|
|
#1
2008年09月21 , 20:09
|
|||
|
|||
Virtumonde.dll , vundo这是我的劫持日志...
像我说的标题hhave了病毒,而我相信这virtumonde.dll ,其中香港专业教育学院被告知是一种vundo 。我一直haveing一个缓慢的计算机有很多弹出的反病毒和ristry洁净...和古怪的东西,我不能更新我的计算机上的内容??????请如果有人能告诉我有什么需要做的....感谢我的继承人劫持日志
日志文件的趋势科技了HijackThis v2.0.2 扫描储存于上午04时55分10秒,在2008年9月22日 平台: Windows XP SP3的(使用WINNT 2600年1月5日) MSIE : Internet Explorer的v7.00 ( 7.00.6000.16674 ) 启动模式:正常 正在运行的进程: ç : \窗口\ System32 \ smss.exe ç : \窗口\ system32 \ winlogon.exe ç : \窗口\ system32 \ Services.exe的 ç : \窗口\ system32 \ Lsass.exe中 ç : \窗口\ system32 \ Ati2evxx.exe ç : \窗口\ system32 \ svchost.exe ç : \窗口\ System32 \ svchost.exe ç : \窗口\ system32 \ Ati2evxx.exe ç : \窗口\ System32 \ WLTRYSVC.EXE ç : \窗口\ System32 \ bcmwltry.exe ç : \窗口\ system32 \ spoolsv.exe ç : \ PROGRA 〜 1 \ McAfee的\海安\ mcmscsvc.exe ç : \ Program Files文件\共同文件\ McAfee的\ Mehr通讯社报道\ mcnasvc.exe ç : \ PROGRA 〜 1 \常见〜 1 \ McAfee的\ mcproxy \ mcproxy.exe ç : \ Program Files文件\的McAfee \ VirusScan \ McShield.exe ç : \ Program Files文件\ McAfee的\强积金\ MPFSrv.exe ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SAService.exe ç : \窗口\ system32 \ svchost.exe ç : \窗口\ Explorer.exe的 ç : \ PROGRA 〜 1 \ mcafee.com \代理\ mcagent.exe ç : \窗口\ stsystra.exe ç : \ Program Files文件\了Synaptics \ SynTP \ SynTPEnh.exe ç : \窗口\ system32 \ WLTRAY.exe ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ jusched.exe ç : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ MOM.EXE ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.exe ç : \窗口\ system32 \ Ctfmon.exe会 ç : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ ccc.exe ç : \ PROGRA 〜 1 \ McAfee的\ VIRUSS 〜 1 \ mcsysmon.exe ç : \窗口\ system32 \ wscntfy.exe ç : \窗口\ system32 \ Msiexec.exe的 ç : \ Program Files文件\ Windows Defender的\ MsMpEng.exe ç : \ Program Files文件\ Windows Defender的\ MSASCui.exe ç : \窗口\ system32 \ taskmgr.exe ç : \ Program Files文件\的Internet Explorer \ iexplore.exe ç : \桌面\趋势科技\了HijackThis \ HijackThis.exe 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 受体1 - HKLM \软件\微软\的Internet Explorer \主,搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \软件\微软\的Internet Explorer \主,初始页= http://go.microsoft.com/fwlink/?LinkId=69157 臭氧-工具栏: McAfee SiteAdvisor的- ( 0BF43445 - 2F28 - 4351 - 9252 - 17FE6E806AA0 ) - ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.dll 物理学- HKLM \ .. \运行: [ SigmatelSysTrayApp ] stsystra.exe 物理学- HKLM \ .. \运行: [ SynTPEnh ] ç : \ Program Files文件\了Synaptics \ SynTP \ SynTPEnh.exe 物理学- HKLM \ .. \运行: [ Broadcom公司无线产品经理的UI ] ç : \窗口\ system32 \ WLTRAY.exe 物理学- HKLM \ .. \运行: [ StartCCC ]的“ C : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ CLIStart.exe ” 物理学- HKLM \ .. \运行: [ SunJavaUpdateSched ]的“ C : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ jusched.exe ” 物理学- HKLM \ .. \运行: [ RoxioDragToDisc ]的“ C : \ Program Files文件\的Roxio \轻松媒体造物主7 \拖放到光盘\ DrgToDsc.exe ” 物理学- HKLM \ .. \运行: [ QuickTime的工作]的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime 物理学- HKLM \ .. \运行: [ SiteAdvisor的]的“ C : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.exe ” 物理学- HKLM \ .. \运行: [ McENUI ] ç : \ PROGRA 〜 1 \ McAfee的\ MHN \ McENUI.exe /隐藏 物理学- HKLM \ .. \运行: [ mcagent_exe ] ç : \ Program Files文件\ McAfee.com \代理\ mcagent.exe / runkey 物理学- HKLM \ .. \运行: [ Windows Defender会]的“ C : \ Program Files文件\的Windows Defender \ MSASCui.exe ”隐藏 物理学- HKLM \ .. \的RunOnce : [ SpybotDeletingA5528 ]命令/炭删除的“ C : \窗口\ SchedLgU.Txt ” 物理学- HKLM \ .. \的RunOnce : [ SpybotDeletingC6845 ]指令/炭删除的“ C : \窗口\ SchedLgU.Txt ” 物理学- HKCU \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会 物理学- HKCU \ .. \运行: [ LogitechSetup ]为D : \安装\安装程序/启动/重新启动/ L的:埃努 物理学- HKCU \ .. \运行: [ DelayShred ] ç : \ PROGRA 〜 1 \ McAfee的\ mshr \ ShrCL.EXE / P10 /质量控制: \ DOCUME 〜 1 \管理员〜 1 \当地人〜 1 \ TEMPOR 〜 1 \内容。 IE5 \ 13H31947 \ KB4564 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \当地人〜 1 \ TEMPOR 〜 1 \ Content.IE5 \ 3P4O3QQE \ KB6712 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \当地人〜 1 \ TEMPOR 〜 1 \ Content.IE5 \ H9JXXVQS \ KB7678 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD9100 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD9500 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD8A94 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD4B54 〜 1.SH ! 物理学- HKCU \ .. \的RunOnce : [ SpybotDeletingB6548 ]命令/炭删除的“ C : \窗口\ SchedLgU.Txt ” 物理学- HKCU \ .. \的RunOnce : [ SpybotDeletingD1472 ]指令/炭删除的“ C : \窗口\ SchedLgU.Txt ” 物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户本地服务' ) 物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户的网络服务' ) 物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户'系统' ) 物理学- HKUS \的S - 1 - 5 - 18 \ .. \的RunOnce : [ WUAppSetup ] ç : \ Program Files文件\共同文件\ logishrd \ WUApp32.exe电压0x046d磷0x08d9氟视频米罗技三维10.5 。 1.2023 (用户'系统' ) 物理学- HKUS \ 。缺省\ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户默认用户' ) 物理学- HKUS \ 。缺省\ .. \的RunOnce : [ WUAppSetup ] ç : \ Program Files文件\共同文件\ logishrd \ WUApp32.exe电压0x046d磷0x08d9氟视频米罗技三维10.5.1.2023 (用户的默认用户' ) O8 -额外上下文菜单项目:汇出至Microsoft Excel -水库: / /炭: \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000 O9 -额外的按钮: (无姓名) - ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll O9 -额外的'工具' menuitem : Sun公司的Java控制台- ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll O9 -额外的按钮: Skype公司- ( 77BF5300 - 1474 - 4EC7 - 9980 - D32B190E9B07 ) - ç : \窗口\ system32 \的Shdocvw.dll O9 -额外的按钮:研究- ( 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ) - ç : \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL O9 -额外的按钮: (无姓名) - ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的'工具' menuitem : Spybot蠕虫-搜索和摧毁配置- ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的按钮: (无姓名) - ( e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ) - ç : \窗口\网络诊断\ xpnetdiag.exe O9 -额外的'工具' menuitem : @ xpsp3res.dll , -20001 - ( e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ) - ç : \窗口\网络诊断\ xpnetdiag.exe O9 -额外的按钮: Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O9 -额外的'工具' menuitem : Windows Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O18 -协议: linkscanner - ( F274614C - 63F8 - 47D5 - A4D1 - FBDDE494F8D1 ) - (没有文件) O18 -协议: skype4com - ( FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ) - ç : \ PROGRA 〜 1 \常见〜 1 \ Skype的\ SKYPE4 〜 1.DLL ø20 - AppInit_DLLs : avgrsstx.dll zlpxgp.dll O23 -服务:阿提热键轮询- ATI Technologies公司- ç : \窗口\ system32 \ Ati2evxx.exe O23 -服务: ATI的智能-未知所有者- ç : \窗口\ system32 \ ati2sgag.exe O23 -服务: LVSrvLauncher -罗技公司- ç : \ Program Files文件\共同文件\ LogiShrd \ SrvLnch \ SrvLnch.exe O23 -服务: McAfee的服务( mcmscsvc ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\海安\ mcmscsvc.exe O23 -服务: McAfee的网络代理( McNASvc ) - McAfee公司- ç : \ Program Files文件\共同文件\ McAfee的\ Mehr通讯社报道\ mcnasvc.exe O23 -服务: McAfee的扫描仪( McODS ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\ VIRUSS 〜 1 \ mcods.exe O23 -服务: McAfee的代理服务( McProxy ) - McAfee公司- ç : \ PROGRA 〜 1 \常见〜 1 \ McAfee的\ mcproxy \ mcproxy.exe O23 -服务: McAfee的实时扫描( McShield ) - McAfee公司- ç : \ Program Files文件\的McAfee \ VirusScan \ McShield.exe O23 -服务: McAfee的SystemGuards ( McSysmon ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\ VIRUSS 〜 1 \ mcsysmon.exe O23 -服务: McAfee个人防火墙服务( MpfService ) - McAfee公司- ç : \ Program Files文件\ McAfee的\强积金\ MPFSrv.exe O23 -服务: SiteAdvisor服务-未知所有者- ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SAService.exe O23 -服务:戴尔无线局域网托盘服务( wltrysvc ) -未知所有者- ç : \窗口\ System32 \ WLTRYSVC.EXE - 文件结尾- 7660字节 
|
|
#2
2008年09月21 , 21:28
|
|||
|
|||
|
Virtumonde.dll , vundo这是我的劫持日志...
下载 Malwarebytes '反恶意软件( MBAM )
特注: 如果MBAM遇到文件,很难去除,你会看到1 2提示,单击确定以要么让MBAM进行消毒过程中,如果要求重新启动计算机时,请立即这样做。 ---------- 现在运行一个新的了HijackThis扫描后的日志。
__________________
 |
|
#3
2008年09月22日, 13时31分
|
|||
|
|||
|
Virtumonde.dll , vundo这是我的劫持日志...
韪我跑的malwarebytes ..的事情,它选择了这一
Malwarebytes '反恶意软件1.28 数据库版本: 1194 2600年5月1号的Windows Service Pack 3中 2008年9月22日下午八时五十五分50秒 mbam日志- 2008 - 09 - 22 ( 20-55-50 ) 。文本 扫描类型:快速扫描 物体扫描: 53105 间隔时间: 6分钟( s )款,一秒(县) 记忆过程感染: 0 内存感染: 1 注册表项感染: 10 注册表值感染: 2 注册表数据项目感染: 2 文件夹感染: 1 文件感染: 15 记忆过程感染: (没有恶意项目检测) 内存感染: ç : \窗口\ system32 \ ssqpmmNf.dll ( Trojan.Vundo.H ) - > “删除的重新开机。 受感染的注册表项: HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Explorer的\ Browser Helper物件\ ( 7b1b1537 - fcd3 - 4186 - b5b8 - e454c2fddb24 ) ( Trojan.Vundo.H ) - > “删除的重新开机。 HKEY_CLASSES_ROOT \ CLSID中\ ( 7b1b1537 - fcd3 - 4186 - b5b8 - e454c2fddb24 ) ( Trojan.Vundo.H ) - > “删除的重新开机。 HKEY_CLASSES_ROOT \水利( Malware.Trace ) - “隔离,并已成功删除。 HKEY_CURRENT_USER \软件\微软\ rdfa ( Trojan.Vundo ) - “隔离,并已成功删除。 HKEY_CURRENT_USER \软件\微软\ contim ( Trojan.Vundo ) - “隔离,并已成功删除。 HKEY_LOCAL_MACHINE \软件\微软\ dslcnnct ( Trojan.Vundo ) - “隔离,并已成功删除。 HKEY_LOCAL_MACHINE \软件\微软\ IProxyProvid呃( Trojan.Vundo ) - “隔离,并已成功删除。 HKEY_LOCAL_MACHINE \软件\微软\ FCOVM ( Trojan.Vundo ) - “隔离,并已成功删除。 HKEY_LOCAL_MACHINE \软件\微软\ RemoveRP ( Trojan.Vundo ) - “隔离,并已成功删除。 HKEY_LOCAL_MACHINE \软件\微软\ aoprndtws ( Trojan.Vundo ) - “隔离,并已成功删除。 注册表值感染: HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行\ 7c0a0557 ( Trojan.Vundo ) - “隔离,并已成功删除。 HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行\ bm7f3936cb ( Trojan.Agent ) - > “删除的重新开机。 注册表数据项目感染: HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\的LSA \通知套餐( Trojan.Vundo.H ) - “数据中: C : \窗户\ system32 \ ssqpmmnf - ”隔离,并已成功删除。 HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\的LSA \认证套餐( Trojan.Vundo ) - “数据中: C : \窗户\ system32 \ ssqpmmnf - > ”删除的重新开机。 受感染的文件夹: ç : \窗口\ system32 \ kBin02 ( Trojan.Agent ) - “隔离,并已成功删除。 文件感染: ç : \窗口\ system32 \ ssqpmmNf.dll ( Trojan.Vundo.H ) - > “删除的重新开机。 ç : \窗口\ system32 \ fNmmpqss.ini ( Trojan.Vundo.H ) - “隔离,并已成功删除。 ç : \窗口\ system32 \ fNmmpqss.ini2 ( Trojan.Vundo.H ) - “隔离,并已成功删除。 ç : \窗口\ system32 \ qwtbatxb.dll ( Trojan.Vundo ) - “隔离,并已成功删除。 ç : \窗口\ system32 \ ysirza.dll ( Trojan.Vundo ) - “隔离,并已成功删除。 ç : \窗口\ system32 \ vfcortyh.dll ( Trojan.Vundo ) - > “删除的重新开机。 ç : \的Documents and Settings \管理员\本地设置\ Temporary Internet Files文件\ Content.IE5 \ 7LVEI8GK \ upd105320 [ 1 ] ( Trojan.Vundo ) - > “删除的重新开机。 ç : \的Documents and Settings \管理员\本地设置\ Temporary Internet Files文件\ Content.IE5 \ TPEY0D0R \ nd82m0 [ 1 ] ( Trojan.Vundo ) - > “删除的重新开机。 ç : \窗口\ system32 \ mcrh.tmp ( Malware.Trace ) - “隔离,并已成功删除。 ç : \窗口\ cookies.ini ( Malware.Trace ) - “隔离,并已成功删除。 ç : \窗口\ system32 \ jyyubyyg.dll ( Trojan.Agent ) - > “删除的重新开机。 ç : \窗口\ system32 \ pac.txt ( Malware.Trace ) - “隔离,并已成功删除。 ç : \窗口\ pskt.ini ( Trojan.Vundo ) - “隔离,并已成功删除。 ç : \窗口\ BM7f3936cb.xml ( Trojan.Vundo ) - “隔离,并已成功删除。 ç : \窗口\ BM7f3936cb.txt ( Trojan.Vundo ) - “隔离,并已成功删除。 * * * 我跑了几次后,现在又表示,没有任何感染.... 我只是跑劫持..这是由于 日志文件的趋势科技了HijackThis v2.0.2 扫描储存于下午10时26分25秒,在2008年9月22日 平台: Windows XP SP3的(使用WINNT 2600年1月5日) MSIE : Internet Explorer的v7.00 ( 7.00.6000.16705 ) 启动模式:正常 正在运行的进程: ç : \窗口\ System32 \ smss.exe ç : \窗口\ system32 \ winlogon.exe ç : \窗口\ system32 \ Services.exe的 ç : \窗口\ system32 \ Lsass.exe中 ç : \窗口\ system32 \ Ati2evxx.exe ç : \窗口\ system32 \ svchost.exe ç : \ Program Files文件\ Windows Defender的\ MsMpEng.exe ç : \窗口\ System32 \ svchost.exe ç : \窗口\ system32 \ Ati2evxx.exe ç : \窗口\ System32 \ WLTRYSVC.EXE ç : \窗口\ System32 \ bcmwltry.exe ç : \窗口\ system32 \ spoolsv.exe ç : \ PROGRA 〜 1 \ McAfee的\海安\ mcmscsvc.exe ç : \ Program Files文件\共同文件\ McAfee的\ Mehr通讯社报道\ mcnasvc.exe ç : \ PROGRA 〜 1 \常见〜 1 \ McAfee的\ mcproxy \ mcproxy.exe ç : \ Program Files文件\的McAfee \ VirusScan \ McShield.exe ç : \ Program Files文件\ McAfee的\强积金\ MPFSrv.exe ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SAService.exe ç : \窗口\ system32 \ svchost.exe ç : \窗口\ Explorer.exe的 ç : \ PROGRA 〜 1 \ mcafee.com \代理\ mcagent.exe ç : \窗口\ stsystra.exe ç : \ Program Files文件\了Synaptics \ SynTP \ SynTPEnh.exe ç : \窗口\ system32 \ WLTRAY.exe ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ jusched.exe ç : \ Program Files文件\的Roxio \轻松媒体造物主7 \拖放到光盘\ DrgToDsc.exe ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.exe ç : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ MOM.EXE ç : \ Program Files文件\ Windows Defender的\ MSASCui.exe ç : \窗口\ system32 \ Ctfmon.exe会 ç : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ ccc.exe ç : \窗口\ system32 \ wuauclt.exe ç : \ Program Files文件\ Skype的\电话\ Skype.exe ç : \ PROGRA 〜 1 \ McAfee的\ VIRUSS 〜 1 \ mcsysmon.exe ç : \ Program Files文件\ Skype的\插件管理器\ skypePM.exe ç : \ Program Files文件\的Internet Explorer \ iexplore.exe ç : \窗口\ system32 \ wuauclt.exe ç : \桌面\趋势科技\了HijackThis \ HijackThis.exe 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 受体1 - HKLM \软件\微软\的Internet Explorer \主,搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \软件\微软\的Internet Explorer \主,初始页= http://go.microsoft.com/fwlink/?LinkId=69157 氧- BHO : (无姓名) - ( 04F27F39 - 1C1B - 4A4F - 8B5A - A531E364B7A6 ) - (没有文件) 氧- BHO : (无姓名) - ( 089FD14D - 132B章- 48FC - 8861 - 0048AE113215 ) - ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.dll 氧- BHO : (无姓名) - ( 12637832 - 85DB - 4C63 - B9D6 - 12B3E50A52C9 ) - (没有文件) 氧- BHO : (无姓名) - ( 2504b4df - fd95 - 47a5 - b804 - b047829925c0 ) - (没有文件) 氧- BHO : (无姓名) - ( 41E299D0 - 5CFF - 4705 - A8AD - 67B02579661C ) - (没有文件) 氧- BHO : Spybot蠕虫,特殊和差别待遇的IE浏览器保护- ( 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll 氧- BHO : SSVHelper类- ( 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll 氧- BHO :的Windows Live登录助手- ( 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ) - ç : \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll 氧- BHO : (无姓名) - ( C089CFFD - 5CAA - 4DA6 - BC8B - 39965E47AAF9 ) - (没有文件) 氧- BHO : (无姓名) - ( D7C82C77 - 9CF6 - 4513 - 826E - B9B7ACDC4DB9 ) - (没有文件) 臭氧-工具栏: McAfee SiteAdvisor的- ( 0BF43445 - 2F28 - 4351 - 9252 - 17FE6E806AA0 ) - ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.dll 物理学- HKLM \ .. \运行: [ SigmatelSysTrayApp ] stsystra.exe 物理学- HKLM \ .. \运行: [ SynTPEnh ] ç : \ Program Files文件\了Synaptics \ SynTP \ SynTPEnh.exe 物理学- HKLM \ .. \运行: [ Broadcom公司无线产品经理的UI ] ç : \窗口\ system32 \ WLTRAY.exe 物理学- HKLM \ .. \运行: [ StartCCC ]的“ C : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ CLIStart.exe ” 物理学- HKLM \ .. \运行: [ SunJavaUpdateSched ]的“ C : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ jusched.exe ” 物理学- HKLM \ .. \运行: [ RoxioDragToDisc ]的“ C : \ Program Files文件\的Roxio \轻松媒体造物主7 \拖放到光盘\ DrgToDsc.exe ” 物理学- HKLM \ .. \运行: [ QuickTime的工作]的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime 物理学- HKLM \ .. \运行: [ SiteAdvisor的]的“ C : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.exe ” 物理学- HKLM \ .. \运行: [ McENUI ] ç : \ PROGRA 〜 1 \ McAfee的\ MHN \ McENUI.exe /隐藏 物理学- HKLM \ .. \运行: [ mcagent_exe ] ç : \ Program Files文件\ McAfee.com \代理\ mcagent.exe / runkey 物理学- HKLM \ .. \运行: [ Windows Defender会]的“ C : \ Program Files文件\的Windows Defender \ MSASCui.exe ”隐藏 物理学- HKCU \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会 物理学- HKCU \ .. \运行: [ LogitechSetup ]为D : \安装\安装程序/启动/重新启动/ L的:埃努 物理学- HKCU \ .. \运行: [ DelayShred ] ç : \ PROGRA 〜 1 \ McAfee的\ mshr \ ShrCL.EXE / P10 /质量控制: \ DOCUME 〜 1 \管理员〜 1 \当地人〜 1 \ TEMPOR 〜 1 \内容。 IE5 \ 13H31947 \ KB4564 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \当地人〜 1 \ TEMPOR 〜 1 \ Content.IE5 \ 3P4O3QQE \ KB6712 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \当地人〜 1 \ TEMPOR 〜 1 \ Content.IE5 \ H9JXXVQS \ KB7678 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD9100 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD9500 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD8A94 〜 1.SH ! ç : \ DOCUME 〜 1 \管理员〜 1 \曲奇\ AD4B54 〜 1.SH ! 物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户本地服务' ) 物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户的网络服务' ) 物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户'系统' ) 物理学- HKUS \的S - 1 - 5 - 18 \ .. \的RunOnce : [ WUAppSetup ] ç : \ Program Files文件\共同文件\ logishrd \ WUApp32.exe电压0x046d磷0x08d9氟视频米罗技三维10.5 。 1.2023 (用户'系统' ) 物理学- HKUS \ 。缺省\ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户默认用户' ) 物理学- HKUS \ 。缺省\ .. \的RunOnce : [ WUAppSetup ] ç : \ Program Files文件\共同文件\ logishrd \ WUApp32.exe电压0x046d磷0x08d9氟视频米罗技三维10.5.1.2023 (用户的默认用户' ) O8 -额外上下文菜单项目:汇出至Microsoft Excel -水库: / /炭: \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000 O9 -额外的按钮: (无姓名) - ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll O9 -额外的'工具' menuitem : Sun公司的Java控制台- ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll O9 -额外的按钮: Skype公司- ( 77BF5300 - 1474 - 4EC7 - 9980 - D32B190E9B07 ) - ç : \窗口\ system32 \的Shdocvw.dll O9 -额外的按钮:研究- ( 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ) - ç : \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL O9 -额外的按钮: (无姓名) - ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的'工具' menuitem : Spybot蠕虫-搜索和摧毁配置- ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的按钮: (无姓名) - ( e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ) - ç : \窗口\网络诊断\ xpnetdiag.exe O9 -额外的'工具' menuitem : @ xpsp3res.dll , -20001 - ( e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ) - ç : \窗口\网络诊断\ xpnetdiag.exe O9 -额外的按钮: Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O9 -额外的'工具' menuitem : Windows Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O18 -协议: linkscanner - ( F274614C - 63F8 - 47D5 - A4D1 - FBDDE494F8D1 ) - (没有文件) O18 -协议: skype4com - ( FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ) - ç : \ PROGRA 〜 1 \常见〜 1 \ Skype的\ SKYPE4 〜 1.DLL ø20 - AppInit_DLLs : avgrsstx.dll zlpxgp.dll fgdygo.dll ø20 - Winlogon通知: awtuutTk - awtuutTk.dll (档案遗失) O23 -服务:阿提热键轮询- ATI Technologies公司- ç : \窗口\ system32 \ Ati2evxx.exe O23 -服务: ATI的智能-未知所有者- ç : \窗口\ system32 \ ati2sgag.exe O23 -服务: LVSrvLauncher -罗技公司- ç : \ Program Files文件\共同文件\ LogiShrd \ SrvLnch \ SrvLnch.exe O23 -服务: McAfee的服务( mcmscsvc ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\海安\ mcmscsvc.exe O23 -服务: McAfee的网络代理( McNASvc ) - McAfee公司- ç : \ Program Files文件\共同文件\ McAfee的\ Mehr通讯社报道\ mcnasvc.exe O23 -服务: McAfee的扫描仪( McODS ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\ VIRUSS 〜 1 \ mcods.exe O23 -服务: McAfee的代理服务( McProxy ) - McAfee公司- ç : \ PROGRA 〜 1 \常见〜 1 \ McAfee的\ mcproxy \ mcproxy.exe O23 -服务: McAfee的实时扫描( McShield ) - McAfee公司- ç : \ Program Files文件\的McAfee \ VirusScan \ McShield.exe O23 -服务: McAfee的SystemGuards ( McSysmon ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\ VIRUSS 〜 1 \ mcsysmon.exe O23 -服务: McAfee个人防火墙服务( MpfService ) - McAfee公司- ç : \ Program Files文件\ McAfee的\强积金\ MPFSrv.exe O23 -服务: SiteAdvisor服务-未知所有者- ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SAService.exe O23 -服务:戴尔无线局域网托盘服务( wltrysvc ) -未知所有者- ç : \窗口\ System32 \ WLTRYSVC.EXE - 文件结尾- 8474字节 * * * 我真的需要了解最新发生在这里,我需要这种笔记本电脑回来,谢谢你...让我知道如果我可以做哪些动作,以帮助... |
|
#4
2008年09月22日, 16时47分
|
|||
|
|||
|
Virtumonde.dll , vundo这是我的劫持日志...
禁用的Windows Defender
我们需要关闭Windows Defender的实时保护,因为它可能会干扰的修补程序,我们需要作出。
---------- 打开HijackThis并选择 这样做只有一个系统扫描。 广场旁边选中复选标记以下条目: (如果有)
出口HijackThis并重新启动计算机登记所作的改动了HijackThis 。 ---------- 下载ComboFix由潜艇从以下链接。请务必将它保存到顶部的 桌面。 链接# 1 链接# 2 **注:重要的是,它是直接保存到桌面 关闭所有打开Web浏览器。 (火狐时, Internet Explorer等) ,开始之前ComboFix 。 暂时 丧失能力 你的 防病毒和任何 反间谍 实时保护 前 执行扫描。点击 此链接 看到一个列表的安全计划,应该被禁用,以及如何禁用。 ( McAfee公司或许并不一定完全关闭。公正运行ComboFix反正并允许它运行,如果任何试图阻止它。 ) 双击combofix.exe &按照提示操作。 当完成时,将产生ComboFix日志您。 邮政的 ComboFix日志 和一个新的 HijackThis日志 在您下次答复。 重要提示: 不要mouseclick ComboFix的窗口同时运行。这可能会导致它摊档。 记得要重新启用您的防病毒和反间谍保护时ComboFix完成。
__________________
|
|
#5
2008年09月22日, 19:14
|
|||
|
|||
|
Virtumonde.dll , vundo这是我的劫持日志...
确定我跑组合修复,这里是reslults ...
ComboFix 08-09-20.05 -署长2008年9月23日4:07:24.1 - NTFSx86 Microsoft Windows XP Professional的5.1.2600.3.1250.420.1033.18.526 [格林尼治标准时间下午2:00 ] 运行中: C : \的Documents and Settings \管理员\桌面\ ComboFix.exe *创建了一个新的还原点 警告,这台机器没有故障恢复控制台安装! ! 。 (((((((((((((((((((((((((((((((((((((((其他缺失))))))))) )))))))))))))))))))))))))))))))))))))))) 。 ç : \窗口\ system32 \ djynmrpe.ini ç : \窗口\ system32 \ EMVwxyay.ini ç : \窗口\ system32 \ fxdehybr.ini ç : \窗口\ system32 \ hgillUtv.ini ç : \窗口\ system32 \ hwpdknag.ini ç : \窗口\ system32 \ hytrocfv.ini ç : \窗口\ system32 \ jrawajwy.ini ç : \窗口\ system32 \ kruvwslm.ini ç : \窗口\ system32 \ ljbuenel.ini ç : \窗口\ system32 \ mbpyegow.ini ç : \窗口\ system32 \ MSINET.oca ç : \窗口\ system32 \ oopfgjdw.ini ç : \窗口\ system32 \ oujogpou.ini ç : \窗口\ system32 \ ovbmvuhg.ini ç : \窗口\ system32 \ rmkrhevi.ini ç : \窗口\ system32 \ uhikvuhh.ini ç : \窗口\ system32 \ vpgysgqj.ini 。 (((((((((((((((((((((((((创建的文件从2008年8月23日至2008年9月23日))))))))))) )))))))))))))))))))) 。 2008年9月23日01:06 。 2008年9月23日01:06 <DIR> d -------- ç : \ Program Files文件\ DivX 2008年9月22日22时11分。 2008年9月22日22:20 1374 -一个------ ç : \窗口\ imsins.BAK 2008年9月22日21:30 。 2008年5月1日16:33 331776 ----- --- ç ç : \窗口\ system32 \ dllcache \ msadce.dll 2008年9月22日21:25 。 2008年4月11号21:04 --- 691712 ----- ç ç : \窗口\ system32 \ dllcache \ inetcomm.dll 2008年9月22日20时47分。 2008年9月22日20时47分<DIR> d -------- ç : \的Documents and Settings \所有用户\应用数据\ Malwarebytes 2008年9月22日20时47分。 2008年9月22日20时47 <DIR> d -------- ç : \的Documents and Settings \管理员\应用数据\ Malwarebytes 2008年9月22日20时47分。 2008年9月10号00:04 38528 -一个------ ç : \窗口\ system32 \驱动程序\ mbamswissarmy.sys 2008年9月22日20时47分。 2008年9月10号00:03 17200 -一个------ ç : \窗口\ system32 \驱动程序\ mbam.sys 2008年9月22日04:54 。 2008年9月22日20时47分<DIR> d -------- ç : \桌面 2008年9月22日04:47 。 2008年9月22日04:48 <DIR> d -------- ç : \ Program Files文件\ Windows Defender会 2008年9月22日04:36 。 2008年9月22日04:36 <DIR>数d - h ----- ç : \窗口\ system32 \ GroupPolicy 2008年9月22日02:58 。 2008年9月22日02:58 268 -啊----- ç : \ sqmdata00.sqm 2008年9月22日00:30 。 2008年9月22日00:30 <DIR> d -------- ç : \ VundoFix备份 。 (((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ) ) 。 2008年9月22日23:08 --------- d -----钨: \的Documents and Settings \管理员\应用数据\ LimeWire 2008年9月22日20:34 --------- d -----钨: \的Documents and Settings \管理员\应用数据\ Skype公司 2008年9月22日20:25 --------- d -----钨: \的Documents and Settings \管理员\应用数据\ skypePM 2008年9月22日03:36 --------- -----钨d : \文件和设置\所有用户\应用数据\ Spybot蠕虫-搜索和摧毁 2008年9月22日00:07 --------- d -----钨: \ Program Files文件\ McAfee公司 2008年8月14号04:47 --------- d -----钨: \的Documents and Settings \客户\应用数据\ SiteAdvisor的 2008年8月2日01:04 --------- d -----钨: \ Program Files文件\谜软件集团 2008年7月30号03:57 876883 -沙钨: \窗口\ system32 \ EMVwxyay.ini2 2008年7月30号03:49 --------- d -----钨: \ Program Files文件\ CCleaner 2008年7月30号03:05 --------- d -----钨: \的Documents and Settings \客户\应用数据\ ATI公司 2008年7月29日03:35 --------- d -----钨: \ Program Files文件\共同文件\ LogiShrd 2008年7月27日03:46 --------- -----钨d : \文件和设置\所有用户\应用数据\的Roxio 2008年7月26日06:06 --------- -----钨d : \文件和设置\所有用户\应用数据\ McAfee公司 2008年7月26日03:45 --------- d -----钨: \ Program Files文件\ Spybot蠕虫-搜索和摧毁 2008年7月25日08:36 524288 ----胡ç : \窗口\ system32 \ DivXsm.exe 2008年7月24日18:28 --------- d -----钨: \ Program Files文件\ SiteAdvisor的 2008年7月24日16时32 --------- -----钨d : \的Documents and Settings \管理员\应用数据\ SiteAdvisor的 2008年7月23日16:50 9464 ------钨: \窗口\ system32 \驱动程序\ cdralw2k.sys 2008年7月23日16:50 9336 ------钨: \窗口\ system32 \驱动程序\ cdr4_xp.sys 2008年7月23日16:50 43528 ------钨: \窗口\ system32 \驱动程序\ PxHelp20.sys 2008年7月23日16:50 3596288 ----胡ç : \窗口\ system32 \ QT间期dx331.dll 2008年7月23日16:50 129784 ------钨: \窗口\ system32 \ pxafs.dll 2008年7月23日16:50 120056 ------钨: \窗口\ system32 \ pxcpyi64.exe 2008年7月23日16:50 118520 ------钨: \窗口\ system32 \ pxinsi64.exe 2008年7月23日16点48 200,704 ----胡ç : \窗口\ system32 \ ssldivx.dll 2008年7月23日16点48一百○四点四四八万----胡ç : \窗口\ system32 \ libdivx.dll 2008年7月23日16时46分12288 ----胡ç : \窗口\ system32 \ DivXWMPExtType.dll 2008年7月21日13:33 890828 -沙钨: \窗口\ system32 \ hgillUtv.ini2 2008年7月21日10:06 10520 ----胡ç : \窗口\ system32 \ avgrsstx.dll 08年7月18日20:10九点四九二万----胡ç : \窗口\ system32 \ cdm.dll 08年7月18日20:10 53448 ----胡ç : \窗口\ system32 \ wuauclt.exe 08年7月18日20:10 45768 ----胡ç : \窗口\ system32 \ wups2.dll 08年7月18日20:10 36552 ----胡ç : \窗口\ system32 \ wups.dll 08年7月18日20:09 563912 ----胡ç : \窗口\ system32 \ wuapi.dll 08年7月18日20:09 325832 ----胡ç : \窗口\ system32 \ wucltui.dll 08年7月18日20:09二十○点五〇 〇万----胡ç : \窗口\ system32 \ wuweb.dll 08年7月18日20:09 1811656 ----胡ç : \窗口\ system32 \ wuaueng.dll 08年7月18日20:07 210976 ----胡ç : \窗口\ system32 \ muweb.dll 08年7月18日14时29分77 ----胡ç : \的Documents and Settings \管理员\ 2064.bat 2008年7月7日20:26 253952 ----胡ç : \窗口\ system32 \ es.dll 2008年6月24日16时43分74240 ----胡ç : \窗口\ system32 \ mscms.dll 2008年6月23日16时57 826368 ----胡ç : \窗口\ system32 \ wininet.dll 。 (((((((((((((((((((((((((((((((((((((注册装载点)))))))))) )))))))))))))))))))))))))))))))))))))))) 。 。 *注意*空白条目与合法默认项不会显示 REGEDIT4 [ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行] “ Ctfmon.exe会” =的“ C : \窗口\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ] [ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行] “ SynTPEnh ” =的“ C : \ Program Files文件\了Synaptics \ SynTP \ SynTPEnh.exe ” [ 2006年3月8日761947 ] “ Broadcom公司无线产品经理的UI ” =的“ C : \窗口\ system32 \ WLTRAY.exe ” [ 2007年3月16号1392640 ] “ StartCCC ” =的“ C : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ CLIStart.exe ” [ 2006-11-10 90112 ] “ SunJavaUpdateSched ” =的“ C : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ jusched.exe ” [ 2008年3月25日144784 ] “ RoxioDragToDisc ” =的“ C : \ Program Files文件\的Roxio \轻松媒体造物主7 \拖放到光盘\ DrgToDsc.exe ” [ 2004年1月27日1179648 ] “ QuickTime的工作” =的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” [ 2008年5月27日413696 ] “的SiteAdvisor ” =的“ C : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.exe ” [ 2007年6月21日36640 ] “ McENUI ” =的“ C : \ PROGRA 〜 1 \ McAfee的\ MHN \ McENUI.exe ” [ 2007年11月30号1164576 ] “ mcagent_exe ” =的“ C : \ Program Files文件\ McAfee.com \代理\ mcagent.exe ” [ 2007年11月1日582992 ] “ SigmatelSysTrayApp ” = “ stsystra.exe ” [ 2006年2月10日ç : \窗口\ stsystra.exe ] [ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行] “ Ctfmon.exe会” =的“ C : \窗口\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ] [ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \的RunOnce ] “ WUAppSetup ” =的“ C : \ Program Files文件\共同文件\ logishrd \ WUApp32.exe ” [ 2007年2月4日435736 ] [ HKEY_LOCAL_MACHINE \软件\微软\安全中心] “ AntiVirusDisableNotify ” =的DWORD : 00000001 [ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ McAfeeAntiVirus ] “ DisableMonitoring ” =的DWORD : 00000001 [ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ McAfeeFirewall ] “ DisableMonitoring ” =的DWORD : 00000001 [ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单] “ % windir % \ \ system32 \ \ sessmgr.exe ” = “ % windir % \ \网络诊断\ \ xpnetdiag.exe ” = 的“ C : \ \ Program Files文件\ \传送\ \ msmsgs.exe ” = 的“ C : \ \ Program Files文件\ \的Windows Live \ \ Messenger的\ \ msnmsgr.exe ” = 的“ C : \ \ Program Files文件\ \的Windows Live \ \ Messenger的\ \ livecall.exe ” = 的“ C : \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ” = 的“ C : \ \ Program Files文件\ \共同文件\ \ McAfee的\ \ Mehr通讯社报道\ \ McNASvc.exe ” = 的“ C : \ \ Program Files文件\ \ Skype的\ \电话\ \ Skype.exe ” = 一AvgLdx86 ;的AVG免费的AVI装载机司机的X86 ; ç : \窗口\ system32 \驱动程序\ avgldx86.sys [ 2008年7月21日96520 ] 四avg8wd ;的AVG Free8看门狗; ç : \ PROGRA 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe [ ] *新成立的服务* - CATCHME *新成立的服务* - PROCEXP90 。 内容'计划任务的文件夹 。 - - - -孤寡删除- - - - HKCU ,运行LogitechSetup -为D : \设置\的Setup.exe 。 补充扫描------- ------- 。 火狐浏览器- :简介- ç : \的Documents and Settings \管理员\应用数据\ Mozilla浏览器\火狐\概况\ aqi5r52b.default \ 。 ************************************************** ************************ catchme 0.3.1361 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer , http://www.gmer.net 2008年9月23日4时09分28秒的rootkit扫描 2600年5月1号的Windows Service Pack 3中的NTFS 扫描隐藏的进程... 扫描隐藏的自动启动项... 扫描隐藏的文件... 扫描顺利完成 隐藏的文件: 0 ************************************************** ************************ 。 完成时间: 2008年9月23日4时10分26秒 ComboFix -隔离- files.txt 2008年9月23日二时10分23秒 预运行: 62363549696字节免费 后运行: 62437605376字节免费 153 --- EOF分析--- 2008年9月22日20时32分15秒 * * * * 然后我跑这再次劫持 * * 日志文件的趋势科技了HijackThis v2.0.2 扫描保存在上午4点11分27秒,在2008年9月23日 平台: Windows XP SP3的(使用WINNT 2600年1月5日) MSIE : Internet Explorer的v7.00 ( 7.00.6000.16705 ) 启动模式:正常 正在运行的进程: ç : \窗口\ System32 \ smss.exe ç : \窗口\ system32 \ winlogon.exe ç : \窗口\ system32 \ Services.exe的 ç : \窗口\ system32 \ Lsass.exe中 ç : \窗口\ system32 \ Ati2evxx.exe ç : \窗口\ system32 \ svchost.exe ç : \ Program Files文件\ Windows Defender的\ MsMpEng.exe ç : \窗口\ System32 \ svchost.exe ç : \窗口\ system32 \ Ati2evxx.exe ç : \窗口\ System32 \ WLTRYSVC.EXE ç : \窗口\ System32 \ bcmwltry.exe ç : \窗口\ system32 \ spoolsv.exe ç : \ PROGRA 〜 1 \ McAfee的\海安\ mcmscsvc.exe ç : \ Program Files文件\共同文件\ McAfee的\ Mehr通讯社报道\ mcnasvc.exe ç : \ PROGRA 〜 1 \常见〜 1 \ McAfee的\ mcproxy \ mcproxy.exe ç : \ Program Files文件\的McAfee \ VirusScan \ McShield.exe ç : \ Program Files文件\ McAfee的\强积金\ MPFSrv.exe ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SAService.exe ç : \窗口\ system32 \ svchost.exe ç : \ PROGRA 〜 1 \ mcafee.com \代理\ mcagent.exe ç : \窗口\ stsystra.exe ç : \ Program Files文件\了Synaptics \ SynTP \ SynTPEnh.exe ç : \窗口\ system32 \ WLTRAY.exe ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ jusched.exe ç : \ Program Files文件\的Roxio \轻松媒体造物主7 \拖放到光盘\ DrgToDsc.exe ç : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ MOM.EXE ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.exe ç : \ Program Files文件\ Windows Defender的\ MSASCui.exe ç : \窗口\ system32 \ Ctfmon.exe会 ç : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ ccc.exe ç : \ PROGRA 〜 1 \ McAfee的\硕士\ mcuimgr.exe ç : \窗口\ system32 \ imapi.exe ç : \窗口\ system32 \记事 ç : \窗口\ Explorer.exe的 ç : \桌面\趋势科技\了HijackThis \ HijackThis.exe 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 受体1 - HKLM \软件\微软\的Internet Explorer \主, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 受体1 - HKLM \软件\微软\的Internet Explorer \主,搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \软件\微软\的Internet Explorer \主,初始页= http://go.microsoft.com/fwlink/?LinkId=69157 氧- BHO : (无姓名) - ( 089FD14D - 132B章- 48FC - 8861 - 0048AE113215 ) - ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.dll 氧- BHO : Spybot蠕虫,特殊和差别待遇的IE浏览器保护- ( 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll 氧- BHO : SSVHelper类- ( 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll 氧- BHO :的Windows Live登录助手- ( 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ) - ç : \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll 臭氧-工具栏: McAfee SiteAdvisor的- ( 0BF43445 - 2F28 - 4351 - 9252 - 17FE6E806AA0 ) - ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.dll 物理学- HKLM \ .. \运行: [ SigmatelSysTrayApp ] stsystra.exe 物理学- HKLM \ .. \运行: [ SynTPEnh ] ç : \ Program Files文件\了Synaptics \ SynTP \ SynTPEnh.exe 物理学- HKLM \ .. \运行: [ Broadcom公司无线产品经理的UI ] ç : \窗口\ system32 \ WLTRAY.exe 物理学- HKLM \ .. \运行: [ StartCCC ]的“ C : \ Program Files文件\ ATI科技\ ATI.ACE \核心静态\ CLIStart.exe ” 物理学- HKLM \ .. \运行: [ SunJavaUpdateSched ]的“ C : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ jusched.exe ” 物理学- HKLM \ .. \运行: [ RoxioDragToDisc ]的“ C : \ Program Files文件\的Roxio \轻松媒体造物主7 \拖放到光盘\ DrgToDsc.exe ” 物理学- HKLM \ .. \运行: [ QuickTime的工作]的“ C : \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime 物理学- HKLM \ .. \运行: [ SiteAdvisor的]的“ C : \ Program Files文件\的SiteAdvisor \ 6261 \ SiteAdv.exe ” 物理学- HKLM \ .. \运行: [ McENUI ] ç : \ PROGRA 〜 1 \ McAfee的\ MHN \ McENUI.exe /隐藏 物理学- HKLM \ .. \运行: [ mcagent_exe ] ç : \ Program Files文件\ McAfee.com \代理\ mcagent.exe / runkey 物理学- HKCU \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会 物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户本地服务' ) 物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户的网络服务' ) 物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户'系统' ) 物理学- HKUS \的S - 1 - 5 - 18 \ .. \的RunOnce : [ WUAppSetup ] ç : \ Program Files文件\共同文件\ logishrd \ WUApp32.exe电压0x046d磷0x08d9氟视频米罗技三维10.5 。 1.2023 (用户'系统' ) 物理学- HKUS \ 。缺省\ .. \运行: [ Ctfmon.exe会] ç : \窗口\ system32 \ Ctfmon.exe会(用户默认用户' ) 物理学- HKUS \ 。缺省\ .. \的RunOnce : [ WUAppSetup ] ç : \ Program Files文件\共同文件\ logishrd \ WUApp32.exe电压0x046d磷0x08d9氟视频米罗技三维10.5.1.2023 (用户的默认用户' ) O8 -额外上下文菜单项目:汇出至Microsoft Excel -水库: / /炭: \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000 O9 -额外的按钮: (无姓名) - ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll O9 -额外的'工具' menuitem : Sun公司的Java控制台- ( 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ) - ç : \ Program Files文件\的Java \ jre1.6.0_06 \斌\ ssv.dll O9 -额外的按钮: Skype公司- ( 77BF5300 - 1474 - 4EC7 - 9980 - D32B190E9B07 ) - ç : \窗口\ system32 \的Shdocvw.dll O9 -额外的按钮:研究- ( 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ) - ç : \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL O9 -额外的按钮: (无姓名) - ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的'工具' menuitem : Spybot蠕虫-搜索和摧毁配置- ( DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ) - ç : \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll O9 -额外的按钮: Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O9 -额外的'工具' menuitem : Windows Messenger的- ( FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ) - ç : \ Program Files文件\传送\ msmsgs.exe O16 -柴油机微粒过滤器: ( 6E32070A - 766D - 4EE6 - 879C - DC1FA91D2FC3 ) ( MUWebControl类) - http://update.microsoft.com/microsof...?1222115615015 O18 -协议: skype4com - ( FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ) - ç : \ PROGRA 〜 1 \常见〜 1 \ Skype的\ SKYPE4 〜 1.DLL O23 -服务:阿提热键轮询- ATI Technologies公司- ç : \窗口\ system32 \ Ati2evxx.exe O23 -服务: ATI的智能-未知所有者- ç : \窗口\ system32 \ ati2sgag.exe O23 -服务: LVSrvLauncher -罗技公司- ç : \ Program Files文件\共同文件\ LogiShrd \ SrvLnch \ SrvLnch.exe O23 -服务: McAfee的服务( mcmscsvc ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\海安\ mcmscsvc.exe O23 -服务: McAfee的网络代理( McNASvc ) - McAfee公司- ç : \ Program Files文件\共同文件\ McAfee的\ Mehr通讯社报道\ mcnasvc.exe O23 -服务: McAfee的扫描仪( McODS ) - McAfee公司- ç : \ PROGRA 〜 1 \ McAfee的\ VIRUSS 〜 1 \ mcods.exe O23 -服务: McAfee的代理服务( McProxy ) - McAfee公司- ç : \ PROGRA 〜 1 \常见〜 1 \ McAfee的\ mcproxy \ mcproxy.exe O23 -服务: McAfee的实时扫描( McShield ) - McAfee公司- ç : \ Program Files文件\的McAfee \ VirusScan \ McShield.exe O23 -服务: McAfee个人防火墙服务( MpfService ) - McAfee公司- ç : \ Program Files文件\ McAfee的\强积金\ MPFSrv.exe O23 -服务: SiteAdvisor服务-未知所有者- ç : \ Program Files文件\的SiteAdvisor \ 6261 \ SAService.exe O23 -服务:戴尔无线局域网托盘服务( wltrysvc ) -未知所有者- ç : \窗口\ System32 \ WLTRYSVC.EXE - 文件结尾- 6865字节 ....任何想法吗? |
|
#6
2008年09月22日, 19:46
|
|||
|
|||
|
Virtumonde.dll , vundo这是我的劫持日志...
现在一切看起来罚款。什么问题你仍然有?
---------- 下载 CCleaner斯利姆 并保存到桌面。 当文件已保存,请转到您的桌面和双击 ccsetupxxx_slim.exe 按照提示安装该程序。 完成安装,然后:
---------- 你的Java已经过时。 旧版本的安全漏洞,恶意网站可以使用它来感染您的系统。 首先,安装新的 Sun的Java运行时环境 请务必关闭所有浏览器窗口,然后再开始安装。 删除旧版本(县)
---------- 下载 禁用/删除Windows Messenger的 桌面删除 Windows Messenger的。 不要混淆 Windows Messenger的 带有 MSN Messenger的 因为他们不一样的。 Windows Messenger的 是一种常见的原因弹出。 解压的文件在桌面上。打开 MessengerDisable.exe 并选择底部框- 卸载Windows Messenger的 并点击 应用。 退出了MessengerDisable然后删除这两个文件,提出了在桌面上。
__________________
|
