出现多个cmd.exe

sanshui-1

机器上出现多个cmd.exe进程，mcafee拦截日志如下，请高手帮忙解决一下
2009-5-31 16:22:54 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\reg.exe 用户定义的规则:【浏览器保护】（禁止私自调用注册表编辑器） 已阻止的操作: 执行
2009-5-31 16:22:54 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\1.txt 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 写入
2009-5-31 16:22:54 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\msapps\del.bat 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:22:55 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\sc.exe 用户定义的规则:【系统文件保护】禁止调用sc.exe 已阻止的操作: 执行
2009-5-31 16:22:55 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\tcpyi.sys 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:22:55 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\tcpyi.bat 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:22:55 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\sc.exe 用户定义的规则:【系统文件保护】禁止调用sc.exe 已阻止的操作: 执行
2009-5-31 16:22:55 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\arphrosr.tbl 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 写入
2009-5-31 16:22:55 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\tcpyi.bat 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:22:55 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\arphrosr.tbl 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 写入
2009-5-31 16:22:56 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\tcpyi.bat 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:22:56 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\arphrosr.tbl 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 写入
2009-5-31 16:22:56 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\setups.bat 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:22:57 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\net.exe 用户定义的规则:【系统文件保护】禁止未授权程序调用net.exe/netsetup.exe/netdde.exe/netsh.exe 已阻止的操作: 执行
2009-5-31 16:22:57 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\4.txt 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:35:19 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\sc.exe 用户定义的规则:【系统文件保护】禁止调用sc.exe 已阻止的操作: 执行
2009-5-31 16:35:19 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\zxxyyy.sys 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:35:20 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\zxxyyy.bat 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:39:23 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\t2 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:39:30 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\t2 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:39:47 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cscript.exe 用户定义的规则:【浏览器保护】（禁止调用脚本宿主工具） 已阻止的操作: 执行
2009-5-31 16:40:04 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cscript.exe 用户定义的规则:【浏览器保护】（禁止调用脚本宿主工具） 已阻止的操作: 执行
2009-5-31 16:41:21 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\net1.exe 用户定义的规则:【系统文件保护】禁止未授权程序调用net.exe/netsetup.exe/netdde.exe/netsh.exe 已阻止的操作: 执行
2009-5-31 16:41:21 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\sc.exe 用户定义的规则:【系统文件保护】禁止调用sc.exe 已阻止的操作: 执行
2009-5-31 16:41:21 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\t1 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:41:27 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\net1.exe 用户定义的规则:【系统文件保护】禁止未授权程序调用net.exe/netsetup.exe/netdde.exe/netsh.exe 已阻止的操作: 执行
2009-5-31 16:41:28 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\t1 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建
2009-5-31 16:41:28 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\sc.exe 用户定义的规则:【系统文件保护】禁止调用sc.exe 已阻止的操作: 执行
2009-5-31 16:41:28 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\t1 用户定义的规则:【系统文件保护】 禁止CMD.EXE在系统目录新建、修改文件 已阻止的操作: 创建

sanshui-1

各位高手：
非常感谢您留心我这份系统诊断报告，小菜鸟十万火急等待您的帮助！
该诊断报告由360安全卫士提供 http://www.360.cn
诊断时间: 2009-05-31  16:06:11
诊断平台: Microsoft Windows Server 2003  Service Pack 2
IE版本: Internet Explorer V8.0.6001.18702 Build:86001
计算机物理内存:1023.48MB - 当前可用内存:359.42MB
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://127.0.0.1:4664/&s=v8QB0LOxIOyrOB2jhVthSWE7MrI
O2 - 未知 - BHO: (浏览器辅助对象(BHO)) - [无效的CLSID:{7E853D72-626A-48EC-A868-BA8D5E23E045}] - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O3 - 未知 - Toolbar: (第三方IE工具栏) - [无效的CLSID:{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}] - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} -
O8 - 未知 - Extra context menu item: 使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - 未知 - Extra context menu item: 导出到 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O11 - 未知 - Options Group: International
O15 - 未知 - Trusted Zone: https://www.alipay.com
O15 - 未知 - Trusted Zone: https://mybank.icbc.com.cn
O15 - 未知 - Trusted Zone: http://www.icbc.com.cn
O21 - 未知 - Protocol Icons: HKCR\http\shell\open\command - "D:\Program Files\Maxthon\Maxthon.exe" "%1"
O21 - 未知 - Protocol Icons: HKCR\ftp\shell\open\command - "D:\Program Files\Maxthon\Maxthon.exe" "%1"
O21 - 未知 - Protocol Icons: HKCR\https\shell\open\command - "D:\Program Files\Maxthon\Maxthon.exe" "%1"
O21 - 未知 - Protocol Icons: HKCR\htmlfile\shell\open\command - "D:\Program Files\Maxthon\Maxthon.exe" "%1"
O28 - 未知 - IELINK: C:\DOCUME~1\china\「开始~1\程序\附件\系统工具\INTERN~1.LNK -  -extoff
=======================================
100 - 默认 - Process: smss.exe [Windows操作系统的相关程序，用于会话管理子系统，负责启动用户会话。] - C:\WINDOWS\System32\smss.exe
100 - 默认 - Process: csrss.exe [Windows操作系统的客户端服务子系统，用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 默认 - Process: winlogon.exe [Windows操作系统的用户登陆程序，管理用户登录和退出。] - C:\WINDOWS\system32\winlogon.exe
100 - 默认 - Process: services.exe [Windows操作系统的相关程序，用于控制所有服务。] - C:\WINDOWS\system32\services.exe
100 - 默认 - Process: lsass.exe [Windows操作系统中多个windows系统服务的宿主，具有提供tcp/ip网络上客户端和服务器之间端对端的安全，保护敏感数据存储，通知sam接收请求等功能。] - C:\WINDOWS\system32\lsass.exe
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k DcomLaunch
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k rpcss
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 默认 - Process: scardsvr.exe [微软windows操作系统的相关程序，用于认证你本地系统的简单安全卡。] - C:\WINDOWS\System32\SCardSvr.exe
100 - 默认 - Process: spoolsv.exe [Windows操作系统的打印机的一部分，用于将windows打印机任务发送给本地打印机。] - C:\WINDOWS\system32\spoolsv.exe
100 - 默认 - Process: msdtc.exe [Windows操作系统的传输协调程序，用于调用和管理系统microsoft personal web server和microsoft sql server多个服务器。] - C:\WINDOWS\system32\msdtc.exe
100 - 安全 - Process: httpd.exe [Apache HTTP Server] - D:\EmpireServer\php\apache2.2\bin\httpd.exe
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k WinErr
100 - 安全 - Process: FrameworkService.exe [Framework Service] - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
100 - 安全 - Process: Mcshield.exe [McAfee安全中心的相关程序。] - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
100 - 安全 - Process: VsTskMgr.exe [McAfee Internet Security网络安全套装的相关程序，用于保护你的计算机免受网络安全威胁。] - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
100 - 安全 - Process: httpd.exe [Apache HTTP Server] - D:\EmpireServer\php\apache2.2\bin\httpd.exe -d D:/EmpireServer/php/apache2.2
100 - 安全 - Process: naPrdMgr.exe [McAfee ePolicy产品管理相关程序。] - C:\Program Files\McAfee\Common Framework\naPrdMgr.exe
100 - 安全 - Process: mdm.exe [微软windows进程除错程序。用于使用可视化脚本工具对internet explorer除错。] - C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
100 - 默认 - Process: explorer.exe [Windows操作系统的程序管理器或者windows资源管理器，用于管理windows图形壳，包括开始菜单、任务栏、桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: mysqld-nt.exe [] - D:\EmpireServer\php\mysql5\bin\mysqld-nt.exe MySQL
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k regsvc
100 - 安全 - Process: mssearch.exe [microsoft sql server全文搜索服务相关程序。] - C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k termsvcs
100 - 安全 - Process: shstat.exe [McAfee安全中心的相关程序。] - C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
100 - 安全 - Process: UdaterUI.exe [McAfee杀毒软件的通用用户接口程序，用于开启McAfee杀毒软件的通用用户接口。（主要是个人设置）] - C:\Program Files\McAfee\Common Framework\UdaterUI.exe
100 - 安全 - Process: GoogleDesktop.exe [google desktop的主程序，用于启动和运行该软件。] - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
100 - 安全 - Process: 360tray.exe [360安全卫士实时监控程序。] - D:\Program Files\360\360Safe\safemon\360Tray.exe
100 - 安全 - Process: Mctray.exe [网络版MCAFEE杀毒软件的一个进程。] - C:\Program Files\McAfee\Common Framework\McTray.exe
100 - 默认 - Process: ctfmon.exe [Windows操作系统的用户输入法选择服务，用于控制输入法语言条，提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。] - C:\WINDOWS\system32\ctfmon.exe
100 - 默认 - Process: svchost.exe [Windows操作系统的相关程序，用于加载标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k tapisrv
100 - 默认 - Process: wmiprvse.exe [Windows操作系统的相关程序，用于通过winmgmt.exe程序处理wmi操作。] - C:\WINDOWS\system32\wbem\wmiprvse.exe
100 - 默认 - Process: conime.exe [Windows操作系统的控制台程序，用于启动输入法编辑器。] - C:\WINDOWS\system32\conime.exe
100 - 默认 - Process: taskmgr.exe [Windows操作系统的windows任务管理器，按ctrl alt del或ctrl shift esc打开，用于查看现在是运行在系统上的任务与进程等信息。] - C:\WINDOWS\system32\taskmgr.exe
100 - 安全 - Process: mcconsol.exe [VirusScan Console] - C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe
100 - 安全 - Process: sqlmangr.exe [Microsoft SQL Server系统托盘程序，用于开始和停止SQL服务。] - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
100 - 安全 - Process: sqlservr.exe [Microsoft SQL Server服务套装的一部分，用于SQL基础服务。] - C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
100 - 默认 - Process: cmd.exe [Windows操作系统的相关命令程序，用于加载windows命令提示符。] - C:\WINDOWS\system32\cmd.exe
100 - 安全 - Process: Thunder5.exe [迅雷(thunder)的主程序，用于启动迅雷。] - D:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
100 - 安全 - Process: KMPlayer.exe [KMPlayer的主程序，用来加载和开启该播放器。] - C:\Program Files\KMPlayer\KMPlayer.exe
100 - 默认 - Process: cmd.exe [Windows操作系统的相关命令程序，用于加载windows命令提示符。] - C:\WINDOWS\system32\cmd.exe
100 - 默认 - Process: cmd.exe [Windows操作系统的相关命令程序，用于加载windows命令提示符。] - C:\WINDOWS\system32\cmd.exe
100 - 安全 - Process: devenv.exe [Microsoft SQL Server 数据库的一部分。] - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\devenv.exe
100 - 安全 - Process: notepad++.exe [Notepad++ : a free (GNU) source code editor] - D:\Program Files\Notepad++\notepad++.exe
100 - 默认 - Process: cmd.exe [Windows操作系统的相关命令程序，用于加载windows命令提示符。] - C:\WINDOWS\system32\cmd.exe
100 - 默认 - Process: cmd.exe [Windows操作系统的相关命令程序，用于加载windows命令提示符。] - C:\WINDOWS\system32\cmd.exe
100 - 安全 - Process: Maxthon.exe [傲游浏览器的主程序，用于启动进入傲游浏览器的主界面。] - D:\Program Files\Maxthon\Maxthon.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士的主程序，用于启动和运行该程序。] - D:\Program Files\360\360Safe\360Safe.exe
R0 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://go.microsoft.com/fwlink/?LinkId=69157
R0 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://go.microsoft.com/fwlink/?LinkId=54896
R0 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://go.microsoft.com/fwlink/?LinkId=69157
R0 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://go.microsoft.com/fwlink/?LinkId=54896
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
O2 - 安全 - BHO: (ThunderAtOnce Class) - [迅雷(thunder)中的补助性插件，用于下载任务URL地址的查找。] - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - D:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - 安全 - BHO: (scriptproxy) - [VSCore Script Scanner] - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - 安全 - BHO: (Thunder Browser Helper) - [迅雷附带下载监视器相关文件，用于在浏览器点击时获取url地址。] - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O4 - 安全 - HKLM\..\Run: [ShStatEXE] [McAfee安全中心的相关程序。] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - 安全 - HKLM\..\Run: [McAfeeUpdaterUI] [McAfee杀毒软件的通用用户接口程序，用于开启McAfee杀毒软件的通用用户接口。（主要是个人设置）] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - 安全 - HKLM\..\Run: [Google Desktop Search] [google desktop的主程序，用于启动和运行该软件。] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - 安全 - HKLM\..\Run: [360Safetray] [360安全卫士实时监控程序。] D:\Program Files\360\360Safe\safemon\360Tray.exe /start
O4 - 默认 - HKCU\..\Run: [ctfmon.exe] [Windows操作系统的用户输入法选择服务，用于控制输入法语言条，提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。] C:\WINDOWS\system32\ctfmon.exe
O8 - 安全 - Extra context menu item: 使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - 安全 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - 安全 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\Bin\AddEmotion.htm
O9 - 安全 - Extra button: 信息检索(HKLM) - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - 安全 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242553535275
O18 - 安全 - Protocol: Microsoft Office InfoPath相关的一个模块。 - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O18 - 安全 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - 安全 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - 安全 - Protocol: 微软Office 2003相关的Office web组件。 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - 安全 - AppInit DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - 安全 - Service: apache2 [Apache/2.2.4 (Win32) PHP/5.2.0] - "D:\EmpireServer\php\apache2.2\bin\httpd.exe" -k runservice - (running)
O23 - 安全 - Service: GoogleDesktopManager-092308-165331 [google desktop的主程序，用于启动和运行该软件。] - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" - (not running)
O23 - 安全 - Service: McAfeeFramework [是Network Associates公司的E-policy反病毒套装的一部分。] - "C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart - (error)
O23 - 安全 - Service: McShield [McAfee安全中心的相关程序。] - "C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe" - (error)
O23 - 安全 - Service: McTaskManager [McAfee Internet Security网络安全套装的相关程序，用于保护你的计算机免受网络安全威胁。] - "C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe" - (error)
O23 - 安全 - Service: MSSQLSERVER [Microsoft SQL Server服务套装的一部分，用于SQL基础服务。] - C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe - (running)
O23 - 安全 - Service: MSSQLServerADHelper [用于多个服务器之间维护文件目录内容的文件同步。] - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe - (not running)
O23 - 安全 - Service: MySQL [MySQL] - D:\EmpireServer\php\mysql5\bin\mysqld-nt.exe MySQL - (running)
O23 - 安全 - Service: NMIndexingService [NMIndexingService] - "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" - (not running)
O23 - 安全 - Service: SQLSERVERAGENT [SQLSERVERAGENT] - C:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe -i MSSQLSERVER - (not running)
O23 - 安全 - Service: TrkSvr [启用同域内的分布式链接跟踪客户端服务，以便在同域内提供更高的可靠性和有效维护。如果此服务被禁用，任何依赖于它的服务将无法启用。] - C:\WINDOWS\system32\trksvr.dll - (not running)
O23 - 安全 - Service: usnjsvc [是Messenger上安装的启用共享情况的服务。] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe" - (not running)
O23 - 安全 - Service: WinHttpAutoProxySvc [实现 Windows HTTP 服务(WinHTTP)的 Web 代理自动发现服务(WPAD)。WPAD 是用于启用 HTTP 客户端自动发现代理配置的协议。如果此服务被停用或禁用，WPAD 协议将在 HTTP 客户端的进程中执行，而不是在外部服务进程；因此不会造成功能损失。] - winhttp.dll - (not running)
O25 - 安全 - ABOUT: DesktopItemNavigationFailure - res://ieframe.dll/navcancl.htm
O25 - 安全 - ABOUT: NavigationCanceled - res://ieframe.dll/navcancl.htm
O25 - 安全 - ABOUT: NavigationFailure - res://ieframe.dll/navcancl.htm
O25 - 安全 - ABOUT: OfflineInformation - res://ieframe.dll/offcancl.htm
O25 - 安全 - ABOUT: PostNotCached - res://ieframe.dll/repost.htm
=======================================
O31 - 未知 - SEApproved: 无效的CLSID：Shell extensions for file compression -  -  -  -  - 0 -
O31 - 未知 - SEApproved: 无效的CLSID：加密上下文菜单 -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {88895560-9AA2-1069-930E-00AA0030EBC8} - hticons.dll -  -  -  - 0 -
O31 - 未知 - SEApproved: {0DF44EAA-FF21-4412-828E-260A8728E7F1} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: 无效的CLSID：媒体区 -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - D:\Program Files\WinRAR\rarext.dll - Alexander Roshal - WinRAR shell extension - 3.80.0.0 - 131584 - f54dc1ca4059a07e42dbe572b61d4e60
O31 - 未知 - SEApproved: {32020A01-506E-484D-A2A8-BE3CF17601C3} - C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll - Alcohol Soft Development Team - AXShlEx.dll - 1.4.7.1024 - 387584 - 0c1d3ca7d2c8a48ab01dfa958e150169
O31 - 未知 - SEApproved: {68f32140-2ca3-11d0-acc1-444553540000} - C:\Program Files\ACDSee\picaview.dll - ACD Systems, Ltd. - PicaView 系统扩展 DLL - 2.0.0.78 - 487424 - 053432fff82198e62c0162be6c5c60f9
O31 - 未知 - SEApproved: 无效的CLSID：IE User Assist -  -  -  -  - 0 -
O31 - 未知 - SEApproved: 无效的CLSID：IIS Shell Extension -  -  -  -  - 0 -
O31 - 未知 - Directory Menu: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - D:\Program Files\WinRAR\rarext.dll - Alexander Roshal - WinRAR shell extension - 3.80.0.0 - 131584 - f54dc1ca4059a07e42dbe572b61d4e60
O31 - 未知 - LSA: Notification Packages - DCSVC.dll -  -  -  - 0 -
O31 - 未知 - LSA: Notification Packages - cecli.dll -  -  -  - 0 -
O31 - 未知 - LSA: Security Packages - sv1_0.dll -  -  -  - 0 -
O31 - 未知 - LSA: Security Packages - channel.dll -  -  -  - 0 -
=======================================
O40 - Explorer.EXE - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\JrMac.dll - McAfee Security Agent Taskbar Extension Library - c8ff7b6c7ed409ce91f8b495e1840ae5
O40 - Explorer.EXE - Alexander Roshal - D:\Program Files\WinRAR\rarext.dll - WinRAR shell extension - f54dc1ca4059a07e42dbe572b61d4e60
O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\MSVCP71.dll - Microsoft? C++ Runtime Library - 561fa2abb31dfa8fab762145f81667c2
O40 - Explorer.EXE - Thunder Networking Technologies,LTD - D:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll - DsBho - 4d1bcf304794fa1021f769fc8f31507b
O40 - Explorer.EXE - Thunder Networking Technologies,LTD - D:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor_00.dll - DataProcessor - a0e4f60d1ffdf22753bff1c010bf8d88
O40 - Explorer.EXE - ACD Systems, Ltd. - C:\Program Files\ACDSee\picaview.dll - PicaView 系统扩展 DLL - 053432fff82198e62c0162be6c5c60f9
O40 - Explorer.EXE - Alcohol Soft Development Team - C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll - AXShlEx.dll - 0c1d3ca7d2c8a48ab01dfa958e150169
=======================================
O41 - a347bus - Plug and Play BIOS Extension - C:\WINDOWS\system32\drivers\a347bus.sys - (running) - Plug and Play BIOS Extension -   - 1f61cacacb521215f39061789147968c
O41 - a347scsi - SCSI miniport - C:\WINDOWS\system32\drivers\a347scsi.sys - (running) - SCSI miniport -   - 113e4b318bbaa7483ca4e582a4d63f49
O41 - SetupNT - SetupNT - C:\WINDOWS\system32\SetupNT.sys - (running) -  -  - 549ea830a5d9edd9cd14311126c2849b
O41 - viaagp - VIA NT AGP Filter - C:\WINDOWS\system32\drivers\VIAAGP1.SYS - (running) - VIA NT AGP Filter - VIA Technologies, Inc. - 004d6ee11e1303d0a4c7502402c9f396
O41 - viaagp1 - VIA NT AGP Filter - C:\WINDOWS\system32\drivers\VIAAGP1.SYS - (running) - VIA NT AGP Filter - VIA Technologies, Inc. - 004d6ee11e1303d0a4c7502402c9f396
O41 - VIAPFD - VIA PFD driver - C:\WINDOWS\system32\drivers\VIAPFD.SYS - (running) - VIA PFD driver - VIA Technologies. Inc. - 662626bccf060f2f4b6d5af7ac121ff5
O41 - HSFHWBS2 - HSF_HWB2 WDM driver - C:\WINDOWS\system32\drivers\HSFHWBS2.sys - (not running) - HSF_HWB2 WDM driver - Conexant Systems - 127f6638eb09050f5a490bbd6507b37a
=======================================
360Safe.exe=5.1.1.1001
AntiAdwa.dll=4.2.0.1002
AntiEng.dll=4.4.0.1010
AntiActi.dll=2.0.0.3000
CleanHis.dll=4.2.0.1003
live.dll=1.0.2.1004
=======================================
操作历史报告：
=======================================

sanshui-1

没人解答吗？急死了，恳求高手作答。

走丢啦

将日志打包放到病毒救援区让大家看看http://bbs.kafan.cn/forum-81-1.html

Uncle

O41 - SetupNT - SetupNT - C:\WINDOWS\system32\SetupNT.sys - (running)
这东西是啥???

sanshui-1

原帖由 走丢啦 于 2009-5-31 19:05 发表
将日志打包放到病毒救援区让大家看看http://bbs.kafan.cn/forum-81-1.html

谢谢，马山发过去

sanshui-1

原帖由 Uncle 于 2009-5-31 19:53 发表
O41 - SetupNT - SetupNT - C:\WINDOWS\system32\SetupNT.sys - (running)
这东西是啥???

不知道，刚才查了，没有明确的答复，但似乎和病毒有关吧

coolife

看起来像是 破解系统文件的补丁