[rsteenoven]

这是我爸爸的电脑和我有一种感觉它有一些不好的东西。因此，这里有2份报告。此外， iexplore.exe是使用了大量的内存时，甚至没有运行。

超级反间谍日志：

SUPERAntiSpyware扫描日志
http://www.superantispyware.com

产生2008年2月23日在下午7点01

应用版本： 1008年9月3号

核心规则数据库版本： 3389
痕量规则数据库版本： 1383

扫描类型：完整扫描
总扫描时间： 2时21分49秒

记忆扫描的项目： 400
内存威胁检测： 0
注册表项扫描： 6072
书记官处的威胁检测： 0
文件项目扫描： 6.029万
档案威胁检测： 0


劫持这个记录：


日志文件的趋势科技了HijackThis v2.0.2
扫描储存于十九时44分10秒，就23/02/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLAcsd.exe
ç ： \ Program Files文件\ Grisoft \的AVG反间谍软件7.5 \ guard.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ Program Files文件\的QuickTime \ qttask.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLDial.exe
ç ： \ PROGRA 〜 1 \常见〜 1 \美国在线\ AOLSPY 〜 1 \ AOLSP Scheduler.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\传送\ msmsgs.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\智能\共同\ RaUI.exe
ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ sniper.exe.exe

受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索栏= http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.google.co.uk/
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://uk.yahoo.com/fsc/
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://uk.yahoo.com/fsc/
受体1 - HKCU \软件\微软\的Internet Explorer \ SearchURL ， （默认） = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
氧- BHO ：雅虎！同伴BHO - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - ç ： \ Program Files文件\雅虎\伴侣\安装\共产党\ ycomp5_3_19_0 。 DLL的
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
氧- BHO ： （无姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （没有文件）
臭氧-工具栏：雅虎！伴侣- （ EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88 ） - ç ： \ Program Files文件\雅虎\伴侣\安装\共产党\ ycomp5_3_19_0 。 DLL的
臭氧-工具栏：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ RTHDCPL ] RTHDCPL.EXE
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ igfxtray ] ç ： \窗口\ system32 \ igfxtray.exe
物理学- HKLM \ .. \运行： [ igfxpers ] ç ： \窗口\ system32 \ igfxpers.exe
物理学- HKLM \ .. \运行： [ igfxhkcmd ] ç ： \窗口\ system32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [高清晰度音频属性页快捷方式] HDAShCut.exe
物理学- HKLM \ .. \运行： [爱普生Stylus DX3800系列] ç ： \窗口\ System32 \阀芯\驱动程序\ W32X86 \ 3 \ E_FATIA CE.EXE / P26 “爱普生Stylus DX3800系列” / O6 “ USB001 ” / M “的铁笔DX3800 “
物理学- HKLM \ .. \运行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起动
物理学- HKLM \ .. \运行： [ AOLDialer ] ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLDial.exe
物理学- HKLM \ .. \运行： [美国在线间谍软件保护]的“ C ： \ PROGRA 〜 1 \常见〜 1 \美国在线\ AOLSPY 〜 1 \ AOLSP Scheduler.exe ”
物理学- HKLM \ .. \运行： [ Alcmtr ] ALCMTR.EXE
物理学- HKLM \ .. \运行： [寻求1跳过mfcd ] ç ： \的Documents and Settings \所有用户\应用数据\四帮助寻找1 \龙bin.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ”
物理学- HKCU \ .. \运行： [ updateMgr ] ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ AdobeUpdateManager.exe AcRdB7_0_9
物理学- HKCU \ .. \运行： [ MSMSGS ]的“ C ： \ Program Files文件\传送\ msmsgs.exe ” /背景
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [ theowns ] ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
物理学-全球启动： Adobe公司伽玛Loader.lnk = ？
物理学-全球启动： Adobe Reader软件高速Launch.lnk = C的： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ reader_sl.exe
物理学-全球启动：美国在线9.0托盘Icon.lnk = C的： \ Program Files文件\美国在线9.0 \ aoltray.exe
物理学-全球启动：智能无线Utility.lnk = C的： \ Program Files文件\智能\共同\ RaUI.exe
物理学-全球启动：莱卡简单Viewer.lnk = ？
O8 -额外上下文菜单项目：与美国在线的工具栏搜索-水库： / /炭： \ Program Files文件\美国在线工具栏\ toolbar.dll / SEARCH.HTML
O8 -额外上下文菜单项目：添加到Windows与现场的收藏- http://favorites.live.com/quickadd.aspx
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮： （无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ npjpi160_03.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ npjpi160_03.dll
O9 -额外的按钮：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
O9 -额外的'工具' menuitem ：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮： Real.com - （ CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -额外的按钮： （无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的按钮：雅虎！传送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -额外的'工具' menuitem ：雅虎！传送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -额外的按钮： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器： （ 20A60F0D - 9AFA - 4515 - A0FD - 83BD84642501 ） （跳棋类） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 -柴油机微粒过滤器： （ 406B5949 - 7190 - 4245 - 91A9 - 30A17DE16AD0 ） （ Snapfish的Activia ） - http://www1.snapfish.co.uk/SnapfishUKActivia.cab
O16 -柴油机微粒过滤器： （ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） （ UnoCtrl类） - http://messenger.zone.msn.com/EN-GB/.../GAME_UNO1.cab
O16 -柴油机微粒过滤器： （ 6E5E167B - 1566 - 4316 - B27F - 0DDAB3484CF7 ） （图片上载器控制） - http://www.mypix.com/uk/uk/importer/ImageUploader4.cab
O16 -柴油机微粒过滤器： （ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） （ MessengerStatsClient类） - http://messenger.zone.msn.com/binary...t.cab56907.cab
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服务：美国在线连接服务（美国在线联盟） -美国在线公司- ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLAcsd.exe
O23 -服务：的AVG反间谍软件卫队- GRISOFT氧化锶- ç ： \ Program Files文件\ Grisoft \的AVG反间谍软件7.5 \ guard.exe
O23 -服务： AVG7警报管理器服务器（ Avg7Alrt ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服务： AVG7更新服务（ Avg7UpdSvc ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服务： MSCSPTISRV -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ MSCSPTISRV.exe
O23 -服务： PACSPTISVR -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ PACSPTISVR.exe
O23 -服务：索尼SPTI服务（ SPTISRV ） -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ SPTISRV.exe

-
文件结尾- 8712字节

[evilfantasy]

打开HijackThis并选择 这样做只有一个系统扫描。

广场旁边选中复选标记以下条目： （如果有）

氧- BHO ： （无姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （没有文件）

重要提示： 关闭所有窗口除了HijackThis并然后单击 菲克斯萨检查。

退出了HijackThis 。

----------

下载NoLop到您的桌面从下面的链接...

• 链接1
• 链接2

• 关闭任何程序运行，因为您有需要重新启动
• 双击 NoLop.exe 运行它
• 下一步，按一下按钮即可标记： 搜寻并摧毁
  • 您的计算机将被感染的文件扫描
• 当扫描完成后，如果受感染的，系统会提示您重新启动
• 单击确定
• 现在，请点击： 重启
• 致辞应弹出从NoLop 。如果不是，双击该程序，并再次将完成。
• 邮报的内容 ç ： \ NoLop.log 在接下来的答复。

注： 如果您收到错误， “ mscomctl.ocx或其相依性是没有正确注册， ”请下载mscomctl.ocx您的System32文件夹然后重新运行该程序。

----------

下载 Vundofix.exe 到您的桌面。

• 双击 VundoFix.exe 运行它。
• 把旁边的勾选记号 运行VundoFix作为任务。
• 您将收到一条消息说vundofix将关闭并重新打开在一分钟或更少。点击 行
• 当VundoFix重新开放，请点击 扫描Vundo 按钮。
• 一旦完成扫描，请单击 移除Vundo 按钮。
• 您将收到一个提示，询问您是否要删除该文件，请单击 是
• 当您单击是，您的桌面将空白的，因为它开始消除Vundo 。
• 工程完成后，系统会提示，它将关闭计算机时，单击 行。
• 打开计算机。
• 请张贴的内容的C ： \vundofix.txt

注： 有可能是VundoFix遇到一个文件不能删除。在这种情况下， VundoFix上运行重新启动，只要按照上述指示，从“按一下按钮，扫描Vundo ”当VundoFix出现在重新启动。

请告诉Vundo完成，有时可以采取多种通行证

----------

下载 SDFix.exe 并保存到桌面。

双击 SDFix.exe 这将解压缩文件为％ SystemDrive ％
（驱动器包含Windows目录，通常为C ： \ SDFix ）

请再重新启动您的计算机中 安全模式 做下面的：

• 重新启动计算机
• 在听取您的计算机响铃一次启动过程中，但在此之前的Windows图标出现，自来水按F8键继续;
• 而不是Windows负荷为正常，在高级选项菜单应该会出现;
• 选择第一个选项，运行Windows在安全模式，然后按下 输入。
• 选择通常的帐户。
• 打开文件夹，并提取SDFix双击 RunThis.bat 启动脚本。
• 类型 Ÿ 开始清理进程。
• 这将消除任何木马服务和注册表项，发现提示您按任意键重新启动。
• 按任意键，将重新启动电脑。
• 当电脑重新启动Fixtool将卷土重来，并完成删除过程然后显示 完成，按任意键结束脚本和加载您的桌面图标。
• 一旦桌面图标加载SDFix报告将在屏幕上打开并保存到文件夹中的SDFix Report.txt
  （ Report.txt也将被复制到剪贴板） 。
• 最后添加的内容 Report.txt 在您下一次的职务。

----------

下一步后
NoLop日志
Vundofix日志
SDFix日志
新的HijackThis日志

[rsteenoven]

NoLop ！日志Skate_Punk_21

菲克斯萨运行中： C ： \的Documents and Settings \格雷厄姆
[ 23/02/2008 ]
[二十时13分10秒]

---感染文件Found/Removed---
ç ： \窗口\任务\ A9115856918AD032.job

开始移除...
重新启动...
删除罗布泊的隔夜文件/文件夹...
编辑注册表...
**菲克斯萨完成！ **

---上市应用程序数据分目录---

ç ： \的Documents and Settings \所有用户\应用数据\ Adobe公司
ç ： \的Documents and Settings \所有用户\应用数据\未来
ç ： \的Documents and Settings \所有用户\应用数据\美国在线
ç ： \的Documents and Settings \所有用户\应用数据\苹果电脑
ç ： \的Documents and Settings \所有用户\应用数据\ Avg7
ç ： \的Documents and Settings \所有用户\应用数据\ Bvrp软件
ç ： \的Documents and Settings \所有用户\应用数据\四帮助寻找1
ç ： \的Documents and Settings \所有用户\应用数据\ Grisoft
ç ： \的Documents and Settings \所有用户\应用数据\ Messenger的物品！
ç ： \的Documents and Settings \所有用户\应用数据\微软
ç ： \的Documents and Settings \所有用户\应用数据\ Sbsi
ç ： \的Documents and Settings \所有用户\应用数据\索尼公司
ç ： \的Documents and Settings \所有用户\应用数据\ Superantispyware.com
ç ： \的Documents and Settings \所有用户\应用数据\赛门铁克
ç ： \的Documents and Settings \所有用户\应用数据的\ Temp -空目录
ç ： \的Documents and Settings \所有用户\应用数据\ Videoegg
ç ： \的Documents and Settings \所有用户\应用数据\观
ç ： \的Documents and Settings \所有用户\应用数据\ Windows Genuine Advantage的
ç ： \的Documents and Settings \所有用户\应用数据\ Windows Live工具栏
ç ： \的Documents and Settings \默认用户\应用数据\标识
ç ： \的Documents and Settings \默认用户\应用数据\微软
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Adobe公司
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Adobeum
ç ： \的Documents and Settings \格雷厄姆\应用数据\未来
ç ： \的Documents and Settings \格雷厄姆\应用数据\砧软
ç ： \的Documents and Settings \格雷厄姆\应用数据\美国在线
ç ： \的Documents and Settings \格雷厄姆\应用数据\苹果电脑
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Avg7
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Avs4you
ç ： \的Documents and Settings \格雷厄姆\应用数据\偏差等待异
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Divx
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Dvdcss
ç ： \的Documents and Settings \格雷厄姆\应用数据\爱普生
ç ： \的Documents and Settings \格雷厄姆\应用数据\谷歌
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Greyfirst
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Grisoft
ç ： \的Documents and Settings \格雷厄姆\应用数据\标识
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Installshield
ç ： \的Documents and Settings \格雷厄姆\应用数据\ InterVideo公司
ç ： \的Documents and Settings \格雷厄姆\应用数据\乐高公司
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Macromedia公司
ç ： \的Documents and Settings \格雷厄姆\应用数据\微软
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Monkeyjam
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Mozilla浏览器
ç ： \的Documents and Settings \格雷厄姆\应用数据\松下
ç ： \的Documents and Settings \格雷厄姆\应用数据\实时
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Snapfish的
ç ： \的Documents and Settings \格雷厄姆\应用数据\孙
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Superantispyware.com
ç ： \的Documents and Settings \格雷厄姆\应用数据\赛门铁克
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Systemrequirementslab
ç ： \的Documents and Settings \格雷厄姆\应用数据\对讲
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Teamspeak2
ç ： \的Documents and Settings \格雷厄姆\应用数据\万泰
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Videoegg
ç ： \的Documents and Settings \格雷厄姆\应用数据\观
ç ： \的Documents and Settings \格雷厄姆\应用数据\编码
ç ： \的Documents and Settings \格雷厄姆\应用数据\ Xfire公司
ç ： \的Documents and Settings \格雷厄姆\应用数据\你的图片屏幕保护程序
ç ： \的Documents and Settings \ Localservice \应用数据\ Avg7 -空目录
ç ： \的Documents and Settings \ Localservice \应用数据\微软
ç ： \的Documents and Settings \ Localservice \应用数据\赛门铁克
ç ： \的Documents and Settings \ Networkservice \应用数据\微软



VundoFix V6.7.8

检查Java版...

扫描开始， 20时28分56秒23/02/2008

上市文件扫描时发现....

受感染的文件没有被发现。


开始拆除...




SDFix ：版本1.145

由格雷厄姆在20时59分就23/02/2008

微软Windows XP [版本2600年5月1号]
运行中： C ： \ SDFix

检查服务 ：


恢复Windows注册表值
恢复Windows默认Hosts文件

重新开机


检查文件 ：

没有找到的档案木马






删除临时文件

广告检查 ：



最后检查 ：

catchme 0.3.1344.2 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008年2月23日21时06分十五秒的rootkit扫描
2600年5月1号的Windows Service Pack 2中的NTFS

扫描隐藏的进程...

扫描隐藏的服务及系统Hive ...

扫描隐藏的注册表项...

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \ Prefetcher ]
“ TracesProcessed ” =的DWORD ： 00000000
“ TracesSuccessful ” =的DWORD ： 00000000
“ LastTraceFailure ” =的DWORD ： 00000000

扫描隐藏的文件...


扫描顺利完成
隐藏的进程： 0
隐匿服务： 0
隐藏文件： 196


其余服务 ：



授权应用主要出口：

[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \ servic中心\ sharedaccess \参数\ firewallpolicy \标准配置文件\ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系统m32 \ \ sessmgr.exe ： * ：启用： @ xpsp2res.dll ， -22019 ”
的“ C ： \ \ Program Files文件\ \传送\ \ msmsgs.exe ” =的“ C ： \ \ Program Files文件\ \传送\ \ msmsgs.exe ： * ：启用： Windows Messenger的”
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ： * ：启用： @ xpsp3res.dll ， -20000 ”
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLDial.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLDial.exe ： * ：启用：美国在线“
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLacsd.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLacsd.exe ： * ：启用：美国在线“
的“ C ： \ \ Program Files文件\ \美国在线9.0 \ \ waol.exe ” =的“ C ： \ \ Program Files文件\ \美国在线9.0 \ \ waol.exe ： * ：启用：美国在线9.0 ”
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avginet.exe ” =的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avginet.exe ： * ：启用： avgine t.exe ”
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgamsvr.exe ” =的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgamsvr.exe ： * ：启用： avgam svr.exe ”
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgcc.exe ” =的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgcc.exe ： * ：启用： avgcc.ex E ”类
的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ” =的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ： * ：启用： Internet Explorer的”
的“ C ： \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ” =的“ C ： \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ： * ：启用： Xfire公司”
的“ C ： \ \窗口\ \ system32 \ \ dpvsetup.exe ” =的“ C ： \ \窗口\ \ system32 \ \ dpvsetup.exe ： * ：启用：微软的DirectPlay语音测试”
的“ C ： \ \窗口\ \ system32 \ \ rundll32.exe ” =的“ C ： \ \窗口\ \ system32 \ \ rundll32.exe ： * ：启用：运行一个DLL的应用程序”
的“ C ： \ \ Program Files文件\ \总部-深入敌后\ \ ET.exe ” =的“ C ： \ \ Program Files文件\ \总部-深入敌后\ \ ET.exe ： * ：启用： ET外星人”
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ： * ：启用：使用Windows Live Messenger 8.1 ”
的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ” =的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ： * ：启用：使用Windows Live Messenger 8.1 （电话） ”

[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \ servic中心\ sharedaccess \参数\ firewallpolicy \ domainpr ofile \ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系统m32 \ \ sessmgr.exe ： * ：启用： @ xpsp2res.dll ， -22019 ”
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ： * ：启用： @ xpsp3res.dll ， -20000 ”
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLDial.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLDial.exe ： * ：启用：美国在线“
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLacsd.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLacsd.exe ： * ：启用：美国在线“
的“ C ： \ \ Program Files文件\ \美国在线9.0 \ \ waol.exe ” =的“ C ： \ \ Program Files文件\ \美国在线9.0 \ \ waol.exe ： * ：启用：美国在线9.0 ”
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ： * ：启用：使用Windows Live Messenger 8.1 ”
的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ” =的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ： * ：启用：使用Windows Live Messenger 8.1 （电话） ”

其余档案 ：



文件隐藏属性 ：

星期二2004年6月22日答： 54384 。阁下---有“ C ： \ Program Files文件\美国在线9.0 \ aolphx.exe ”
星期二2004年6月22日答： 156784 。阁下---有“ C ： \ Program Files文件\美国在线9.0 \ aoltray.exe ”
星期二2004年6月22日答： 31344 。阁下---有“ C ： \ Program Files文件\美国在线9.0 \ RBM.exe ”
星期三2002年1月9日1097728答： 。阁下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ Dirapi.dll ”
星期三2002年1月9日561152答： 。阁下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ Iml32.dll ”
星期三1答： 2004年9月2048 。阁下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ ipchecking.exe ”
星期二2002年1月8日266293答： 。阁下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ msvcrt.dll ”
星期三2002年1月9日151552答： 。阁下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ Proj.dll ”
星期二2005年3月1日467688答： 。阁下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \视窗- KB885295 - x86的enu.exe ”
星期一2007年10月15号--- 56 .. SHR组的“ C ： \窗口\ system32 \ F64AF6059C.sys ”
星期一2007年10月15号952 A.SH. ---有“ C ： \窗口\ system32 \ KGyGaAvL.sys ”
星期三2007年12月26号4348 A.SH. ---有“ C ： \文件和设置\所有用户\的DRM \ DRMv1.bak ”
星期一2007年2月26日0 A.SH. ---有“ C ： \文件和设置\所有用户\的DRM \缓存\ Indiv01.tmp ”
星期四9月20日2007 0答： 。阁下---有“ C ： \窗口\ SoftwareDistribution \下载\ cf7ced0e 70c80a1e476f1abf49afecb1 \ BIT1.tmp ”

结束了！



日志文件的趋势科技了HijackThis v2.0.2
扫描储存于21时15分十一秒，就23/02/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLAcsd.exe
ç ： \ Program Files文件\ Grisoft \的AVG反间谍软件7.5 \ guard.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ Program Files文件\的QuickTime \ qttask.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ System32 \阀芯\驱动程序\ W32X86 \ 3 \ E_FATIA CE.EXE
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLDial.exe
ç ： \ PROGRA 〜 1 \常见〜 1 \美国在线\ AOLSPY 〜 1 \ AOLSP Scheduler.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ reader_sl.exe
ç ： \ Program Files文件\智能\共同\ RaUI.exe
ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ sniper.exe.exe

受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU \软件\微软\的Internet Explorer \主，初始页=
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://uk.yahoo.com/fsc/
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://uk.yahoo.com/fsc/
受体1 - HKCU \软件\微软\的Internet Explorer \ SearchURL ， （默认） = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
氧- BHO ：雅虎！同伴BHO - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - ç ： \ Program Files文件\雅虎\伴侣\安装\共产党\ ycomp5_3_19_0 。 DLL的
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
臭氧-工具栏：雅虎！伴侣- （ EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88 ） - ç ： \ Program Files文件\雅虎\伴侣\安装\共产党\ ycomp5_3_19_0 。 DLL的
臭氧-工具栏：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ RTHDCPL ] RTHDCPL.EXE
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ igfxtray ] ç ： \窗口\ system32 \ igfxtray.exe
物理学- HKLM \ .. \运行： [ igfxpers ] ç ： \窗口\ system32 \ igfxpers.exe
物理学- HKLM \ .. \运行： [ igfxhkcmd ] ç ： \窗口\ system32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [高清晰度音频属性页快捷方式] HDAShCut.exe
物理学- HKLM \ .. \运行： [爱普生Stylus DX3800系列] ç ： \窗口\ System32 \阀芯\驱动程序\ W32X86 \ 3 \ E_FATIA CE.EXE / P26 “爱普生Stylus DX3800系列” / O6 “ USB001 ” / M “的铁笔DX3800 “
物理学- HKLM \ .. \运行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起动
物理学- HKLM \ .. \运行： [ AOLDialer ] ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLDial.exe
物理学- HKLM \ .. \运行： [美国在线间谍软件保护]的“ C ： \ PROGRA 〜 1 \常见〜 1 \美国在线\ AOLSPY 〜 1 \ AOLSP Scheduler.exe ”
物理学- HKLM \ .. \运行： [ Alcmtr ] ALCMTR.EXE
物理学- HKLM \ .. \运行： [寻求1跳过mfcd ] ç ： \的Documents and Settings \所有用户\应用数据\四帮助寻找1 \龙bin.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ”
物理学- HKCU \ .. \运行： [ updateMgr ] ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ AdobeUpdateManager.exe AcRdB7_0_9
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [ theowns ] ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
物理学-全球启动： Adobe公司伽玛Loader.lnk = ？
物理学-全球启动： Adobe Reader软件高速Launch.lnk = C的： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ reader_sl.exe
物理学-全球启动：美国在线9.0托盘Icon.lnk = C的： \ Program Files文件\美国在线9.0 \ aoltray.exe
物理学-全球启动：智能无线Utility.lnk = C的： \ Program Files文件\智能\共同\ RaUI.exe
物理学-全球启动：莱卡简单Viewer.lnk = ？
O8 -额外上下文菜单项目：与美国在线的工具栏搜索-水库： / /炭： \ Program Files文件\美国在线工具栏\ toolbar.dll / SEARCH.HTML
O8 -额外上下文菜单项目：添加到Windows与现场的收藏- http://favorites.live.com/quickadd.aspx
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮： （无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -额外的按钮：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
O9 -额外的'工具' menuitem ：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮： Real.com - （ CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -额外的按钮： （无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的按钮：雅虎！传送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -额外的'工具' menuitem ：雅虎！传送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -额外的按钮： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器： （ 20A60F0D - 9AFA - 4515 - A0FD - 83BD84642501 ） （跳棋类） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 -柴油机微粒过滤器： （ 406B5949 - 7190 - 4245 - 91A9 - 30A17DE16AD0 ） （ Snapfish的Activia ） - http://www1.snapfish.co.uk/SnapfishUKActivia.cab
O16 -柴油机微粒过滤器： （ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） （ UnoCtrl类） - http://messenger.zone.msn.com/EN-GB/.../GAME_UNO1.cab
O16 -柴油机微粒过滤器： （ 6E5E167B - 1566 - 4316 - B27F - 0DDAB3484CF7 ） （图片上载器控制） - http://www.mypix.com/uk/uk/importer/ImageUploader4.cab
O16 -柴油机微粒过滤器： （ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） （ MessengerStatsClient类） - http://messenger.zone.msn.com/binary...t.cab56907.cab
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服务：美国在线连接服务（美国在线联盟） -美国在线公司- ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLAcsd.exe
O23 -服务：的AVG反间谍软件卫队- GRISOFT氧化锶- ç ： \ Program Files文件\ Grisoft \的AVG反间谍软件7.5 \ guard.exe
O23 -服务： AVG7警报管理器服务器（ Avg7Alrt ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服务： AVG7更新服务（ Avg7UpdSvc ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服务： MSCSPTISRV -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ MSCSPTISRV.exe
O23 -服务： PACSPTISVR -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ PACSPTISVR.exe
O23 -服务：索尼SPTI服务（ SPTISRV ） -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ SPTISRV.exe

-
文件结尾- 8485字节

[evilfantasy]

请下载Combofix由潜艇从以下链接。
（尝试所有这三个如果必要的话）

• 链接＃ 1
• 链接＃ 2
• 链接＃ 3

重要的！ Combofix.exe 必须 保存到跑的 桌面。

• 关闭所有打开Web浏览器。 （火狐时， Internet Explorer等） ，开始之前Combofix 。
• 重要的！ 暂时 丧失能力 你的 防病毒， 脚本拦截 和任何 反间谍 实时保护 前 执行扫描。
  • 点击 此链接 看到一个列表的安全计划，应该被禁用，以及如何禁用。
  • 如果您没有列出来，你不知道如何禁用它，请要求。
• 警告： Combofix断开您的计算机从互联网上。连接自动恢复完成前Combofix运行。
• 双击combofix.exe ＆按照提示操作。
  • 从键盘选择 1 并按下 输入
• 完成时，它将产生一个日志你。
• 邮报记录在您下次答复。

警告： 不要mouseclick combofix的窗口同时运行。 这可能会导致它摊档

• 如果Combofix经营困难而终止过早，连接可以手动恢复重新启动计算机。
• 重要提示： 记得要重新启用您的防病毒和反间谍之前重新到互联网。

----------

下一步后
Combofix日志
新的HijackThis日志

[rsteenoven]

ComboFix 08-02-24.2 -格雷厄姆2008年2月23日21:35:51.1 - NTFSx86
运行中： C ： \的Documents and Settings \格雷厄姆\桌面\ ComboFix.exe
*创建了一个新的还原点

警告，这台机器没有故障恢复控制台安装！ ！
。

(((((((((((((((((((((((((创建的文件从2008年1月24日至2008年2月24日))))))))))) ))))))))))))))))))))
。

2008年2月23日20时57分。 2008年2月23日20:57 <DIR> d -------- ç ： \窗口\ ERUNT
2008年2月23日20:50 。 2008年2月23日21时09 <DIR> d -------- ç ： \ SDFix
2008年2月23日20时28分。 2008年2月23日20时28 <DIR> d -------- ç ： \ VundoFix备份
2008年2月23日20:14 。 2008年2月23日20时16 <DIR> d -------- ç ： \ NoLopBackups
2008年2月23日19:41 。 2008年2月23日19:41 <DIR> d -------- ç ： \ Program Files文件\趋势科技
2008年2月23日19:25 。 2007年9月24日23:31 69632 -一个------ ç ： \窗口\ system32 \ javacpl.cpl
2008年2月23日16时29分。 2008年2月23日16时29分<DIR> d -------- ç ： \ Program Files文件\ CCleaner
2008年2月23日14时15分。 2008年2月23日16时23 <DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\ 。 housecall6.6
2008年2月16号22:59 。 2008年2月16号22:59 <DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\应用数据\ dvdcss
2008年2月16号17:49 。 2008年2月16号17:49 12302839 --------- ç ： \ avg7qt.dat
08年2月14日11:21 。 08年2月14日11:21 <DIR> d -------- ç ： \ Program Files文件\偏差等待异
2008年2月5日19时36分。 2008年2月5日19时36分268 -啊----- ç ： \ sqmdata09.sqm
2008年2月5日19时36分。 2008年2月5日19时36分244 -啊----- ç ： \ sqmnoopt09.sqm
2008年1月31日02:02 。 2008年1月31日02:02 54608 -一个------ ç ： \窗口\ system32 \ xfcodec.dll
2008年1月26日19:25 。 2008年2月23日19:11 <DIR> d -------- ç ： \ Program Files文件\ SUPERAntiSpyware
2008年1月26日19:25 。 2008年1月26日19:25 <DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\应用数据\ SUPERAntiSpyware.com
2008年1月26日19:25 。 2008年1月26日19:25 <DIR> d -------- ç ： \的Documents and Settings \所有用户\应用数据\ SUPERAntiSpyware.com
2008年1月26日19:22 。 2008年1月26日19时22 <DIR> d -------- ç ： \ Program Files文件\共同文件\智者安装向导
2008年1月26日19时18分。 2008年1月26日19时18分<DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\应用数据\ Grisoft
2008年1月26日19:17 。 07年5月30号12:10 10872 -一个------ ç ： \窗口\ system32 \驱动程序\ AvgAsCln.sys

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ） ）
。
2008年2月23日19:40 --------- d -----钨： \ Program Files文件\ Java的
2008年2月23日12时32 --------- -----钨d ： \的Documents and Settings \格雷厄姆\应用数据\ Xfire公司
2008年2月16号19:01 --------- d -----钨： \的Documents and Settings \格雷厄姆\应用数据\偏差等待异
2008年2月16号18:54 --------- d -----钨： \ Program Files文件\ SpeedFan
2008年2月16号17:49 --------- -----钨d ： \文件和设置\所有用户\应用数据\ avg7
08年2月14日16时57 ---------德尚---钨： \ Program Files文件\ Xfire公司
08年2月14日11时22 --------- -----钨d ： \文件和设置\所有用户\应用数据\四帮助寻找1
2008年1月26日19时17 --------- -----钨d ： \文件和设置\所有用户\应用数据\ Grisoft
2008年1月16号17:55 --------- d -----钨： \ Program Files文件\圈开发
2008年1月16号16:20 --------- d -----钨： \ Program Files文件\图像线
2008年1月16号16:17 --------- d -----钨： \ Program Files文件\ VstPlugins
2008年1月5日13:12 --------- d -----钨： \ Program Files文件\乐高公司
2008年1月4日23:12 --------- d -----钨： \ Program Files文件\的Windows Live
2008年1月4日23:12 --------- d -----钨： \ Program Files文件\ MSN Messenger的
2008年1月4日23:12 --------- d -----钨： \ Program Files文件\ Messenger的物品！活的
2008年1月4日23:12 --------- -----钨d ： \文件和设置\所有用户\应用数据\ Messenger的物品！
2007年12月26号11点37 ---------数d - h -钨： \ Program Files文件\ InstallShield安装信息
2007年12月26号11点37 --------- -----钨d ： \ Program Files文件\数字视频
2007年12月26号11点36 --------- -----钨d ： \的Documents and Settings \格雷厄姆\应用数据\ InstallShield
2007年12月25号17:21 --------- d -----钨： \ Program Files文件\ MonkeyJam
2007年12月7日00:44 666112 ----胡ç ： \窗口\ system32 \ wininet.dll
2007年12月4号18:38 550912 ----胡ç ： \窗口\ system32 \ oleaut32.dll
2007年4月15号11:18 24192 ----胡ç ： \的Documents and Settings \格雷厄姆\ usbsermptxp.sys
2007年4月15号11:18 22768 ----胡ç ： \的Documents and Settings \格雷厄姆\ usbsermpt.sys
2007年10月15号16点48分56 -上海-研究ç ： \窗口\ system32 \ F64AF6059C.sys
2007年10月15号16点48分952 -沙钨： \窗口\ system32 \ KGyGaAvL.sys
。

(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ updateMgr ” =的“ C ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ AdobeUpdateManager.exe ” [ 2006年3月30号16:45 313472 ]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日12:00 15360 ]
“ theowns ” =的“ C ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ Sl的owLoad.exe ” [ 2008年2月14号11:20 435200 ]

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ TkBellExe ” =的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” [ 2007年8月22日07:26 185632 ]
“ RTHDCPL ” = “ RTHDCPL.EXE ” [ 2005年8月18号05:20 14820864 ç ： \窗口\ RTHDCPL.EXE ]
“ QuickTime的工作” =的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” [ 2006年9月1日15:57 282624 ]
“ NeroFilterCheck ” =的“ C ： \窗口\ system32 \ NeroCheck.e氙” [ 2001年7月9日09:50 155648 ]
“ igfxtray ” =的“ C ： \窗口\ system32 \ igfxtray.exe ” [ 2005年8月24日10:50 94208 ]
“ igfxpers ” =的“ C ： \窗口\ system32 \ igfxpers.exe ” [ 2005年8月24日10:51 114688 ]
“ igfxhkcmd ” =的“ C ： \窗口\ system32 \ hkcmd.exe ” [ 2005年8月24日10:47 77824 ]
“高清晰度音频属性页捷径” = “ HDAShCut.exe ” [ 2005年1月7日15时零七61952 ç ： \窗口\ system32 \ HdAShCut.exe ]
“爱普生Stylus DX3800系列” =的“ C ： \窗口\ System32 \阀芯\驱动程序\ W32X86 \ 3 \ E_FATIACE.exe ” [ 2005年2月8日04:00 98304 ]
“ AVG7_CC ” =的“ C ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe ” [ 2007年12月21号十五点07 579072 ]
“ AOLDialer ” =的“ C ： \ Program Files文件\共同文件\美国在线\联盟\ AOLDial.exe ” [ 2004年11月9号23:22 497240 ]
“美国在线间谍软件防护” =的“ C ： \ PROGRA 〜 1 \常见〜 1 \美国在线\ AOLSPY 〜 1 \美国在线警司Scheduler.exe ” [ 04年10月18号16时42分79448 ]
“寻求1跳过mfcd ” =的“ C ： \文件和设置\所有用户\应用数据\四帮助寻找1 \龙bin.exe ” [ 2008年2月23日21点12分二百八十八点五一二万]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ” [ 2007年9月25日01:11 132496 ]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗口\ system32 \ Ctfmon.exe会” [ 2004年8月4日12:00 15360 ]
“ AVG7_Run ” =的“ C ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe ” [ 2007年10月24号10:19 219136 ]

ç ： \的Documents and Settings \所有用户\开始菜单\程序\启动\
Adobe公司伽玛Loader.lnk - ç ： \ Program Files文件\共同文件\的Adobe \校准\ Adobe公司伽玛Loader.exe [ 2006年1月10日19点06分三十八秒113664 ]
Adobe Reader软件高速Launch.lnk - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ reader_sl.exe [ 2005年9月23日22点05分二十六秒29696 ]
美国在线9.0托盘Icon.lnk - ç ： \ Program Files文件\美国在线9.0 \ aoltray.exe [ 2007年1月20号19时34分26秒156784 ]
智能无线Utility.lnk - ç ： \ Program Files文件\智能\共同\ RaUI.exe [ 2006年11月11号11点18分12秒626688 ]
莱卡简单Viewer.lnk - ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe [ 2006年12月2号9点48分19秒61440 ]

[ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ shellexecutehooks ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” = C的： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL [ 2006-12-20 13时55分77824 ]

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll 2007年4月19日13:41 294912 ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile ]
“ EnableFirewall ” = 0 （ 0x0 ）

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \传送\ \ msmsgs.exe ” =
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” =
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLDial.exe ” =
的“ C ： \ \ Program Files文件\ \共同文件\ \美国在线\ \ ACS的\ \ AOLacsd.exe ” =
的“ C ： \ \ Program Files文件\ \美国在线9.0 \ \ waol.exe ” =
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avginet.exe ” =
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgamsvr.exe ” =
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgcc.exe ” =
的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ” =
的“ C ： \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ dpvsetup.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ rundll32.exe ” =
的“ C ： \ \ Program Files文件\ \总部-深入敌后\ \ ET.exe ” =
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =
的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ” =

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单]
“ 27950 ： UDP连接” = 27950 ： UDP连接：总部
“ 27951 ： UDP连接” = 27951 ： UDP连接： Wolfenstein1
“ 27960 ： UDP连接” = 27960 ： UDP连接： Wolfenstein2

R3的AN983 ; ADMtek AN983/AN985/ADM951X 10/100快速以太网卡; ç ： \窗口\ system32 \驱动程序\ AN983.sys [ 05年1月13日08:28 ]
三CoachUsb ;教练数码相机USB接口; ç ： \窗口\ system32 \驱动程序\ CoachUsb.sys [ 2004年1月22日12时41分]

。
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008年2月24日21时39分46秒的rootkit扫描
2600年5月1号的Windows Service Pack 2中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
完成时间： 2008年2月24日21时四十二分27秒
。
2008年2月13号12点22分05秒--- EOF分析---


日志文件的趋势科技了HijackThis v2.0.2
扫描储存于21点45分13秒，就24/02/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLAcsd.exe
ç ： \ Program Files文件\ Grisoft \的AVG反间谍软件7.5 \ guard.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ Program Files文件\的QuickTime \ qttask.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ System32 \阀芯\驱动程序\ W32X86 \ 3 \ E_FATIA CE.EXE
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLDial.exe
ç ： \ PROGRA 〜 1 \常见〜 1 \美国在线\ AOLSPY 〜 1 \ AOLSP Scheduler.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\智能\共同\ RaUI.exe
ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \记事
ç ： \ Program Files文件\趋势科技\了HijackThis \ sniper.exe.exe

R0 - HKCU \软件\微软\的Internet Explorer \主，初始页=
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://uk.yahoo.com/fsc/
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://uk.yahoo.com/fsc/
受体1 - HKCU \软件\微软\的Internet Explorer \ SearchURL ， （默认） = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
氧- BHO ：雅虎！同伴BHO - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - ç ： \ Program Files文件\雅虎\伴侣\安装\共产党\ ycomp5_3_19_0 。 DLL的
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
臭氧-工具栏：雅虎！伴侣- （ EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88 ） - ç ： \ Program Files文件\雅虎\伴侣\安装\共产党\ ycomp5_3_19_0 。 DLL的
臭氧-工具栏：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ RTHDCPL ] RTHDCPL.EXE
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ igfxtray ] ç ： \窗口\ system32 \ igfxtray.exe
物理学- HKLM \ .. \运行： [ igfxpers ] ç ： \窗口\ system32 \ igfxpers.exe
物理学- HKLM \ .. \运行： [ igfxhkcmd ] ç ： \窗口\ system32 \ hkcmd.exe
物理学- HKLM \ .. \运行： [高清晰度音频属性页快捷方式] HDAShCut.exe
物理学- HKLM \ .. \运行： [爱普生Stylus DX3800系列] ç ： \窗口\ System32 \阀芯\驱动程序\ W32X86 \ 3 \ E_FATIA CE.EXE / P26 “爱普生Stylus DX3800系列” / O6 “ USB001 ” / M “的铁笔DX3800 “
物理学- HKLM \ .. \运行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起动
物理学- HKLM \ .. \运行： [ AOLDialer ] ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLDial.exe
物理学- HKLM \ .. \运行： [美国在线间谍软件保护]的“ C ： \ PROGRA 〜 1 \常见〜 1 \美国在线\ AOLSPY 〜 1 \ AOLSP Scheduler.exe ”
物理学- HKLM \ .. \运行： [寻求1跳过mfcd ] ç ： \的Documents and Settings \所有用户\应用数据\四帮助寻找1 \龙bin.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ”
物理学- HKCU \ .. \运行： [ updateMgr ] ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ AdobeUpdateManager.exe AcRdB7_0_9
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [ theowns ] ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
物理学-全球启动： Adobe公司伽玛Loader.lnk = ？
物理学-全球启动： Adobe Reader软件高速Launch.lnk = C的： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ reader_sl.exe
物理学-全球启动：美国在线9.0托盘Icon.lnk = C的： \ Program Files文件\美国在线9.0 \ aoltray.exe
物理学-全球启动：智能无线Utility.lnk = C的： \ Program Files文件\智能\共同\ RaUI.exe
物理学-全球启动：莱卡简单Viewer.lnk = ？
O8 -额外上下文菜单项目：与美国在线的工具栏搜索-水库： / /炭： \ Program Files文件\美国在线工具栏\ toolbar.dll / SEARCH.HTML
O8 -额外上下文菜单项目：添加到Windows与现场的收藏- http://favorites.live.com/quickadd.aspx
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮： （无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -额外的按钮：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
O9 -额外的'工具' menuitem ：美国在线工具栏- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美国在线工具栏\ toolbar.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮： Real.com - （ CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -额外的按钮： （无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的按钮： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： @ ç ： \ Program Files文件\传送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器： （ 20A60F0D - 9AFA - 4515 - A0FD - 83BD84642501 ） （跳棋类） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 -柴油机微粒过滤器： （ 406B5949 - 7190 - 4245 - 91A9 - 30A17DE16AD0 ） （ Snapfish的Activia ） - http://www1.snapfish.co.uk/SnapfishUKActivia.cab
O16 -柴油机微粒过滤器： （ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） （ UnoCtrl类） - http://messenger.zone.msn.com/EN-GB/.../GAME_UNO1.cab
O16 -柴油机微粒过滤器： （ 6E5E167B - 1566 - 4316 - B27F - 0DDAB3484CF7 ） （图片上载器控制） - http://www.mypix.com/uk/uk/importer/ImageUploader4.cab
O16 -柴油机微粒过滤器： （ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） （ MessengerStatsClient类） - http://messenger.zone.msn.com/binary...t.cab56907.cab
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服务：美国在线连接服务（美国在线联盟） -美国在线公司- ç ： \ Program Files文件\共同文件\美国在线\联盟\ AOLAcsd.exe
O23 -服务：的AVG反间谍软件卫队- GRISOFT氧化锶- ç ： \ Program Files文件\ Grisoft \的AVG反间谍软件7.5 \ guard.exe
O23 -服务： AVG7警报管理器服务器（ Avg7Alrt ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服务： AVG7更新服务（ Avg7UpdSvc ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服务： MSCSPTISRV -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ MSCSPTISRV.exe
O23 -服务： PACSPTISVR -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ PACSPTISVR.exe
O23 -服务：索尼SPTI服务（ SPTISRV ） -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ SPTISRV.exe

-
文件结尾- 8061字节

[evilfantasy]

扫描可疑文件（县）

请访问 一个 如下：
（多个网站的情况下，给出一个不工作）

• Virustotal
• Jotti的恶意软件扫描
• VirSCAN.org

复制的文件路径中的代码下面的框中。

码：

ç ： \的Documents and Settings \所有用户\应用数据\四帮助寻找1 \龙bin.exe

码：

ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe

注： 您只能扫描一个文件，以便您将需要重复procecc和会后都扫描结果。

• 在上载网站，单击一旦进入窗口旁边的 浏览。
• 新闻 CTRL + V键 在键盘上（包括在同一时间）将其粘贴在文件路径的窗口。
• 接下来点击 发送文件/提交/上传 （根据网站）
  • 您的文件将可能进入一个队列通常需要不到一分钟，以明确的。
• 这将执行扫描多种不同的病毒扫描引擎。
• 请等待所有的扫描引擎来完成。
• 然后将其粘贴复制的结果在接下来的答复。

[rsteenoven]

长期bin.exe


防病毒版本最后更新结果AhnLab - V32008.2.22.02008.02.22 - AntiVir7.6.0.672008.02.22 - Authentium4.93.82008.02.23 - Avast4.7.1098.02008.02.23 - AVG7.5.0.5162008.02.22 - BitDefender7.22008.02.23猫- QuickHeal9.502008.02.22 - ClamAV0.92.12008.02.23 - DrWeb4.44.0.091702008.02.23 - eSafe7.0.15.02008.02.21 - eTrust - Vet31.3.55572008.02.23 - Ewido4.02008.02.23 - FileAdvisor12008.02.23 - Fortinet3 .14.0.02008.02.23 -架F - Prot4 .4.2.542008.02.23 -架F - Secure6 .70.13260.02008.02.23 - IkarusT3 .1.1.202008.02.23 - Kaspersky7 .0.0.1252008.02.23 - McAfee52362008 .02.22 - Microsoft1 .32042008.02 0.23 - NOD32v228982008 .02.23 - Norman5 .80.022008.02.22 - Panda9 .0.0.42008.02.23 - Prevx1V22008 .02.23 - Rising20 .32.52.002008.02.23 - Sophos4 .26.02008.02.23 - Sunbelt3 .0.893.02008.02.23 - Symantec102008 .02.23 - TheHacker6.2.9.2282008.02.23 - VBA323.12.6.12008.02.21 - VirusBuster4.3.26 :92008.02.23 - Webwasher - Gateway6 .6.22008.02.23 -附加信息文件大小： 2885120 bytesMD5 ： 394ff269da96f0189c9a2df92df41e46SHA1 ： bb51404b2d9c0c03e273f75f20cd01bd5aad5802PEiD ： -

SlowLoad.exe

防病毒版本最后更新结果AhnLab - V32008.2.22.02008.02.22 - AntiVir7.6.0.672008.02.22 - Authentium4.93.82008.02.23Possibly的新变种W32/Swizzor-based ！ MaximusAvast4.7.1098.02008.02.23 - AVG7.5.0 .5162008.02.22 - BitDefender7 .22008.02.23猫- QuickHeal9 .502008.02.22 - ClamAV0 .92.12008.02.23 - DrWeb4 .44.0.091702008.02.23 - eSafe7 .0.15.02008.02.21 - eTrust - Vet31 .3.55572008.02.23 - Ewido4 .02008.02.23-FileAdvisor12008.02.23-Fortinet3.14.0.02008.02.23-F-Prot4.4.2.542008.02.23W32/Swizzor-based ！ MaximusF - Secure6.70.13260.02008.02.23 - IkarusT3.1.1.202008.02.23 - Kaspersky7 .0.0.1252008.02.23 - McAfee52362008 .02.22 - Microsoft1 .32042008.02.23 - NOD32v228982008 .02.23 - Norman5 .80.022008.02.22 - Panda9 .0.0.42008.02.23 - Prevx1V22008 .02.23 - Rising20 .32.52.002008.02.23 - Sophos4 .26.02008 .02.23 - Sunbelt3 .0.893.02008.02.23 - Symantec102008 .02.23 - TheHacker6 .2.9.2282008.02.23 - VBA323 .12.6.12008.02.21 - VirusBuster4 .3.26:92008.02.23 Trojan.DL.Swizzor.Gen ！ Pac.2Webwasher - Gateway6 .6.22008.02.23 -附加信息文件大小： 435200 bytesMD5 ： a8063318bfd0a7d6c9c4059d4506d021SHA1 ： 17a4d06e242919227ccc3f4e1c3b38dafbad4263PEiD ： -

[evilfantasy]

请运行 F - Secure的在线扫描

注： 这种扫描仪与Internet Explorer中只有！

• 滚动到页面底部，然后按一下按钮，开始扫描。一个窗口会弹出。
• 允许Active X控件将您的计算机上安装，然后点击同意按钮
• 点击 全系统扫描 并允许组件下载并扫描完成。
• 如果发现恶意软件，请检查 提交样本F - Secure公司 然后选择 自动清洗
• 当清洁已finitished ，单击查看报告（这将打开一个Internet Explorer窗口中包含的报告）
• 突出和复制（ Ctrl + C ）的完整报告，并将其粘贴（ Ctrl + V ）来在一个新的回复此帖子
  • 如果自动清洗与提交样本挂起，单击 取消，然后 新的扫描
• 当清洁的选择是， 取消 提交样本F - Secure公司
• 点击 自动清洗
• 当清洁已finitished ，单击 查看报告 （这将打开一个Internet Explorer窗口中包含的报告）
• 突出和复制（ Ctrl + C ）的完整报告，并将其粘贴（ Ctrl + V ）来在一个新的回复此职位。

如果需要去 开始> “运行”键入notepad.exe 然后按下 行。
粘贴到记事本中记录并保存到桌面上，因此可以很容易地张贴后。

此扫描可能需要相当长的一段时间，请耐心等待

----------

下一步后
F - Secure的日志

也让我知道现在的电脑。

[rsteenoven]

扫描惯于工作，红外口口声声说发生错误。

任何想法？

[evilfantasy]

您使用的是它在Internet Explorer ？如果它不会工作，然后使用BitDefender 。


这种扫描仪的作品只在Internet Explorer
转到 BitDefender在线扫描
点击 我同意 的许可证，然后再安装ActiveX控件。
请 切忌 改变扫描选项。
这将使您的日志巨大的，我们并不需要看到干净的文件。
选择 开始扫描 开始。
此扫描可能需要一段时间请耐心等待并让它完成。


一旦完成扫描Bitdefender ：
点击的 发现问题 标签。
然后选择 点击这里出口的扫描报告



当窗口达到保存的报告，改变 保存类型： 方块：
文本文件（制表符分隔） （ *. txt ） 然后在 文件名 框中输入更改 bdscan 然后单击 保存



这将节省一个名为 bdscan.txt 。 我建议将其保存 桌面 这样就可以轻松地找到它。
（注意下您保存它可以找到该文件后）

这实际上将bdcan.txt文件包含HTML代码，我们可以轻松地查看后在审核您的日志。我们要做的是将档案重新命名为bdscan.html 。

如果您没有按照这些步骤中，您将有一个不正确的日志或日志摘要更糟的是没有用的我们

邮政的 bdscan.txt 在未来的职位。