是高手的进来！分析！一种还不知道是什么种类的病毒！

显示全部楼层 · 发表于 2007-5-25 23:11:00

发了三次贴都不成功真的不想打字了。。

今天在一台机子上发现了一个很强的病毒，卡吧还没有查出来，大家看看其行为吧！
卡吧安装后就不可以运行了，说找不到这个文件，IceSword(冰刃) 也不行，但只要把程序名字改一下又可以了，如avp.exe 改成avp1.exe就可以了。
regedit与 msconfig都不能用，还有就是在host里加入了对卡吧升级服务器与一些与安全想关的网站屏蔽，
在卡吧全盘查完了还是没用。还有就是不能导入注册表文件，用黄山的普通修复也不行。
用www.zrinfo.net 在线杀病毒查到一个卡吧查不出来的，奇他的不想说了打了三次都发不出去。。。。心情非常的差！

大家看看日志吧，还有图，希望有见过这玩意的朋友能指点一下

20楼的兄弟,提出了方法!理论上是他说的问题

,我下星期去再试试看!谢谢啊!

哈哈，果然没错！

大家看下面的！这是谁家的病毒啊！自己站出来啊！

[ 本帖最后由 qiqi00612 于 2007-5-29 23:15 编辑 ]

显示全部楼层 · 发表于 2007-5-25 23:11:30

Logfile of HijackThis v1.99.1
Scan saved at 17:37:42, on 2007-5-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\1 avp.exe
C:\Documents and Settings\Administrator\桌面\IceSword(冰刃) V1.20 Final 绿色汉化修正版\IceSword1.exe
C:\WINDOWS\system32\RUNDLL32.EXE
H:\toos\HijackThis V1.99.1 汉化版\HijackThis.exe

R3 - URLSearchHook: BdSearchHook Class - {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} - C:\PROGRA~1\baidu\iexp\BDSrHook.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: BdSearch - {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} - C:\PROGRA~1\baidu\iexp\BDSrHook.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\1 avp.exe"
O4 - HKLM\..\Run: [BIE] RUNDLL32.EXE C:\PROGRA~1\baidu\iexp\BDSrHook.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] ; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 百度-词典搜索 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM
O11 - Options group: [!IESearch] !IESearch
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {1514341E-C046-4839-AE53-291C41A315CB} (Virusscan Control) - http://www.zrinfo.net/scan/scan.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: 卡巴斯基反病毒6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

显示全部楼层 · 发表于 2007-5-25 23:13:50

超级巡警(Anti-Spyware Toolkit)诊断报告：

诊断日期：2007-05-25,17:52:52
系统信息：Windows XP Professional Service Pack 2
物理内存： 446 MB, 可用物理内存 167 MB, 虚拟内存 1877 MB

服务管理

名称: Ati HotKey Poller
状态: 运行
类型: 自动
显示名称: Ati HotKey Poller
描述:
启动文件路径: C:\WINDOWS\system32\Ati2evxx.exe
映像模块路径:

名称: ATI Smart
状态: 停止
类型: 自动
显示名称: ATI Smart
描述:
启动文件路径: C:\WINDOWS\system32\ati2sgag.exe
映像模块路径:

名称: AVP
状态: 停止
类型: 自动
显示名称: 卡巴斯基反病毒6.0
描述: 保护计算机远离病毒和间谍软件的威胁。
启动文件路径: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
映像模块路径:

名称: HidServ
状态: 停止
类型: 禁用
显示名称: Human Interface Device Access
描述: 启用对智能界面设备 (HID)的通用输入访问，它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止，由此服务控制的热按钮将不再运行。如果此服务被禁用，任何依赖它的服务将无法启动。
启动文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
映像模块路径: C:\WINDOWS\System32\hidserv.dll

名称: odbcasvc
状态: 停止
类型: 禁用
显示名称: ODBC Administration Service
描述: Microsoft Data Access - ODBC Administration Service
启动文件路径: C:\WINDOWS\SYSTEM32\odbcasvc.EXE
映像模块路径:

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

内核驱动

名称: Ati HotKey Poller
状态: 运行
类型: 自动
显示名称: Ati HotKey Poller
描述:
启动文件路径: C:\WINDOWS\system32\Ati2evxx.exe
映像模块路径:

名称: ATI Smart
状态: 停止
类型: 自动
显示名称: ATI Smart
描述:
启动文件路径: C:\WINDOWS\system32\ati2sgag.exe
映像模块路径:

名称: AVP
状态: 停止
类型: 自动
显示名称: 卡巴斯基反病毒6.0
描述: 保护计算机远离病毒和间谍软件的威胁。
启动文件路径: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
映像模块路径:

名称: HidServ
状态: 停止
类型: 禁用
显示名称: Human Interface Device Access
描述: 启用对智能界面设备 (HID)的通用输入访问，它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止，由此服务控制的热按钮将不再运行。如果此服务被禁用，任何依赖它的服务将无法启动。
启动文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
映像模块路径: C:\WINDOWS\System32\hidserv.dll

名称: odbcasvc
状态: 停止
类型: 禁用
显示名称: ODBC Administration Service
描述: Microsoft Data Access - ODBC Administration Service
启动文件路径: C:\WINDOWS\SYSTEM32\odbcasvc.EXE
映像模块路径:

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

端口关联

协议: TCP
本机IP地址: 192.168.0.24 : 1400
远程IP地址: 218.12.174.210 : 80
状态: FIN_WAIT_1
PID: 3592
路径名: 1 avp.exe

协议: TCP
本机IP地址: 192.168.0.24 : 1386
远程IP地址: 209.85.199.99 : 80
状态: ESTABLISHED
PID: 3592
路径名: 1 avp.exe

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1385
状态: ESTABLISHED
PID: 3592
路径名: 1 avp.exe

协议: TCP
本机IP地址: 127.0.0.1 : 1385
远程IP地址: 127.0.0.1 : 1110
状态: ESTABLISHED
PID: 176
路径名: H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe

协议: TCP
本机IP地址: 192.168.0.24 : 1394
远程IP地址: 61.235.71.100 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1390
远程IP地址: 218.66.104.149 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1396
远程IP地址: 221.130.184.102 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1331
远程IP地址: 192.168.0.10 : 139
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1330
远程IP地址: 192.168.0.11 : 139
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1392
远程IP地址: 60.28.18.237 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1333
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1335
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1336
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1339
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1341
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1342
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1345
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1346
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1348
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1349
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1350
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1353
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1354
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1355
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1359
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1362
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1364
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1366
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1367
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1370
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1402
远程IP地址: 61.144.222.50 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1371
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1373
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1377
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1378
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1379
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1380
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1382
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1389
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1391
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1393
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1395
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1397
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1399
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1401
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1403
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 139
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 4
路径名: System

协议: TCP
本机IP地址: 0.0.0.0 : 135
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 1052
路径名: C:\WINDOWS\system32\svchost.exe

协议: TCP
本机IP地址: 127.0.0.1 : 1029
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 1728
路径名: C:\WINDOWS\System32\alg.exe

协议: TCP
本机IP地址: 0.0.0.0 : 3389
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 988
路径名: C:\WINDOWS\system32\svchost.exe

协议: TCP
本机IP地址: 0.0.0.0 : 1110
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 3592
路径名: 1 avp.exe

协议: UDP
本机IP地址: 0.0.0.0 : 500
远程IP地址: * : *
状态:
PID: 756
路径名: C:\WINDOWS\system32\lsass.exe

协议: UDP
本机IP地址: 192.168.0.24 : 1900
远程IP地址: * : *
状态:
PID: 1272
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 127.0.0.1 : 1332
远程IP地址: * : *
状态:
PID: 176
路径名: H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe

协议: UDP
本机IP地址: 192.168.0.24 : 137
远程IP地址: * : *
状态:
PID: 4
路径名: System

协议: UDP
本机IP地址: 0.0.0.0 : 1025
远程IP地址: * : *
状态:
PID: 1188
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 192.168.0.24 : 138
远程IP地址: * : *
状态:
PID: 4
路径名: System

协议: UDP
本机IP地址: 127.0.0.1 : 1900
远程IP地址: * : *
状态:
PID: 1272
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 0.0.0.0 : 4500
远程IP地址: * : *
状态:
PID: 756
路径名: C:\WINDOWS\system32\lsass.exe

协议: UDP
本机IP地址: 0.0.0.0 : 1236
远程IP地址: * : *
状态:
PID: 1188
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 127.0.0.1 : 1222
远程IP地址: * : *
状态:
PID: 3968
路径名: C:\PROGRA~1\INTERN~1\iexplore.exe

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

启动管理-注册表

名字: ctfmon.exe
数据: C:\WINDOWS\system32\ctfmon.exe
键路径: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
文件描述: CTF Loader
发布者: Microsoft Corporation

名字: msnmsgr
数据: ; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
键路径: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
文件描述: MSN Messenger
发布者: Microsoft Corporation

名字: kav
数据: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\1 avp.exe"
键路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
文件描述: Kaspersky Anti-Virus
发布者: Kaspersky Lab

名字: 360Safe
数据: Rundll32.exe H:\恶意软~1\360safe\AntiAdwa.dll,KillAdware
键路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
文件描述: 360安全卫士检测模块
发布者: 360Safe.com

显示全部楼层 · 发表于 2007-5-25 23:14:31

名字: Userinit
数据: C:\WINDOWS\system32\userinit.exe,
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
文件描述: Userinit Logon Application
发布者: Microsoft Corporation

名字: Shell
数据: Explorer.exe
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
文件描述: Windows Explorer
发布者: Microsoft Corporation

名字: Scrnsave.exe
数据: C:\WINDOWS\System32\logon.scr
键路径: HKEY_CURRENT_USER\Control Panel\Desktop
文件描述: Logon Screen Saver
发布者: Microsoft Corporation

名字: BootExecute
数据: autocheck autochk *
键路径: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
文件描述:
发布者:

名字: AtiExtEvent
数据: C:\WINDOWS\system32\Ati2evxx.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
文件描述: ATI External Event Utility DLL Module
发布者: ATI Technologies Inc.

名字: crypt32chain
数据: C:\WINDOWS\system32\crypt32.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
文件描述: Crypto API32
发布者: Microsoft Corporation

名字: cryptnet
数据: C:\WINDOWS\system32\cryptnet.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
文件描述: Crypto Network Related API
发布者: Microsoft Corporation

名字: cscdll
数据: C:\WINDOWS\system32\cscdll.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
文件描述: Offline Network Agent
发布者: Microsoft Corporation

名字: klogon
数据: c:\windows\system32\klogon.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon
文件描述:
发布者:

名字: ScCertProp
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: Schedule
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: sclgntfy
数据: C:\WINDOWS\system32\sclgntfy.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
文件描述: Secondary Logon Service Notification DLL
发布者: Microsoft Corporation

名字: SensLogn
数据: C:\WINDOWS\system32\WlNotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: termsrv
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: wlballoon
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: Microsoft Windows Media Player
数据: c:\windows\inf\unregmp2.exe /showwmp
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
文件描述: Microsoft Windows Media Player 安装实用程序
发布者: Microsoft Corporation

名字: Internet Explorer
数据: C:\WINDOWS\system32\shmgrate.exe ocinstalluserconfigie
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}
文件描述: Windows NT User Data Migration Tool
发布者: Microsoft Corporation

名字: 浏览器自定义组件
数据: RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
文件描述: Microsoft Internet Explorer Customization DLL
发布者: Microsoft Corporation

名字: Outlook Express
数据: C:\WINDOWS\system32\shmgrate.exe ocinstalluserconfigoe
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
文件描述: Windows NT User Data Migration Tool
发布者: Microsoft Corporation

名字: Themes Setup
数据: C:\WINDOWS\system32\regsvr32.exe /s /n /i:/userinstall C:\WINDOWS\system32\themeui.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
文件描述: Microsoft(C) Register Server
发布者: Microsoft Corporation

名字: Microsoft Outlook Express 6
数据: "C:\Program Files\outlook express\setup50.exe" /app:oe /caller:winnt /user /install
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
文件描述: Outlook Express Setup Library
发布者: Microsoft Corporation

名字: NetMeeting 3.01
数据: rundll32.exe advpack.dll,launchinfsection c:\windows\inf\msnetmtg.inf,netmtg.install.peruser.nt
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
文件描述: ADVPACK
发布者: Microsoft Corporation

名字: Microsoft Windows Media Player
数据: rundll32.exe advpack.dll,launchinfsection c:\windows\inf\wmp.inf,peruserstub
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
文件描述: ADVPACK
发布者: Microsoft Corporation

名字: 通讯簿 6
数据: "C:\Program Files\outlook express\setup50.exe" /app:wab /caller:winnt /user /install
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}
文件描述: Outlook Express Setup Library
发布者: Microsoft Corporation

名字: Windows 桌面更新
数据: regsvr32.exe /s /n /i:u shell32.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}
文件描述: Windows Shell Common Dll
发布者: Microsoft Corporation

名字: Internet Explorer 6
数据: C:\WINDOWS\system32\ie4uinit.exe
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
文件描述: IE 5.0 Per-User Install Utility
发布者: Microsoft Corporation

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

启动管理-IE插件

名字: Microsoft Url 搜索挂接
映像文件路径: C:\WINDOWS\system32\shdocvw.dll
插件类型: URLSearch Hooks
插件描述: Shell Doc Object and Control Library
发布者: Microsoft Corporation

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

启动管理-WinSock Lsp

协议: MSAFD Tcpip [TCP/IP]
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD Tcpip [UDP/IP]
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD Tcpip [RAW/IP]
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: RSVP UDP Service Provider
映像文件路径: C:\WINDOWS\system32\rsvpsp.dll
文件描述: Microsoft Windows Rsvp 1.0 Service Provider
发布者: Microsoft Corporation

协议: RSVP TCP Service Provider
映像文件路径: C:\WINDOWS\system32\rsvpsp.dll
文件描述: Microsoft Windows Rsvp 1.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5C21319E-9911-4D7F-8D30-DD23221A43E1}] SEQPACKET 0
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5C21319E-9911-4D7F-8D30-DD23221A43E1}] DATAGRAM 0
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D004881D-395F-4896-98C2-E69C8B8AEC51}] SEQPACKET 1
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D004881D-395F-4896-98C2-E69C8B8AEC51}] DATAGRAM 1
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1309452F-9C7F-43EB-9FE5-210D8381ED14}] SEQPACKET 2
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1309452F-9C7F-43EB-9FE5-210D8381ED14}] DATAGRAM 2
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

启动管理-启动文件夹

启动文件名: desktop.ini
目录路径: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

启动文件名: desktop.ini
目录路径: C:\Documents and Settings\All Users\「开始」菜单\程序\启动

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

补丁检查

安全公告:
补丁名称: KB935448
漏洞名称: 可能无法启动 Realtek HD 音频控制面板, 并且启动计算机时收到错误信息： " 非法系统 DLL Relocation
发布时间: 2007-4-3

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

进程管理

进程名称: winlogon.exe
分析: Normal
ID: 668
父进程: 480
对应文件: C:\WINDOWS\system32\winlogon.exe
命令行: winlogon.exe
进程描述: Windows NT用户登陆程序。

模块列表:

模块名称: Ati2evxx.dll
对应文件: C:\WINDOWS\system32\Ati2evxx.dll
模块描述: ATI External Event Utility DLL Module
版权: Copyright ? 1999-2004 ATI Technologies Inc.

--------------------------------------------------------------------

进程名称: ati2evxx.exe
分析: Unknow
ID: 936
父进程: 744
对应文件: C:\WINDOWS\system32\Ati2evxx.exe
命令行: C:\WINDOWS\system32\Ati2evxx.exe
进程描述: ATI External Event Utility EXE Module

模块列表:

模块名称: Ati2edxx.dll
对应文件: C:\WINDOWS\system32\Ati2edxx.dll
模块描述: ati2edxx
版权: Copyright (c) ATI Technologies Inc. 2003

--------------------------------------------------------------------

进程名称: spoolsv.exe
分析: Normal
ID: 1412
父进程: 744
对应文件: C:\WINDOWS\system32\spoolsv.exe
命令行: C:\WINDOWS\system32\spoolsv.exe
进程描述: Windows打印任务控制程序，用以打印机就绪。

模块列表:

模块名称: E_FLMAAP.DLL
对应文件: C:\WINDOWS\system32\E_FLMAAP.DLL
模块描述: EPSON Bi-directional Monitor
版权: Copyright (C) SEIKO EPSON CORP. 2004

--------------------------------------------------------------------

进程名称: ati2evxx.exe
分析: Unknow
ID: 1640
父进程: 668
对应文件: C:\WINDOWS\system32\Ati2evxx.exe
命令行: Ati2evxx.exe -Client
进程描述: ATI External Event Utility EXE Module

模块列表:

模块名称: Ati2edxx.dll
对应文件: C:\WINDOWS\system32\Ati2edxx.dll
模块描述: ati2edxx
版权: Copyright (c) ATI Technologies Inc. 2003

--------------------------------------------------------------------

进程名称: IEXPLORE.EXE
分析: Unknow
ID: 3968
父进程: 1744
对应文件: C:\PROGRA~1\INTERN~1\iexplore.exe
命令行: "C:\PROGRA~1\INTERN~1\iexplore.exe"
进程描述:

模块列表:

模块名称: BDSrHook.dll
对应文件: C:\PROGRA~1\baidu\iexp\BDSrHook.dll
模块描述: BDSrHook Module
版权: Copyright 2004

模块名称: scr_ch_pg.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll
模块描述: Script Checker
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: klscav.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\klscav.dll
模块描述: Script Checker AV Plugin
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: pr_remote.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\pr_remote.dll
模块描述: PR_REMOTE
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: prloader.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prloader.dll
模块描述: Prague Loader
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: prkernel.ppl
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prkernel.ppl
模块描述: Prague kernel
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: params.ppl
对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\params.ppl
模块描述: Structure Serializer
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: pxstub.ppl
对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\pxstub.ppl
模块描述: Proxy Stubs
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: tempfile.ppl
对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\tempfile.ppl
模块描述: Temporary IO
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: scan.ocx
对应文件: C:\WINDOWS\DOWNLO~1\scan.ocx
模块描述: virusscan ActiveX Control Module
版权: Copyright (C) 2004

模块名称: SAVI.DLL
对应文件: c:\AVEngine\SAVI.DLL
模块描述: Sophos Anti-Virus third party interface DLL
版权: ? 1989-2005 Sophos Plc, www.sophos.com

模块名称: VEEX.DLL
对应文件: c:\AVEngine\VEEX.DLL
模块描述: Sophos Anti-Virus detection engine DLL
版权: ? 1989-2005 Sophos Plc, www.sophos.com

模块名称: OSDP.dll
对应文件: c:\AVEngine\OSDP.dll
模块描述: Sophos Anti-Virus O/S support DLL
版权: ? 1989-2005 Sophos Plc, www.sophos.com

--------------------------------------------------------------------

进程名称: IceSword1.exe
分析: Unknow
ID: 2888
父进程: 1744
对应文件: C:\Documents and Settings\Administrator\桌面\IceSword(冰刃) V1.20 Final 绿色汉化修正版\IceSword1.exe
命令行: "C:\Documents and Settings\Administrator\桌面\IceSword(冰刃) V1.20 Final 绿色汉化修正版\IceSword1.exe"
进程描述:

模块列表:

模块名称: BDSrHook.dll
对应文件: C:\PROGRA~1\baidu\iexp\BDSrHook.dll
模块描述: BDSrHook Module
版权: Copyright 2004

--------------------------------------------------------------------

进程名称: explorer.exe
分析: Normal
ID: 3144
父进程: 1856
对应文件: C:\WINDOWS\explorer.exe
命令行: C:\WINDOWS\explorer.exe
进程描述: 桌面浏览进程

模块列表:

模块名称: PSICON.DLL
对应文件: C:\Program Files\Common Files\Adobe\Shell\PSICON.DLL
模块描述: Icons for Adobe Photoshop
版权: ? 1989-2002 Adobe Systems Incorporated

模块名称: rarext.dll
对应文件: C:\Program Files\WinRAR\rarext.dll
模块描述:
版权:

模块名称: qdshm.dll
对应文件: C:\Program Files\Tencent\TM\TMDlls\qdshm.dll
模块描述: QQDiskShellMenu Module
版权: Copyright 2004

模块名称: RavExt.dll
对应文件: C:\WINDOWS\system32\RavExt.dll
模块描述: Rising Shell Ext Module
版权: Copyright (c) 1998-2006 Rising Corp.

模块名称: shellex.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
模块描述: Windows Shell Extension
版权: Copyright ? Kaspersky Lab 1996-2006.

--------------------------------------------------------------------

进程名称: AST.exe
分析: Normal
ID: 176
父进程: 3144
对应文件: H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe
命令行: "H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe"
进程描述: Anti Spyware Toolkit

模块列表:

模块名称: scr_ch_pg.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll
模块描述: Script Checker
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: klscav.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\klscav.dll
模块描述: Script Checker AV Plugin
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: pr_remote.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\pr_remote.dll
模块描述: PR_REMOTE
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: prloader.dll
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prloader.dll
模块描述: Prague Loader
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: prkernel.ppl
对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prkernel.ppl
模块描述: Prague kernel
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: params.ppl
对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\params.ppl
模块描述: Structure Serializer
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: pxstub.ppl
对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\pxstub.ppl
模块描述: Proxy Stubs
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: tempfile.ppl
对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\tempfile.ppl
模块描述: Temporary IO
版权: Copyright ? Kaspersky Lab 1996-2006.

模块名称: Flash9.ocx
对应文件: C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx
模块描述: Adobe Flash Player 9.0 r16
版权: ? 1996-2006 Adobe Macromedia Software LLC. All rights reserved.

--------------------------------------------------------------------

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Host File Infomation

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

文件关联信息:

EXE: ["%1" %*]
COM: ["%1" %*]
PIF: ["%1" %*]
SCR: ["%1" /S]
BAT: ["%1" %*]
REG: [regedit.exe "%1"]
TXT: [C:\WINDOWS\NOTEPAD.EXE %1]
CHM: [C:\WINDOWS\hh.exe %1]
HLP: [C:\WINDOWS\winhlp32.exe %1]
INI: [C:\WINDOWS\NOTEPAD.EXE %1]
INF: [C:\WINDOWS\NOTEPAD.EXE %1]
VBS: [%SystemRoot%\System32\WScript.exe "%1" %*]
JS: [%SystemRoot%\System32\WScript.exe "%1" %*]
LNK: [{00021401-0000-0000-C000-000000000046}]

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Autorun.inf文件信息:

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝完

显示全部楼层 · 发表于 2007-5-25 23:20:35

虽然看不太懂你的那些报告，但是帮你顶一下，希望高手能早日帮你解决这个问题……

显示全部楼层 · 发表于 2007-5-25 23:22:30

原帖由 yahoo121 于 2007-5-25 23:20 发表
虽然看不太懂你的那些报告，但是帮你顶一下，希望高手能早日帮你解决这个问题……

谢谢你的回复！

心情好多了

显示全部楼层 · 发表于 2007-5-25 23:25:17

楼主没有装卡巴么？

我的KAV7.0.0119可以发现这个病毒啊……

显示全部楼层 · 发表于 2007-5-25 23:37:44

红伞c报 NewWeb

装一个立刻清掉

显示全部楼层 · 发表于 2007-5-26 00:02:20

原帖由 yahoo121 于 2007-5-25 23:25 发表
楼主没有装卡巴么？
我的KAV7.0.0119可以发现这个病毒啊……

。。。有啊，我一直帮客户装6.307的。。。。7。0板本太多了，又不是正式板的。。。

显示全部楼层 · 发表于 2007-5-26 00:03:27

大家，问题不在那个病毒包啊！？是怎么去把这问题解块啊！那病毒早就杀了啊。！

[已解决] 是高手的进来！分析！一种还不知道是什么种类的病毒！

本帖子中包含更多资源

本帖子中包含更多资源