[rsteenoven]

這是我爸爸的電腦和我有一種感覺它有一些不好的東西。因此，這裡有2份報告。此外， iexplore.exe是使用了大量的內存時，甚至沒有運行。

超級反間諜日誌：

SUPERAntiSpyware掃描日誌
http://www.superantispyware.com

產生2008年2月23日在下午7點01

應用版本： 1008年9月3號

核心規則數據庫版本： 3389
痕量規則數據庫版本： 1383

掃描類型：完整掃描
總掃描時間： 2時21分49秒

記憶掃描的項目： 400
內存威脅檢測： 0
註冊表項掃描： 6072
書記官處的威脅檢測： 0
文件項目掃描： 6.029萬
檔案威脅檢測： 0


劫持這個記錄：


日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於十九時44分10秒，就23/02/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
啟動模式：正常

正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLAcsd.exe
ç ： \ Program Files文件\ Grisoft \的AVG反間諜軟件7.5 \ guard.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ Program Files文件\的QuickTime \ qttask.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLDial.exe
ç ： \ PROGRA 〜 1 \常見〜 1 \美國在線\ AOLSPY 〜 1 \ AOLSP Scheduler.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\傳送\ msmsgs.exe
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\智能\共同\ RaUI.exe
ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \ Program Files文件\趨勢科技\了HijackThis \ sniper.exe.exe

受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索欄= http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索頁面= http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU \軟件\微軟\的Internet Explorer \主，初始頁= http://www.google.co.uk/
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://uk.yahoo.com/fsc/
R0 - HKLM \軟件\微軟\的Internet Explorer \主，初始頁= http://uk.yahoo.com/fsc/
受體1 - HKCU \軟件\微軟\的Internet Explorer \ SearchURL ， （默認） = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
氧- BHO ：雅虎！同伴BHO - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - ç ： \ Program Files文件\雅虎\伴侶\安裝\共產黨\ ycomp5_3_19_0 。 DLL的
氧- BHO ：的Adobe PDF Reader鏈接幫手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： SSVHelper類- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
氧- BHO ： （無姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （沒有文件）
臭氧-工具欄：雅虎！伴侶- （ EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88 ） - ç ： \ Program Files文件\雅虎\伴侶\安裝\共產黨\ ycomp5_3_19_0 。 DLL的
臭氧-工具欄：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
物理學- HKLM \ .. \運行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” - osboot
物理學- HKLM \ .. \運行： [ RTHDCPL ] RTHDCPL.EXE
物理學- HKLM \ .. \運行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理學- HKLM \ .. \運行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理學- HKLM \ .. \運行： [ igfxtray ] ç ： \窗口\ system32 \ igfxtray.exe
物理學- HKLM \ .. \運行： [ igfxpers ] ç ： \窗口\ system32 \ igfxpers.exe
物理學- HKLM \ .. \運行： [ igfxhkcmd ] ç ： \窗口\ system32 \ hkcmd.exe
物理學- HKLM \ .. \運行： [高清晰度音頻屬性頁快捷方式] HDAShCut.exe
物理學- HKLM \ .. \運行： [愛普生Stylus DX3800系列] ç ： \窗口\ System32 \閥芯\驅動程序\ W32X86 \ 3 \ E_FATIA CE.EXE / P26 “愛普生Stylus DX3800系列” / O6 “ USB001 ” / M “的鐵筆DX3800 “
物理學- HKLM \ .. \運行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起動
物理學- HKLM \ .. \運行： [ AOLDialer ] ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLDial.exe
物理學- HKLM \ .. \運行： [美國在線間諜軟件保護]的“ C ： \ PROGRA 〜 1 \常見〜 1 \美國在線\ AOLSPY 〜 1 \ AOLSP Scheduler.exe ”
物理學- HKLM \ .. \運行： [ Alcmtr ] ALCMTR.EXE
物理學- HKLM \ .. \運行： [尋求1跳過mfcd ] ç ： \的Documents and Settings \所有用戶\應用數據\四幫助尋找1 \龍bin.exe
物理學- HKLM \ .. \運行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ”
物理學- HKCU \ .. \運行： [ updateMgr ] ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ AdobeUpdateManager.exe AcRdB7_0_9
物理學- HKCU \ .. \運行： [ MSMSGS ]的“ C ： \ Program Files文件\傳送\ msmsgs.exe ” /背景
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [ theowns ] ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 20 \ .. \運行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用戶的網絡服務' ）
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶默認用戶' ）
物理學-全球啟動： Adobe公司伽瑪Loader.lnk = ？
物理學-全球啟動： Adobe Reader軟件高速Launch.lnk = C的： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ reader_sl.exe
物理學-全球啟動：美國在線9.0托盤Icon.lnk = C的： \ Program Files文件\美國在線9.0 \ aoltray.exe
物理學-全球啟動：智能無線Utility.lnk = C的： \ Program Files文件\智能\共同\ RaUI.exe
物理學-全球啟動：萊卡簡單Viewer.lnk = ？
O8 -額外上下文菜單項目：與美國在線的工具欄搜索-水庫： / /炭： \ Program Files文件\美國在線工具欄\ toolbar.dll / SEARCH.HTML
O8 -額外上下文菜單項目：添加到Windows與現場的收藏- http://favorites.live.com/quickadd.aspx
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000
O9 -額外的按鈕： （無姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ npjpi160_03.dll
O9 -額外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ npjpi160_03.dll
O9 -額外的按鈕：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
O9 -額外的'工具' menuitem ：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL
O9 -額外的按鈕： Real.com - （ CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -額外的按鈕： （無姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的按鈕：雅虎！傳送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -額外的'工具' menuitem ：雅虎！傳送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -額外的按鈕： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器： （ 20A60F0D - 9AFA - 4515 - A0FD - 83BD84642501 ） （跳棋類） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 -柴油機微粒過濾器： （ 406B5949 - 7190 - 4245 - 91A9 - 30A17DE16AD0 ） （ Snapfish的Activia ） - http://www1.snapfish.co.uk/SnapfishUKActivia.cab
O16 -柴油機微粒過濾器： （ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） （ UnoCtrl類） - http://messenger.zone.msn.com/EN-GB/.../GAME_UNO1.cab
O16 -柴油機微粒過濾器： （ 6E5E167B - 1566 - 4316 - B27F - 0DDAB3484CF7 ） （圖片上載器控制） - http://www.mypix.com/uk/uk/importer/ImageUploader4.cab
O16 -柴油機微粒過濾器： （ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） （ MessengerStatsClient類） - http://messenger.zone.msn.com/binary...t.cab56907.cab
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服務：美國在線連接服務（美國在線聯盟） -美國在線公司- ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLAcsd.exe
O23 -服務：的AVG反間諜軟件衛隊- GRISOFT氧化鍶- ç ： \ Program Files文件\ Grisoft \的AVG反間諜軟件7.5 \ guard.exe
O23 -服務： AVG7警報管理器服務器（ Avg7Alrt ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服務： AVG7更新服務（ Avg7UpdSvc ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服務： MSCSPTISRV -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ MSCSPTISRV.exe
O23 -服務： PACSPTISVR -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ PACSPTISVR.exe
O23 -服務：索尼SPTI服務（ SPTISRV ） -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ SPTISRV.exe

-
文件結尾- 8712字節

[evilfantasy]

打開HijackThis並選擇 這樣做只有一個系統掃描。

廣場旁邊選中复選標記以下條目： （如果有）

氧- BHO ： （無姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （沒有文件）

重要提示： 關閉所有窗口除了HijackThis並然後單擊 菲克斯薩檢查。

退出了HijackThis 。

----------

下載NoLop到您的桌面從下面的鏈接...

• 鏈接1
• 鏈接2

• 關閉任何程序運行，因為您有需要重新啟動
• 雙擊 NoLop.exe 運行它
• 下一步，按一下按鈕即可標記： 搜尋並摧毀
  • 您的計算機將被感染的文件掃描
• 當掃描完成後，如果受感染的，系統會提示您重新啟動
• 單擊確定
• 現在，請點擊： 重啟
• 致辭應彈出從NoLop 。如果不是，雙擊該程序，並再次將完成。
• 郵報的內容 ç ： \ NoLop.log 在接下來的答复。

注： 如果您收到錯誤， “ mscomctl.ocx或其相依性是沒有正確註冊， ”請下載mscomctl.ocx您的System32文件夾然後重新運行該程序。

----------

下載 Vundofix.exe 到您的桌面。

• 雙擊 VundoFix.exe 運行它。
• 把旁邊的勾選記號 運行VundoFix作為任務。
• 您將收到一條消息說vundofix將關閉並重新打開在一分鐘或更少。點擊 行
• 當VundoFix重新開放，請點擊 掃描Vundo 按鈕。
• 一旦完成掃描，請單擊 移除Vundo 按鈕。
• 您將收到一個提示，詢問您是否要刪除該文件，請單擊 是
• 當您單擊是，您的桌面將空白的，因為它開始消除Vundo 。
• 工程完成後，系統會提示，它將關閉計算機時，單擊 行。
• 打開計算機。
• 請張貼的內容的C ： \vundofix.txt

注： 有可能是VundoFix遇到一個文件不能刪除。在這種情況下， VundoFix上運行重新啟動，只要按照上述指示，從“按一下按鈕，掃描Vundo ”當VundoFix出現在重新啟動。

請告訴Vundo完成，有時可以採取多種通行證

----------

下載 SDFix.exe 並保存到桌面。

雙擊 SDFix.exe 這將解壓縮文件為％ SystemDrive ％
（驅動器包含Windows目錄，通常為C ： \ SDFix ）

請再重新啟動您的計算機中 安全模式 做下面的：

• 重新啟動計算機
• 在聽取您的計算機響鈴一次啟動過程中，但在此之前的Windows圖標出現，自來水按F8鍵繼續;
• 而不是Windows負荷為正常，在高級選項菜單應該會出現;
• 選擇第一個選項，運行Windows在安全模式，然後按下 輸入。
• 選擇通常的帳戶。
• 打開文件夾，並提取SDFix雙擊 RunThis.bat 啟動腳本。
• 類型 Ÿ 開始清理進程。
• 這將消除任何木馬服務和註冊表項，發現提示您按任意鍵重新啟動。
• 按任意鍵，將重新啟動電腦。
• 當電腦重新啟動Fixtool將捲土重來，並完成刪除過程然後顯示 完成，按任意鍵結束腳本和加載您的桌面圖標。
• 一旦桌面圖標加載SDFix報告將在屏幕上打開並保存到文件夾中的SDFix Report.txt
  （ Report.txt也將被複製到剪貼板） 。
• 最後添加的內容 Report.txt 在您下一次的職務。

----------

下一步後
NoLop日誌
Vundofix日誌
SDFix日誌
新的HijackThis日誌

[rsteenoven]

NoLop ！日誌Skate_Punk_21

菲克斯薩運行中： C ： \的Documents and Settings \格雷厄姆
[ 23/02/2008 ]
[二十時13分10秒]

---感染文件Found/Removed---
ç ： \窗口\任務\ A9115856918AD032.job

開始移除...
重新啟動...
刪除羅布泊的隔夜文件/文件夾...
編輯註冊表...
**菲克斯薩完成！ **

---上市應用程序數據分目錄---

ç ： \的Documents and Settings \所有用戶\應用數據\ Adobe公司
ç ： \的Documents and Settings \所有用戶\應用數據\未來
ç ： \的Documents and Settings \所有用戶\應用數據\美國在線
ç ： \的Documents and Settings \所有用戶\應用數據\蘋果電腦
ç ： \的Documents and Settings \所有用戶\應用數據\ Avg7
ç ： \的Documents and Settings \所有用戶\應用數據\ Bvrp軟件
ç ： \的Documents and Settings \所有用戶\應用數據\四幫助尋找1
ç ： \的Documents and Settings \所有用戶\應用數據\ Grisoft
ç ： \的Documents and Settings \所有用戶\應用數據\ Messenger的物品！
ç ： \的Documents and Settings \所有用戶\應用數據\微軟
ç ： \的Documents and Settings \所有用戶\應用數據\ Sbsi
ç ： \的Documents and Settings \所有用戶\應用數據\索尼公司
ç ： \的Documents and Settings \所有用戶\應用數據\ Superantispyware.com
ç ： \的Documents and Settings \所有用戶\應用數據\賽門鐵克
ç ： \的Documents and Settings \所有用戶\應用數據的\ Temp -空目錄
ç ： \的Documents and Settings \所有用戶\應用數據\ Videoegg
ç ： \的Documents and Settings \所有用戶\應用數據\觀
ç ： \的Documents and Settings \所有用戶\應用數據\ Windows Genuine Advantage的
ç ： \的Documents and Settings \所有用戶\應用數據\ Windows Live工具欄
ç ： \的Documents and Settings \默認用戶\應用數據\標識
ç ： \的Documents and Settings \默認用戶\應用數據\微軟
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Adobe公司
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Adobeum
ç ： \的Documents and Settings \格雷厄姆\應用數據\未來
ç ： \的Documents and Settings \格雷厄姆\應用數據\砧軟
ç ： \的Documents and Settings \格雷厄姆\應用數據\美國在線
ç ： \的Documents and Settings \格雷厄姆\應用數據\蘋果電腦
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Avg7
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Avs4you
ç ： \的Documents and Settings \格雷厄姆\應用數據\偏差等待異
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Divx
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Dvdcss
ç ： \的Documents and Settings \格雷厄姆\應用數據\愛普生
ç ： \的Documents and Settings \格雷厄姆\應用數據\谷歌
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Greyfirst
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Grisoft
ç ： \的Documents and Settings \格雷厄姆\應用數據\標識
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Installshield
ç ： \的Documents and Settings \格雷厄姆\應用數據\ InterVideo公司
ç ： \的Documents and Settings \格雷厄姆\應用數據\樂高公司
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Macromedia公司
ç ： \的Documents and Settings \格雷厄姆\應用數據\微軟
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Monkeyjam
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Mozilla瀏覽器
ç ： \的Documents and Settings \格雷厄姆\應用數據\松下
ç ： \的Documents and Settings \格雷厄姆\應用數據\實時
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Snapfish的
ç ： \的Documents and Settings \格雷厄姆\應用數據\孫
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Superantispyware.com
ç ： \的Documents and Settings \格雷厄姆\應用數據\賽門鐵克
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Systemrequirementslab
ç ： \的Documents and Settings \格雷厄姆\應用數據\對講
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Teamspeak2
ç ： \的Documents and Settings \格雷厄姆\應用數據\萬泰
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Videoegg
ç ： \的Documents and Settings \格雷厄姆\應用數據\觀
ç ： \的Documents and Settings \格雷厄姆\應用數據\編碼
ç ： \的Documents and Settings \格雷厄姆\應用數據\ Xfire公司
ç ： \的Documents and Settings \格雷厄姆\應用數據\你的圖片屏幕保護程序
ç ： \的Documents and Settings \ Localservice \應用數據\ Avg7 -空目錄
ç ： \的Documents and Settings \ Localservice \應用數據\微軟
ç ： \的Documents and Settings \ Localservice \應用數據\賽門鐵克
ç ： \的Documents and Settings \ Networkservice \應用數據\微軟



VundoFix V6.7.8

檢查Java版...

掃描開始， 20時28分56秒23/02/2008

上市文件掃描時發現....

受感染的文件沒有被發現。


開始拆除...




SDFix ：版本1.145

由格雷厄姆在20時59分就23/02/2008

微軟Windows XP [版本2600年5月1號]
運行中： C ： \ SDFix

檢查服務 ：


恢復Windows註冊表值
恢復Windows默認Hosts文件

重新開機


檢查文件 ：

沒有找到的檔案木馬






刪除臨時文件

廣告檢查 ：



最後檢查 ：

catchme 0.3.1344.2 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
2008年2月23日21時06分十五秒的rootkit掃描
2600年5月1號的Windows Service Pack 2中的NTFS

掃描隱藏的進程...

掃描隱藏的服務及系統Hive ...

掃描隱藏的註冊表項...

[ HKEY_LOCAL_MACHINE \軟件\微軟\的Windows NT \ CurrentVersion \ Prefetcher ]
“ TracesProcessed ” =的DWORD ： 00000000
“ TracesSuccessful ” =的DWORD ： 00000000
“ LastTraceFailure ” =的DWORD ： 00000000

掃描隱藏的文件...


掃描順利完成
隱藏的進程： 0
隱匿服務： 0
隱藏文件： 196


其餘服務 ：



授權應用主要出口：

[ HKEY_LOCAL_MACHINE \系統\ currentcontrolset \ servic中心\ sharedaccess \參數\ firewallpolicy \標準配置文件\ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系統m32 \ \ sessmgr.exe ： * ：啟用： @ xpsp2res.dll ， -22019 ”
的“ C ： \ \ Program Files文件\ \傳送\ \ msmsgs.exe ” =的“ C ： \ \ Program Files文件\ \傳送\ \ msmsgs.exe ： * ：啟用： Windows Messenger的”
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ： * ：啟用： @ xpsp3res.dll ， -20000 ”
的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLDial.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLDial.exe ： * ：啟用：美國在線“
的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLacsd.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLacsd.exe ： * ：啟用：美國在線“
的“ C ： \ \ Program Files文件\ \美國在線9.0 \ \ waol.exe ” =的“ C ： \ \ Program Files文件\ \美國在線9.0 \ \ waol.exe ： * ：啟用：美國在線9.0 ”
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avginet.exe ” =的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avginet.exe ： * ：啟用： avgine t.exe ”
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgamsvr.exe ” =的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgamsvr.exe ： * ：啟用： avgam svr.exe ”
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgcc.exe ” =的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgcc.exe ： * ：啟用： avgcc.ex E ”類
的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ” =的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ： * ：啟用： Internet Explorer的”
的“ C ： \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ” =的“ C ： \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ： * ：啟用： Xfire公司”
的“ C ： \ \窗口\ \ system32 \ \ dpvsetup.exe ” =的“ C ： \ \窗口\ \ system32 \ \ dpvsetup.exe ： * ：啟用：微軟的DirectPlay語音測試”
的“ C ： \ \窗口\ \ system32 \ \ rundll32.exe ” =的“ C ： \ \窗口\ \ system32 \ \ rundll32.exe ： * ：啟用：運行一個DLL的應用程序”
的“ C ： \ \ Program Files文件\ \總部-深入敵後\ \ ET.exe ” =的“ C ： \ \ Program Files文件\ \總部-深入敵後\ \ ET.exe ： * ：啟用： ET外星人”
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ： * ：啟用：使用Windows Live Messenger 8.1 ”
的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ” =的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ： * ：啟用：使用Windows Live Messenger 8.1 （電話） ”

[ HKEY_LOCAL_MACHINE \系統\ currentcontrolset \ servic中心\ sharedaccess \參數\ firewallpolicy \ domainpr ofile \ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系統m32 \ \ sessmgr.exe ： * ：啟用： @ xpsp2res.dll ， -22019 ”
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” = “ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ： * ：啟用： @ xpsp3res.dll ， -20000 ”
的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLDial.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLDial.exe ： * ：啟用：美國在線“
的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLacsd.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLacsd.exe ： * ：啟用：美國在線“
的“ C ： \ \ Program Files文件\ \美國在線9.0 \ \ waol.exe ” =的“ C ： \ \ Program Files文件\ \美國在線9.0 \ \ waol.exe ： * ：啟用：美國在線9.0 ”
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ： * ：啟用：使用Windows Live Messenger 8.1 ”
的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ” =的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ： * ：啟用：使用Windows Live Messenger 8.1 （電話） ”

其餘檔案 ：



文件隱藏屬性 ：

星期二2004年6月22日答： 54384 。閣下---有“ C ： \ Program Files文件\美國在線9.0 \ aolphx.exe ”
星期二2004年6月22日答： 156784 。閣下---有“ C ： \ Program Files文件\美國在線9.0 \ aoltray.exe ”
星期二2004年6月22日答： 31344 。閣下---有“ C ： \ Program Files文件\美國在線9.0 \ RBM.exe ”
星期三2002年1月9日1097728答： 。閣下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ Dirapi.dll ”
星期三2002年1月9日561152答： 。閣下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ Iml32.dll ”
星期三1答： 2004年9月2048 。閣下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ ipchecking.exe ”
星期二2002年1月8日266293答： 。閣下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ msvcrt.dll ”
星期三2002年1月9日151552答： 。閣下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \ Proj.dll ”
星期二2005年3月1日467688答： 。閣下---有“ C ： \ Program Files文件\ VoyagerModemDrivers \視窗- KB885295 - x86的enu.exe ”
星期一2007年10月15號--- 56 .. SHR組的“ C ： \窗口\ system32 \ F64AF6059C.sys ”
星期一2007年10月15號952 A.SH. ---有“ C ： \窗口\ system32 \ KGyGaAvL.sys ”
星期三2007年12月26號4348 A.SH. ---有“ C ： \文件和設置\所有用戶\的DRM \ DRMv1.bak ”
星期一2007年2月26日0 A.SH. ---有“ C ： \文件和設置\所有用戶\的DRM \緩存\ Indiv01.tmp ”
星期四9月20日2007 0答： 。閣下---有“ C ： \窗口\ SoftwareDistribution \下載\ cf7ced0e 70c80a1e476f1abf49afecb1 \ BIT1.tmp ”

結束了！



日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於21時15分十一秒，就23/02/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
啟動模式：正常

正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLAcsd.exe
ç ： \ Program Files文件\ Grisoft \的AVG反間諜軟件7.5 \ guard.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ Program Files文件\的QuickTime \ qttask.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ System32 \閥芯\驅動程序\ W32X86 \ 3 \ E_FATIA CE.EXE
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLDial.exe
ç ： \ PROGRA 〜 1 \常見〜 1 \美國在線\ AOLSPY 〜 1 \ AOLSP Scheduler.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ reader_sl.exe
ç ： \ Program Files文件\智能\共同\ RaUI.exe
ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe
ç ： \ Program Files文件\趨勢科技\了HijackThis \ sniper.exe.exe

受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索頁面= http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
R0 - HKCU \軟件\微軟\的Internet Explorer \主，初始頁=
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://uk.yahoo.com/fsc/
R0 - HKLM \軟件\微軟\的Internet Explorer \主，初始頁= http://uk.yahoo.com/fsc/
受體1 - HKCU \軟件\微軟\的Internet Explorer \ SearchURL ， （默認） = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
氧- BHO ：雅虎！同伴BHO - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - ç ： \ Program Files文件\雅虎\伴侶\安裝\共產黨\ ycomp5_3_19_0 。 DLL的
氧- BHO ：的Adobe PDF Reader鏈接幫手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： SSVHelper類- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
臭氧-工具欄：雅虎！伴侶- （ EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88 ） - ç ： \ Program Files文件\雅虎\伴侶\安裝\共產黨\ ycomp5_3_19_0 。 DLL的
臭氧-工具欄：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
物理學- HKLM \ .. \運行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” - osboot
物理學- HKLM \ .. \運行： [ RTHDCPL ] RTHDCPL.EXE
物理學- HKLM \ .. \運行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理學- HKLM \ .. \運行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理學- HKLM \ .. \運行： [ igfxtray ] ç ： \窗口\ system32 \ igfxtray.exe
物理學- HKLM \ .. \運行： [ igfxpers ] ç ： \窗口\ system32 \ igfxpers.exe
物理學- HKLM \ .. \運行： [ igfxhkcmd ] ç ： \窗口\ system32 \ hkcmd.exe
物理學- HKLM \ .. \運行： [高清晰度音頻屬性頁快捷方式] HDAShCut.exe
物理學- HKLM \ .. \運行： [愛普生Stylus DX3800系列] ç ： \窗口\ System32 \閥芯\驅動程序\ W32X86 \ 3 \ E_FATIA CE.EXE / P26 “愛普生Stylus DX3800系列” / O6 “ USB001 ” / M “的鐵筆DX3800 “
物理學- HKLM \ .. \運行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起動
物理學- HKLM \ .. \運行： [ AOLDialer ] ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLDial.exe
物理學- HKLM \ .. \運行： [美國在線間諜軟件保護]的“ C ： \ PROGRA 〜 1 \常見〜 1 \美國在線\ AOLSPY 〜 1 \ AOLSP Scheduler.exe ”
物理學- HKLM \ .. \運行： [ Alcmtr ] ALCMTR.EXE
物理學- HKLM \ .. \運行： [尋求1跳過mfcd ] ç ： \的Documents and Settings \所有用戶\應用數據\四幫助尋找1 \龍bin.exe
物理學- HKLM \ .. \運行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ”
物理學- HKCU \ .. \運行： [ updateMgr ] ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ AdobeUpdateManager.exe AcRdB7_0_9
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [ theowns ] ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 20 \ .. \運行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用戶的網絡服務' ）
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶默認用戶' ）
物理學-全球啟動： Adobe公司伽瑪Loader.lnk = ？
物理學-全球啟動： Adobe Reader軟件高速Launch.lnk = C的： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ reader_sl.exe
物理學-全球啟動：美國在線9.0托盤Icon.lnk = C的： \ Program Files文件\美國在線9.0 \ aoltray.exe
物理學-全球啟動：智能無線Utility.lnk = C的： \ Program Files文件\智能\共同\ RaUI.exe
物理學-全球啟動：萊卡簡單Viewer.lnk = ？
O8 -額外上下文菜單項目：與美國在線的工具欄搜索-水庫： / /炭： \ Program Files文件\美國在線工具欄\ toolbar.dll / SEARCH.HTML
O8 -額外上下文菜單項目：添加到Windows與現場的收藏- http://favorites.live.com/quickadd.aspx
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000
O9 -額外的按鈕： （無姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -額外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -額外的按鈕：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
O9 -額外的'工具' menuitem ：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL
O9 -額外的按鈕： Real.com - （ CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -額外的按鈕： （無姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的按鈕：雅虎！傳送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -額外的'工具' menuitem ：雅虎！傳送- （ E5D12C4E - 7B4F - 11D3 - B5C9 - 0050045C3C96 ） - ç ： \ PROGRA 〜 1 \雅虎\ MESSEN 〜 1 \ ypager.exe
O9 -額外的按鈕： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器： （ 20A60F0D - 9AFA - 4515 - A0FD - 83BD84642501 ） （跳棋類） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 -柴油機微粒過濾器： （ 406B5949 - 7190 - 4245 - 91A9 - 30A17DE16AD0 ） （ Snapfish的Activia ） - http://www1.snapfish.co.uk/SnapfishUKActivia.cab
O16 -柴油機微粒過濾器： （ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） （ UnoCtrl類） - http://messenger.zone.msn.com/EN-GB/.../GAME_UNO1.cab
O16 -柴油機微粒過濾器： （ 6E5E167B - 1566 - 4316 - B27F - 0DDAB3484CF7 ） （圖片上載器控制） - http://www.mypix.com/uk/uk/importer/ImageUploader4.cab
O16 -柴油機微粒過濾器： （ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） （ MessengerStatsClient類） - http://messenger.zone.msn.com/binary...t.cab56907.cab
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服務：美國在線連接服務（美國在線聯盟） -美國在線公司- ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLAcsd.exe
O23 -服務：的AVG反間諜軟件衛隊- GRISOFT氧化鍶- ç ： \ Program Files文件\ Grisoft \的AVG反間諜軟件7.5 \ guard.exe
O23 -服務： AVG7警報管理器服務器（ Avg7Alrt ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服務： AVG7更新服務（ Avg7UpdSvc ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服務： MSCSPTISRV -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ MSCSPTISRV.exe
O23 -服務： PACSPTISVR -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ PACSPTISVR.exe
O23 -服務：索尼SPTI服務（ SPTISRV ） -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ SPTISRV.exe

-
文件結尾- 8485字節

[evilfantasy]

請下載Combofix由潛艇從以下鏈接。
（嘗試所有這三個如果必要的話）

• 鏈接＃ 1
• 鏈接＃ 2
• 鏈接＃ 3

重要的！ Combofix.exe 必須 保存到跑的 桌面。

• 關閉所有打開Web瀏覽器。 （火狐時， Internet Explorer等） ，開始之前Combofix 。
• 重要的！ 暫時 喪失能力 你的 防病毒， 腳本攔截 和任何 反間諜 實時保護 前 執行掃描。
  • 點擊 此鏈接 看到一個列表的安全計劃，應該被禁用，以及如何禁用。
  • 如果您沒有列出來，你不知道如何禁用它，請要求。
• 警告： Combofix斷開您的計算機從互聯網上。連接自動恢復完成前Combofix運行。
• 雙擊combofix.exe ＆按照提示操作。
  • 從鍵盤選擇 1 並按下 輸入
• 完成時，它將產生一個日誌你。
• 郵報記錄在您下次答复。

警告： 不要mouseclick combofix的窗口同時運行。 這可能會導致它攤檔

• 如果Combofix經營困難而終止過早，連接可以手動恢復重新啟動計算機。
• 重要提示： 記得要重新啟用您的防病毒和反間諜之前重新到互聯網。

----------

下一步後
Combofix日誌
新的HijackThis日誌

[rsteenoven]

ComboFix 08-02-24.2 -格雷厄姆2008年2月23日21:35:51.1 - NTFSx86
運行中： C ： \的Documents and Settings \格雷厄姆\桌面\ ComboFix.exe
*創建了一個新的還原點

警告，這台機器沒有故障恢復控制台安裝！ ！
。

(((((((((((((((((((((((((創建的文件從2008年1月24日至2008年2月24日))))))))))) ))))))))))))))))))))
。

2008年2月23日20時57分。 2008年2月23日20:57 <DIR> d -------- ç ： \窗口\ ERUNT
2008年2月23日20:50 。 2008年2月23日21時09 <DIR> d -------- ç ： \ SDFix
2008年2月23日20時28分。 2008年2月23日20時28分<DIR> d -------- ç ： \ VundoFix備份
2008年2月23日20:14 。 2008年2月23日20時16 <DIR> d -------- ç ： \ NoLopBackups
2008年2月23日19:41 。 2008年2月23日19:41 <DIR> d -------- ç ： \ Program Files文件\趨勢科技
2008年2月23日19:25 。 2007年9月24日23:31 69632 -一個------ ç ： \窗口\ system32 \ javacpl.cpl
2008年2月23日16時29分。 2008年2月23日16時29 <DIR> d -------- ç ： \ Program Files文件\ CCleaner
2008年2月23日14時15分。 2008年2月23日16時23 <DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\ 。 housecall6.6
2008年2月16號22:59 。 2008年2月16號22:59 <DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\應用數據\ dvdcss
2008年2月16號17:49 。 2008年2月16號17:49 12302839 --------- ç ： \ avg7qt.dat
08年2月14日11:21 。 08年2月14日11:21 <DIR> d -------- ç ： \ Program Files文件\偏差等待異
2008年2月5日19時36分。 2008年2月5日19時36分268 -啊----- ç ： \ sqmdata09.sqm
2008年2月5日19時36分。 2008年2月5日19時36分244 -啊----- ç ： \ sqmnoopt09.sqm
2008年1月31日02:02 。 2008年1月31日02:02 54608 -一個------ ç ： \窗口\ system32 \ xfcodec.dll
2008年1月26日19:25 。 2008年2月23日19:11 <DIR> d -------- ç ： \ Program Files文件\ SUPERAntiSpyware
2008年1月26日19:25 。 2008年1月26日19:25 <DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\應用數據\ SUPERAntiSpyware.com
2008年1月26日19:25 。 2008年1月26日19:25 <DIR> d -------- ç ： \的Documents and Settings \所有用戶\應用數據\ SUPERAntiSpyware.com
2008年1月26日19:22 。 2008年1月26日19時22 <DIR> d -------- ç ： \ Program Files文件\共同文件\智者安裝嚮導
2008年1月26日19時18分。 2008年1月26日19時18分<DIR> d -------- ç ： \的Documents and Settings \格雷厄姆\應用數據\ Grisoft
2008年1月26日19:17 。 07年5月30號12:10 10872 -一個------ ç ： \窗口\ system32 \驅動程序\ AvgAsCln.sys

。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ） ）
。
2008年2月23日19:40 --------- d -----鎢： \ Program Files文件\ Java的
2008年2月23日12時32 --------- -----鎢d ： \的Documents and Settings \格雷厄姆\應用數據\ Xfire公司
2008年2月16號19:01 --------- d -----鎢： \的Documents and Settings \格雷厄姆\應用數據\偏差等待異
2008年2月16號18:54 --------- d -----鎢： \ Program Files文件\ SpeedFan
2008年2月16號17:49 --------- -----鎢d ： \文件和設置\所有用戶\應用數據\ avg7
08年2月14日16時57 ---------德尚---鎢： \ Program Files文件\ Xfire公司
08年2月14日11時22 --------- -----鎢d ： \文件和設置\所有用戶\應用數據\四幫助尋找1
2008年1月26日19時17 --------- -----鎢d ： \文件和設置\所有用戶\應用數據\ Grisoft
2008年1月16號17:55 --------- d -----鎢： \ Program Files文件\圈開發
2008年1月16號16:20 --------- d -----鎢： \ Program Files文件\圖像線
2008年1月16號16:17 --------- d -----鎢： \ Program Files文件\ VstPlugins
2008年1月5日13:12 --------- d -----鎢： \ Program Files文件\樂高公司
2008年1月4日23:12 --------- d -----鎢： \ Program Files文件\的Windows Live
2008年1月4日23:12 --------- d -----鎢： \ Program Files文件\ MSN Messenger的
2008年1月4日23:12 --------- d -----鎢： \ Program Files文件\ Messenger的物品！活的
2008年1月4日23:12 --------- -----鎢d ： \文件和設置\所有用戶\應用數據\ Messenger的物品！
2007年12月26號11點37 ---------數d - h -鎢： \ Program Files文件\ InstallShield安裝信息
2007年12月26號11點37 --------- -----鎢d ： \ Program Files文件\數字視頻
2007年12月26號11點36 --------- -----鎢d ： \的Documents and Settings \格雷厄姆\應用數據\ InstallShield
2007年12月25號17:21 --------- d -----鎢： \ Program Files文件\ MonkeyJam
2007年12月7日00:44 666112 ----胡ç ： \窗口\ system32 \ wininet.dll
2007年12月4號18:38 550912 ----胡ç ： \窗口\ system32 \ oleaut32.dll
2007年4月15號11:18 24192 ----胡ç ： \的Documents and Settings \格雷厄姆\ usbsermptxp.sys
2007年4月15號11:18 22768 ----胡ç ： \的Documents and Settings \格雷厄姆\ usbsermpt.sys
2007年10月15號16點48分56 -上海-研究ç ： \窗口\ system32 \ F64AF6059C.sys
2007年10月15號16點48分952 -沙鎢： \窗口\ system32 \ KGyGaAvL.sys
。

(((((((((((((((((((((((((((((((((((((註冊裝載點)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白條目與合法默認項不會顯示
REGEDIT4

[ HKEY_CURRENT_USER \軟件\微軟\的Windows \曲線ntVersion \運行]
“ updateMgr ” =的“ C ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ AdobeUpdateManager.exe ” [ 2006年3月30號16:45 313472 ]
“ Ctfmon.exe會” =的“ C ： \窗口\ system32 \ Ctfmon.exe會” [ 2004年8月4日12:00 15360 ]
“ theowns ” =的“ C ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ Sl的owLoad.exe ” [ 2008年2月14號11:20 435200 ]

[ HKEY_LOCAL_MACHINE \軟件\微軟\的Windows \當前entVersion \運行]
“ TkBellExe ” =的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” [ 2007年8月22日07:26 185632 ]
“ RTHDCPL ” = “ RTHDCPL.EXE ” [ 2005年8月18號05:20 14820864 ç ： \窗口\ RTHDCPL.EXE ]
“ QuickTime的工作” =的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” [ 2006年9月1日15:57 282624 ]
“ NeroFilterCheck ” =的“ C ： \窗口\ system32 \ NeroCheck.e氙” [ 2001年7月9日09:50 155648 ]
“ igfxtray ” =的“ C ： \窗口\ system32 \ igfxtray.exe ” [ 2005年8月24日10:50 94208 ]
“ igfxpers ” =的“ C ： \窗口\ system32 \ igfxpers.exe ” [ 2005年8月24日10:51 114688 ]
“ igfxhkcmd ” =的“ C ： \窗口\ system32 \ hkcmd.exe ” [ 2005年8月24日10:47 77824 ]
“高清晰度音頻屬性頁捷徑” = “ HDAShCut.exe ” [ 2005年1月7日15時零七61952 ç ： \窗口\ system32 \ HdAShCut.exe ]
“愛普生Stylus DX3800系列” =的“ C ： \窗口\ System32 \閥芯\驅動程序\ W32X86 \ 3 \ E_FATIACE.exe ” [ 2005年2月8日04:00 98304 ]
“ AVG7_CC ” =的“ C ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe ” [ 2007年12月21號十五點07 579072 ]
“ AOLDialer ” =的“ C ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLDial.exe ” [ 2004年11月9號23:22 497240 ]
“美國在線間諜軟件防護” =的“ C ： \ PROGRA 〜 1 \常見〜 1 \美國在線\ AOLSPY 〜 1 \美國在線警司Scheduler.exe ” [ 04年10月18號16時42分79448 ]
“尋求1跳過mfcd ” =的“ C ： \文件和設置\所有用戶\應用數據\四幫助尋找1 \龍bin.exe ” [ 2008年2月23日21點12分二百八十八點五一二萬]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ” [ 2007年9月25日01:11 132496 ]

[ HKEY_USERS \ 。缺省\軟件\微軟\的Windows \薑黃素rentVersion \運行]
“ Ctfmon.exe會” =的“ C ： \窗口\ system32 \ Ctfmon.exe會” [ 2004年8月4日12:00 15360 ]
“ AVG7_Run ” =的“ C ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe ” [ 2007年10月24號10:19 219136 ]

ç ： \的Documents and Settings \所有用戶\開始菜單\程序\啟動\
Adobe公司伽瑪Loader.lnk - ç ： \ Program Files文件\共同文件\的Adobe \校準\ Adobe公司伽瑪Loader.exe [ 2006年1月10日19點06分三十八秒113664 ]
Adobe Reader軟件高速Launch.lnk - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ reader_sl.exe [ 2005年9月23日22點05分二十六秒29696 ]
美國在線9.0托盤Icon.lnk - ç ： \ Program Files文件\美國在線9.0 \ aoltray.exe [ 2007年1月20號19時34分26秒156784 ]
智能無線Utility.lnk - ç ： \ Program Files文件\智能\共同\ RaUI.exe [ 2006年11月11號11點18分12秒626688 ]
萊卡簡單Viewer.lnk - ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe [ 2006年12月2號9點48分19秒61440 ]

[ hkey_local_machine \軟件\微軟\窗戶\當前entversion \探險\ shellexecutehooks ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” = C的： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL [ 2006-12-20 13時55分77824 ]

[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll 2007年4月19日13:41 294912 ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile ]
“ EnableFirewall ” = 0 （ 0x0 ）

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ AuthorizedApplications \名單]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
的“ C ： \ \ Program Files文件\ \傳送\ \ msmsgs.exe ” =
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” =
的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLDial.exe ” =
的“ C ： \ \ Program Files文件\ \共同文件\ \美國在線\ \ ACS的\ \ AOLacsd.exe ” =
的“ C ： \ \ Program Files文件\ \美國在線9.0 \ \ waol.exe ” =
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avginet.exe ” =
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgamsvr.exe ” =
的“ C ： \ \ Program Files文件\ \ Grisoft \ \ AVG7 \ \ avgcc.exe ” =
的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ” =
的“ C ： \ \ Program Files文件\ \ Xfire公司\ \ xfire.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ dpvsetup.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ rundll32.exe ” =
的“ C ： \ \ Program Files文件\ \總部-深入敵後\ \ ET.exe ” =
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =
的“ C ： \ \ Program Files文件\ \ MSN Messenger的\ \ livecall.exe ” =

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名單]
“ 27950 ： UDP連接” = 27950 ： UDP連接：總部
“ 27951 ： UDP連接” = 27951 ： UDP連接： Wolfenstein1
“ 27960 ： UDP連接” = 27960 ： UDP連接： Wolfenstein2

R3的AN983 ; ADMtek AN983/AN985/ADM951X 10/100快速以太網卡; ç ： \窗口\ system32 \驅動程序\ AN983.sys [ 05年1月13日08:28 ]
三CoachUsb ;教練數碼相機USB接口; ç ： \窗口\ system32 \驅動程序\ CoachUsb.sys [ 2004年1月22日12時41分]

。
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
2008年2月24日21時39分46秒的rootkit掃描
2600年5月1號的Windows Service Pack 2中的NTFS

掃描隱藏的進程...

掃描隱藏的自動啟動項...

掃描隱藏的文件...

掃描順利完成
隱藏的文件： 0

************************************************** ************************
。
完成時間： 2008年2月24日21時四十二分27秒
。
2008年2月13號12點22分05秒--- EOF分析---


日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於21點45分13秒，就24/02/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
啟動模式：正常

正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLAcsd.exe
ç ： \ Program Files文件\ Grisoft \的AVG反間諜軟件7.5 \ guard.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ Program Files文件\的QuickTime \ qttask.exe
ç ： \窗口\ system32 \ igfxtray.exe
ç ： \窗口\ system32 \ igfxpers.exe
ç ： \窗口\ system32 \ hkcmd.exe
ç ： \窗口\ System32 \閥芯\驅動程序\ W32X86 \ 3 \ E_FATIA CE.EXE
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLDial.exe
ç ： \ PROGRA 〜 1 \常見〜 1 \美國在線\ AOLSPY 〜 1 \ AOLSP Scheduler.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\智能\共同\ RaUI.exe
ç ： \ Program Files文件\松下\ LUMIXSimpleViewer \ PhLeAutoRun.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \記事
ç ： \ Program Files文件\趨勢科技\了HijackThis \ sniper.exe.exe

R0 - HKCU \軟件\微軟\的Internet Explorer \主，初始頁=
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://uk.yahoo.com/fsc/
R0 - HKLM \軟件\微軟\的Internet Explorer \主，初始頁= http://uk.yahoo.com/fsc/
受體1 - HKCU \軟件\微軟\的Internet Explorer \ SearchURL ， （默認） = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
氧- BHO ：雅虎！同伴BHO - （ 02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670 ） - ç ： \ Program Files文件\雅虎\伴侶\安裝\共產黨\ ycomp5_3_19_0 。 DLL的
氧- BHO ：的Adobe PDF Reader鏈接幫手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： SSVHelper類- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
臭氧-工具欄：雅虎！伴侶- （ EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88 ） - ç ： \ Program Files文件\雅虎\伴侶\安裝\共產黨\ ycomp5_3_19_0 。 DLL的
臭氧-工具欄：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
物理學- HKLM \ .. \運行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇馬\ Update_OB \ realsched.exe ” - osboot
物理學- HKLM \ .. \運行： [ RTHDCPL ] RTHDCPL.EXE
物理學- HKLM \ .. \運行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理學- HKLM \ .. \運行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理學- HKLM \ .. \運行： [ igfxtray ] ç ： \窗口\ system32 \ igfxtray.exe
物理學- HKLM \ .. \運行： [ igfxpers ] ç ： \窗口\ system32 \ igfxpers.exe
物理學- HKLM \ .. \運行： [ igfxhkcmd ] ç ： \窗口\ system32 \ hkcmd.exe
物理學- HKLM \ .. \運行： [高清晰度音頻屬性頁快捷方式] HDAShCut.exe
物理學- HKLM \ .. \運行： [愛普生Stylus DX3800系列] ç ： \窗口\ System32 \閥芯\驅動程序\ W32X86 \ 3 \ E_FATIA CE.EXE / P26 “愛普生Stylus DX3800系列” / O6 “ USB001 ” / M “的鐵筆DX3800 “
物理學- HKLM \ .. \運行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起動
物理學- HKLM \ .. \運行： [ AOLDialer ] ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLDial.exe
物理學- HKLM \ .. \運行： [美國在線間諜軟件保護]的“ C ： \ PROGRA 〜 1 \常見〜 1 \美國在線\ AOLSPY 〜 1 \ AOLSP Scheduler.exe ”
物理學- HKLM \ .. \運行： [尋求1跳過mfcd ] ç ： \的Documents and Settings \所有用戶\應用數據\四幫助尋找1 \龍bin.exe
物理學- HKLM \ .. \運行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ”
物理學- HKCU \ .. \運行： [ updateMgr ] ç ： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ AdobeUpdateManager.exe AcRdB7_0_9
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [ theowns ] ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 20 \ .. \運行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用戶的網絡服務' ）
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶默認用戶' ）
物理學-全球啟動： Adobe公司伽瑪Loader.lnk = ？
物理學-全球啟動： Adobe Reader軟件高速Launch.lnk = C的： \ Program Files文件\的Adobe \ Acrobat 7.0產品\閱讀器\ reader_sl.exe
物理學-全球啟動：美國在線9.0托盤Icon.lnk = C的： \ Program Files文件\美國在線9.0 \ aoltray.exe
物理學-全球啟動：智能無線Utility.lnk = C的： \ Program Files文件\智能\共同\ RaUI.exe
物理學-全球啟動：萊卡簡單Viewer.lnk = ？
O8 -額外上下文菜單項目：與美國在線的工具欄搜索-水庫： / /炭： \ Program Files文件\美國在線工具欄\ toolbar.dll / SEARCH.HTML
O8 -額外上下文菜單項目：添加到Windows與現場的收藏- http://favorites.live.com/quickadd.aspx
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ EXCEL.EXE/3000
O9 -額外的按鈕： （無姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -額外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -額外的按鈕：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
O9 -額外的'工具' menuitem ：美國在線工具欄- （ 4982D40A - C53B - 4615 - B15B - B5B5E98D167C ） - ç ： \ Program Files文件\美國在線工具欄\ toolbar.dll
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 3 \ OFFICE11 \ REFIEBAR.DLL
O9 -額外的按鈕： Real.com - （ CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE ） - ç ： \窗口\ system32 \的Shdocvw.dll
O9 -額外的按鈕： （無姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的按鈕： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： @ ç ： \ Program Files文件\傳送\ Msgslang.dll ， -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器： （ 20A60F0D - 9AFA - 4515 - A0FD - 83BD84642501 ） （跳棋類） - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 -柴油機微粒過濾器： （ 406B5949 - 7190 - 4245 - 91A9 - 30A17DE16AD0 ） （ Snapfish的Activia ） - http://www1.snapfish.co.uk/SnapfishUKActivia.cab
O16 -柴油機微粒過濾器： （ 5D6F45B3 - 9043 - 443D - A792 - 115447494D24 ） （ UnoCtrl類） - http://messenger.zone.msn.com/EN-GB/.../GAME_UNO1.cab
O16 -柴油機微粒過濾器： （ 6E5E167B - 1566 - 4316 - B27F - 0DDAB3484CF7 ） （圖片上載器控制） - http://www.mypix.com/uk/uk/importer/ImageUploader4.cab
O16 -柴油機微粒過濾器： （ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ） （ MessengerStatsClient類） - http://messenger.zone.msn.com/binary...t.cab56907.cab
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服務：美國在線連接服務（美國在線聯盟） -美國在線公司- ç ： \ Program Files文件\共同文件\美國在線\聯盟\ AOLAcsd.exe
O23 -服務：的AVG反間諜軟件衛隊- GRISOFT氧化鍶- ç ： \ Program Files文件\ Grisoft \的AVG反間諜軟件7.5 \ guard.exe
O23 -服務： AVG7警報管理器服務器（ Avg7Alrt ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服務： AVG7更新服務（ Avg7UpdSvc ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服務： MSCSPTISRV -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ MSCSPTISRV.exe
O23 -服務： PACSPTISVR -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ PACSPTISVR.exe
O23 -服務：索尼SPTI服務（ SPTISRV ） -索尼公司- ç ： \ Program Files文件\共同文件\索尼共享\ AVLib \ SPTISRV.exe

-
文件結尾- 8061字節

[evilfantasy]

掃描可疑文件（縣）

請訪問 一個 如下：
（多個網站的情況下，給出一個不工作）

• Virustotal
• Jotti的惡意軟件掃描
• VirSCAN.org

複製的文件路徑中的代碼下面的框中。

碼：

ç ： \的Documents and Settings \所有用戶\應用數據\四幫助尋找1 \龍bin.exe

碼：

ç ： \ DOCUME 〜 1 \格雷厄姆\ APPLIC 〜 1 \ BIASWA 〜 1 \ SlowLoad.exe

注： 您只能掃描一個文件，以便您將需要重複procecc和會後都掃描結果。

• 在上載網站，單擊一旦進入窗口旁邊的 瀏覽。
• 新聞 CTRL + V鍵 在鍵盤上（包括在同一時間）將其粘貼在文件路徑的窗口。
• 接下來點擊 發送文件/提交/上傳 （根據網站）
  • 您的文件將可能進入一個隊列通常需要不到一分鐘，以明確的。
• 這將執行掃描多種不同的病毒掃描引擎。
• 請等待所有的掃描引擎來完成。
• 然後將其粘貼複製的結果在接下來的答复。

[rsteenoven]

長期bin.exe


防病毒版本最後更新結果AhnLab - V32008.2.22.02008.02.22 - AntiVir7.6.0.672008.02.22 - Authentium4.93.82008.02.23 - Avast4.7.1098.02008.02.23 - AVG7.5.0.5162008.02.22 - BitDefender7.22008.02.23貓- QuickHeal9.502008.02.22 - ClamAV0.92.12008.02.23 - DrWeb4.44.0.091702008.02.23 - eSafe7.0.15.02008.02.21 - eTrust - Vet31.3.55572008.02.23 - Ewido4.02008.02.23 - FileAdvisor12008.02.23 - Fortinet3 .14.0.02008.02.23 -架F - Prot4 .4.2.542008.02.23 -架F - Secure6 .70.13260.02008.02.23 - IkarusT3 .1.1.202008.02.23 - Kaspersky7 .0.0.1252008.02.23 - McAfee52362008 .02.22 - Microsoft1 .32042008.02 0.23 - NOD32v228982008 .02.23 - Norman5 .80.022008.02.22 - Panda9 .0.0.42008.02.23 - Prevx1V22008 .02.23 - Rising20 .32.52.002008.02.23 - Sophos4 .26.02008.02.23 - Sunbelt3 .0.893.02008.02.23 - Symantec102008 .02.23 - TheHacker6.2.9.2282008.02.23 - VBA323.12.6.12008.02.21 - VirusBuster4.3.26 :92008.02.23 - Webwasher - Gateway6 .6.22008.02.23 -附加信息文件大小： 2885120 bytesMD5 ： 394ff269da96f0189c9a2df92df41e46SHA1 ： bb51404b2d9c0c03e273f75f20cd01bd5aad5802PEiD ： -

SlowLoad.exe

防病毒版本最後更新結果AhnLab - V32008.2.22.02008.02.22 - AntiVir7.6.0.672008.02.22 - Authentium4.93.82008.02.23Possibly的新變種W32/Swizzor-based ！ MaximusAvast4.7.1098.02008.02.23 - AVG7.5.0 .5162008.02.22 - BitDefender7 .22008.02.23貓- QuickHeal9 .502008.02.22 - ClamAV0 .92.12008.02.23 - DrWeb4 .44.0.091702008.02.23 - eSafe7 .0.15.02008.02.21 - eTrust - Vet31 .3.55572008.02.23 - Ewido4 .02008.02.23-FileAdvisor12008.02.23-Fortinet3.14.0.02008.02.23-F-Prot4.4.2.542008.02.23W32/Swizzor-based ！ MaximusF - Secure6.70.13260.02008.02.23 - IkarusT3.1.1.202008.02.23 - Kaspersky7 .0.0.1252008.02.23 - McAfee52362008 .02.22 - Microsoft1 .32042008.02.23 - NOD32v228982008 .02.23 - Norman5 .80.022008.02.22 - Panda9 .0.0.42008.02.23 - Prevx1V22008 .02.23 - Rising20 .32.52.002008.02.23 - Sophos4 .26.02008 .02.23 - Sunbelt3 .0.893.02008.02.23 - Symantec102008 .02.23 - TheHacker6 .2.9.2282008.02.23 - VBA323 .12.6.12008.02.21 - VirusBuster4 .3.26:92008.02.23 Trojan.DL.Swizzor.Gen ！ Pac.2Webwasher - Gateway6 .6.22008.02.23 -附加信息文件大小： 435200 bytesMD5 ： a8063318bfd0a7d6c9c4059d4506d021SHA1 ： 17a4d06e242919227ccc3f4e1c3b38dafbad4263PEiD ： -

[evilfantasy]

請運行 F - Secure的在線掃描

注： 這種掃描儀與Internet Explorer中只有！

• 滾動到頁面底部，然後按一下按鈕，開始掃描。一個窗口會彈出。
• 允許Active X控件將您的計算機上安裝，然後點擊同意按鈕
• 點擊 全系統掃描 並允許組件下載並掃描完成。
• 如果發現惡意軟件，請檢查 提交樣本F - Secure公司 然後選擇 自動清洗
• 當清潔已finitished ，單擊查看報告（這將打開一個Internet Explorer窗口中包含的報告）
• 突出和複製（ Ctrl + C ）的完整報告，並將其粘貼（ Ctrl + V ）來在一個新的回复此帖子
  • 如果自動清洗與提交樣本掛起，單擊 取消，然後 新的掃描
• 當清潔的選擇是， 取消 提交樣本F - Secure公司
• 點擊 自動清洗
• 當清潔已finitished ，單擊 查看報告 （這將打開一個Internet Explorer窗口中包含的報告）
• 突出和複製（ Ctrl + C ）的完整報告，並將其粘貼（ Ctrl + V ）來在一個新的回复此職位。

如果需要去 開始> “運行”鍵入notepad.exe 然後按下 行。
粘貼到記事本中記錄並保存到桌面上，因此可以很容易地張貼後。

此掃描可能需要相當長的一段時間，請耐心等待

----------

下一步後
F - Secure的日誌

也讓我知道現在的電腦。

[rsteenoven]

掃描慣於工作，紅外口口聲聲說發生錯誤。

任何想法？

[evilfantasy]

您使用的是它在Internet Explorer ？如果它不會工作，然後使用BitDefender 。


這種掃描儀的作品只在Internet Explorer
轉到 BitDefender在線掃描
點擊 我同意 的許可證，然後再安裝ActiveX控件。
請 切忌 改變掃描選項。
這將使您的日誌巨大的，我們並不需要看到乾淨的文件。
選擇 開始掃描 開始。
此掃描可能需要一段時間請耐心等待並讓它完成。


一旦完成掃描Bitdefender ：
點擊的 發現問題 標籤。
然後選擇 點擊這裡出口的掃描報告



當窗口達到保存的報告，改變 保存類型： 方塊：
文本文件（製表符分隔） （ *. txt ） 然後在 文件名 框中輸入更改 bdscan 然後單擊 保存



這將節省一個名為 bdscan.txt 。 我建議將其保存 桌面 這樣就可以輕鬆地找到它。
（注意下您保存它可以找到該文件後）

這實際上將bdcan.txt文件包含HTML代碼，我們可以輕鬆地查看後在審核您的日誌。我們要做的是將檔案重新命名為bdscan.html 。

如果您沒有按照這些步驟中，您將有一個不正確的日誌或日誌摘要更糟的是沒有用的我們

郵政的 bdscan.txt 在未來的職位。