大家帮我分析这个东东是不是病毒？谢谢！！！

zghnsy127

打开文件 "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\QQ堂全能外挂V3.1.exe"  "成功
创建文件夹： "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4" 。  "成功"
创建文件 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\krnln.fnr"  "成功"
写入文件 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\krnln.fnr"  "成功"
创建文件 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\iext3.fne"  "成功"
创建文件 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\HtmlView.fne"  "成功"
加载动态链接库： "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\krnln.fnr" 。  "成功"


之后添加一个驱动服务被我拒绝了...
加载动态链接库： "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\kernel32.dll" 。  "失败"
加载动态链接库： "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\kernel32.dll" 。  "失败"
加载动态链接库： "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\kernel32.dll" 。  "失败"
加载动态链接库： "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\kernel32.dll" 。  "失败"
创建文件 "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂/ice.dll"  "失败"
写入文件 "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂/ice.dll"  "失败"
创建内核驱动服务: "ialdnwxf"。 为了加载驱动: "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\ice.dll" 。  "失败"
启动服务： "ialdnwxf"。  "失败"
打开文件 "\\.\ialdnwxf"  "失败"
创建内核驱动服务: "ialdnwxf"。 为了加载驱动: "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\ice.dll" 。  "失败"
启动服务： "ialdnwxf"。  "失败"
创建监控进程："C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\QQ堂全能外挂V3.1.exe"的钩子： 5,钩子回调函数所属模块：
创建监控进程："C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\QQ堂全能外挂V3.1.exe"的钩子： 5,钩子回调函数所属模块：
加载动态链接库： "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\iext3.fnr" 。  "失败"
加载动态链接库： "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\iext3.fne" 。  "失败"


  尝试连接网络： "engine.100fenlm.cn"。  "成功"
  尝试打开远程文件： "engine.100fenlm.cn/js/engine.jsp?divi。  "成功"
  休眠： 0x00000000 毫秒。
  休眠： 0x00000000 毫秒。
  打开文件 "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\ice.dll"  "成功"
  删除文件： "C:\Documents and Settings\Administrator\桌面\QQT3[1].1\QQ堂全能外挂\ice.dll"。  "成功"
  删除文件： "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ADNK5KNU\CAB6ONNL.php"。  "成功"
  创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\779JFX4W\ad_js[1].htm"  "成功"
  创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GZRJ6O1D\top-logo[1].gif"  "成功"
   写入文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GZRJ6O1D\top-logo[1].gif"  "成功"
  本地执行线程： 线程起始地址：0x7CD3DCB7。参数为：0x02DA8210  "成功"
   打开文件 "C:\Documents and Settings\Administrator\Cookies\administrator@baidu[1].txt"  "成功"
  Socket连接：IP:"220.181.111.60" 、端口：80
   创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\27EVYL6Z\ecom[1]"  "成功"
  Socket连接：IP:"180.149.131.13" 、端口：80
打开文件 "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk"  "成功"
  Socket连接：IP:"121.101.217.43" 、端口：80
  本地执行线程： 线程起始地址：0x719CD5AF。参数为：0x001FEFE8  "成功"
  创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\779JFX4W\download[1].htm"  "成功"
  Socket连接：IP:"121.101.217.43" 、端口：80
  Socket连接：IP:"121.101.217.43" 、端口：80
  创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\27EVYL6Z\search[1].css"  "成功"
  Socket连接：IP:"218.16.224.159" 、端口：80



创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\779JFX4W\ad_js[1].htm"  "成功"
创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GZRJ6O1D\top-logo[1].gif"  "成功"
写入文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GZRJ6O1D\top-logo[1].gif"  "成功"
本地执行线程： 线程起始地址：0x7CD3DCB7。参数为：0x02DA8210  "成功"
打开文件 "C:\Documents and Settings\Administrator\Cookies\administrator@baidu[1].txt"  "成功"
Socket连接：IP:"220.181.111.60" 、端口：80
创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\27EVYL6Z\ecom[1]"  "成功"
Socket连接：IP:"180.149.131.13" 、端口：80


打开文件 "\\.\PIPE\ROUTER"  "成功"
打开文件 "\\.\Ip"  "成功"
打开文件 "\\.\PIPE\lsarpc"  "成功"
打开文件 "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk"  "成功"
Socket连接：IP:"121.101.217.43" 、端口：80
本地执行线程： 线程起始地址：0x719CD5AF。参数为：0x001FEFE8  "成功"
创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\779JFX4W\download[1].htm"  "成功"
Socket连接：IP:"121.101.217.43" 、端口：80
Socket连接：IP:"121.101.217.43" 、端口：80
创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\27EVYL6Z\search[1].css"  "成功"
Socket连接：IP:"218.16.224.159" 、端口：80
创建文件 "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ADNK5KNU\CAB6ONNL.php"  "成功"




尝试连接网络： "qqt.98yl.com"。  "成功"
尝试打开远程文件： "qqt.98yl.com/templets/sty。  "成功"
尝试连接网络： "qqt.98yl.com"。  "成功"
尝试打开远程文件： "qqt.98yl.com/plus/ad_js.p。  "成功"
尝试连接网络： "engine.100fenlm.cn"。  "成功"
尝试打开远程文件： "engine.100fenlm.cn/js/group.jsp?wid=1。  "成功"

pc1012998097

回复 21楼 zghnsy127  的帖子

很详细，谢谢，不过我是小白，太乱了~