlineScanner \ log.txt
9 。 添加 那个 ç ： \ Program Files文件\ EsetOnlineScanner \ log.txt 登录到您的下一个答复。

如何运行呢？

[lolli_pop]

这是说我需要安装ActiveX，但不来的弹出或任何提示我说的客气到安装它。

[evilfantasy]

您使用的是Internet Explorer吗？

[lolli_pop]

＃版= 4
＃ OnlineScanner.ocx = 1.0.0.635
＃ OnlineScannerDLLA.dll = 1 ， 0 ， 0 ， 79
＃ OnlineScannerDLLW.dll = 1 ， 0 ， 0 ， 78
＃ OnlineScannerUninstaller.exe = 1 ， 0 ， 0 ， 49
＃vers_standard_module = 3563（20081028）
＃ vers_arch_module = 1.064 （ 20080214 ）
＃ vers_adv_heur_module = 1.064 （ 20070717 ）
＃EOSSerial = 930ac3d49230114ab36d54f68f5299bf
＃结束=完成
＃ remove_checked =真实
＃ unwanted_checked =真实
＃utc_time = 08年10月28日10时37分29秒
＃local_time = 08年10月28日10点37分29秒（0000，格林尼治标准时间）
＃国= “英国”
＃ osver = 2600年1月5日新台币Service Pack 2的
＃扫描= 283640
＃发现= 0
＃scan_time = 2537

[evilfantasy]

看起来不错。

让我知道如果您有任何问题。

禁用系统还原公用程式，以防止再次感染从旧

1 ）右键单击 我的电脑 桌面上的图标，并点击 属性。
2 ）点击 系统还原 标签。
3 ）把旁边选中复选标记 关闭系统还原在所有驱动器
4 ）点击 行 按钮。
5 ）系统将提示您重新启动计算机。点击 是 按钮。

现在重新启用系统还原

要重新启用系统还原实用工具，请按照步骤一至五年，并就第三步取消选中复选标记旁边的关闭系统还原在所有驱动器' 。

1 ）右键单击 我的电脑 桌面上的图标，并点击 属性。
2 ）点击 系统还原 标签。
3 ）取消选中复选标记旁边的 关闭系统还原在所有驱动器
4 ）点击 行 按钮。

----------

使用 Secunia的软件督察 检查过时的软件。
过时的软件安全漏洞，这些漏洞的恶意软件，可以充分利用。

• 点击 从现在开始
• 勾选 系统启用彻底检查。
• 点击 开始
• 允许扫描完成和向下滚动，看看是否有更新的需要。
• 更新任何上市。

----------

转到 微软的Windows Update 并获得所有关键更新。

----------

请确保您所有的安全程序是最新的和运行扫描与他们定期。

以下是一些伟大的免费工具，帮助您避免再次感染。这些工具使用很少或没有的资源，以便将不会降低您的PC 。

关注浏览器的安全性？考虑使用 Mozilla Firefox浏览器3.0。

为了防止未知的应用程序被安装在您计算机上安装 WinPatrol 2008年
* 使用Winpatrol保护您的计算机免受恶意软件

我会建议您使用 SiteAdvisor的。 SiteAdvisor的网站上利率的商业惯例和垃圾邮件。安全等级的McAfee SiteAdvisor的是基于自动安全测试的网站。

SpywareBlaster -确保您的Internet Explorer ，使其难以这些ActiveX程序在计算机上运行。停止某些Cookie被添加到您的计算机运行时Mozilla基金会的浏览器如Firefox 。
* 使用SpywareBlaster来保护您的计算机免受间谍软件和恶意软件
*如果你不知道什么是ActiveX控件，请参阅 这里

退房 维持自己的安全在Web 的技巧和免费的工具，让您安全的未来。

还见 降低电脑？它可能不是恶意软件 免费清洁/维护工具，以帮助保持您的计算机上运行平稳。

[lolli_pop]

我没有你所说的一切，但是今天当我跑的AVG的木马还在那里有Adaware通用的东西不管他们。 ：（

[evilfantasy]

你刷新还原点？

报价：

禁用系统还原公用程式，以防止再次感染从旧

1 ）右键单击 我的电脑 桌面上的图标，并点击 属性。
2 ）点击 系统还原 标签。
3 ）把旁边选中复选标记 关闭系统还原在所有驱动器
4 ）点击 行 按钮。
5 ）系统将提示您重新启动计算机。点击 是 按钮。

现在重新启用系统还原

要重新启用系统还原实用工具，请按照步骤一至五年，并就第三步取消选中复选标记旁边的关闭系统还原在所有驱动器' 。

1 ）右键单击 我的电脑 桌面上的图标，并点击 属性。
2 ）点击 系统还原 标签。
3 ）取消选中复选标记旁边的 关闭系统还原在所有驱动器
4 ）点击 行 按钮。

[lolli_pop]

是的，我是第一次你告诉我，我跑的AVG再度有没有产生恶意，但今天我做这个，他们就在那里了。