查看: 4498|回复: 29
收起左侧

[已解决] 是高手的进来!分析!一种还不知道是什么种类的病毒!

 关闭 [复制链接]
qiqi00612
发表于 2007-5-25 23:11:00 | 显示全部楼层 |阅读模式
发了三次贴都不成功真的不想打字了。。
今天在一台机子上发现了一个很强的病毒,卡吧还没有查出来,大家看看其行为吧!
卡吧安装后就不可以运行了,说找不到这个文件,IceSword(冰刃) 也不行,但只要把程序名字改一下又可以了,如avp.exe 改成avp1.exe就可以了。
regedit与 msconfig都不能用,还有就是在host里加入了对卡吧升级服务器与一些与安全想关的网站屏蔽,
在卡吧全盘查完了还是没用。还有就是不能导入注册表文件,用黄山的普通修复也不行。
www.zrinfo.net  在线杀病毒查到一个卡吧查不出来的,奇他的不想说了打了三次都发不出去。。。。心情非常的差!
大家看看日志吧,还有图,希望有见过这玩意的朋友能指点一下


20楼的兄弟,提出了方法!理论上是他说的问题 ,我下星期去再试试看!谢谢啊!



哈哈,果然没错! 大家看下面的!这是谁家的病毒啊!自己站出来啊!



[ 本帖最后由 qiqi00612 于 2007-5-29 23:15 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qiqi00612
 楼主| 发表于 2007-5-25 23:11:30 | 显示全部楼层
Logfile of HijackThis v1.99.1
Scan saved at 17:37:42, on 2007-5-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\1 avp.exe
C:\Documents and Settings\Administrator\桌面\IceSword(冰刃) V1.20 Final 绿色汉化修正版\IceSword1.exe
C:\WINDOWS\system32\RUNDLL32.EXE
H:\toos\HijackThis V1.99.1 汉化版\HijackThis.exe

R3 - URLSearchHook: BdSearchHook Class - {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} - C:\PROGRA~1\baidu\iexp\BDSrHook.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: BdSearch - {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} - C:\PROGRA~1\baidu\iexp\BDSrHook.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\1 avp.exe"
O4 - HKLM\..\Run: [BIE] RUNDLL32.EXE C:\PROGRA~1\baidu\iexp\BDSrHook.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] ; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 百度-词典搜索 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM
O11 - Options group: [!IESearch] !IESearch
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {1514341E-C046-4839-AE53-291C41A315CB} (Virusscan Control) - http://www.zrinfo.net/scan/scan.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: 卡巴斯基反病毒6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
qiqi00612
 楼主| 发表于 2007-5-25 23:13:50 | 显示全部楼层
超级巡警(Anti-Spyware Toolkit)诊断报告:

诊断日期:2007-05-25,17:52:52
系统信息:Windows XP Professional Service Pack 2
物理内存: 446 MB, 可用物理内存 167 MB, 虚拟内存 1877 MB

服务管理

名称: Ati HotKey Poller
状态: 运行
类型: 自动
显示名称: Ati HotKey Poller
描述:
启动文件路径: C:\WINDOWS\system32\Ati2evxx.exe
映像模块路径:

名称: ATI Smart
状态: 停止
类型: 自动
显示名称: ATI Smart
描述:
启动文件路径: C:\WINDOWS\system32\ati2sgag.exe
映像模块路径:

名称: AVP
状态: 停止
类型: 自动
显示名称: 卡巴斯基反病毒6.0
描述: 保护计算机远离病毒和间谍软件的威胁。
启动文件路径: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
映像模块路径:

名称: HidServ
状态: 停止
类型: 禁用
显示名称: Human Interface Device Access
描述: 启用对智能界面设备 (HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。
启动文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
映像模块路径: C:\WINDOWS\System32\hidserv.dll

名称: odbcasvc
状态: 停止
类型: 禁用
显示名称: ODBC Administration Service
描述: Microsoft Data Access - ODBC Administration Service
启动文件路径: C:\WINDOWS\SYSTEM32\odbcasvc.EXE
映像模块路径:

==========================================

内核驱动

名称: Ati HotKey Poller
状态: 运行
类型: 自动
显示名称: Ati HotKey Poller
描述:
启动文件路径: C:\WINDOWS\system32\Ati2evxx.exe
映像模块路径:

名称: ATI Smart
状态: 停止
类型: 自动
显示名称: ATI Smart
描述:
启动文件路径: C:\WINDOWS\system32\ati2sgag.exe
映像模块路径:

名称: AVP
状态: 停止
类型: 自动
显示名称: 卡巴斯基反病毒6.0
描述: 保护计算机远离病毒和间谍软件的威胁。
启动文件路径: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
映像模块路径:

名称: HidServ
状态: 停止
类型: 禁用
显示名称: Human Interface Device Access
描述: 启用对智能界面设备 (HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。
启动文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
映像模块路径: C:\WINDOWS\System32\hidserv.dll

名称: odbcasvc
状态: 停止
类型: 禁用
显示名称: ODBC Administration Service
描述: Microsoft Data Access - ODBC Administration Service
启动文件路径: C:\WINDOWS\SYSTEM32\odbcasvc.EXE
映像模块路径:

==========================================

端口关联

协议: TCP
本机IP地址: 192.168.0.24 : 1400
远程IP地址: 218.12.174.210 : 80
状态: FIN_WAIT_1
PID: 3592
路径名: 1 avp.exe

协议: TCP
本机IP地址: 192.168.0.24 : 1386
远程IP地址: 209.85.199.99 : 80
状态: ESTABLISHED
PID: 3592
路径名: 1 avp.exe

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1385
状态: ESTABLISHED
PID: 3592
路径名: 1 avp.exe

协议: TCP
本机IP地址: 127.0.0.1 : 1385
远程IP地址: 127.0.0.1 : 1110
状态: ESTABLISHED
PID: 176
路径名: H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe

协议: TCP
本机IP地址: 192.168.0.24 : 1394
远程IP地址: 61.235.71.100 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1390
远程IP地址: 218.66.104.149 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1396
远程IP地址: 221.130.184.102 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1331
远程IP地址: 192.168.0.10 : 139
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1330
远程IP地址: 192.168.0.11 : 139
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1392
远程IP地址: 60.28.18.237 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1333
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1335
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1336
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1339
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1341
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1342
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1345
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1346
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1348
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1349
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1350
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1353
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1354
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1355
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1359
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1362
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1364
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1366
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1367
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1370
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 1402
远程IP地址: 61.144.222.50 : 80
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1371
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1373
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1377
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1378
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1379
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1380
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1382
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1389
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1391
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1393
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1395
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1397
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1399
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1401
远程IP地址: 127.0.0.1 : 1110
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 127.0.0.1 : 1110
远程IP地址: 127.0.0.1 : 1403
状态: TIME_WAIT
PID: 0
路径名: ----

协议: TCP
本机IP地址: 192.168.0.24 : 139
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 4
路径名: System

协议: TCP
本机IP地址: 0.0.0.0 : 135
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 1052
路径名: C:\WINDOWS\system32\svchost.exe

协议: TCP
本机IP地址: 127.0.0.1 : 1029
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 1728
路径名: C:\WINDOWS\System32\alg.exe

协议: TCP
本机IP地址: 0.0.0.0 : 3389
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 988
路径名: C:\WINDOWS\system32\svchost.exe

协议: TCP
本机IP地址: 0.0.0.0 : 1110
远程IP地址: 0.0.0.0 : 0
状态: LISTENING
PID: 3592
路径名: 1 avp.exe

协议: UDP
本机IP地址: 0.0.0.0 : 500
远程IP地址: * : *
状态:
PID: 756
路径名: C:\WINDOWS\system32\lsass.exe

协议: UDP
本机IP地址: 192.168.0.24 : 1900
远程IP地址: * : *
状态:
PID: 1272
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 127.0.0.1 : 1332
远程IP地址: * : *
状态:
PID: 176
路径名: H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe

协议: UDP
本机IP地址: 192.168.0.24 : 137
远程IP地址: * : *
状态:
PID: 4
路径名: System

协议: UDP
本机IP地址: 0.0.0.0 : 1025
远程IP地址: * : *
状态:
PID: 1188
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 192.168.0.24 : 138
远程IP地址: * : *
状态:
PID: 4
路径名: System

协议: UDP
本机IP地址: 127.0.0.1 : 1900
远程IP地址: * : *
状态:
PID: 1272
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 0.0.0.0 : 4500
远程IP地址: * : *
状态:
PID: 756
路径名: C:\WINDOWS\system32\lsass.exe

协议: UDP
本机IP地址: 0.0.0.0 : 1236
远程IP地址: * : *
状态:
PID: 1188
路径名: C:\WINDOWS\system32\svchost.exe

协议: UDP
本机IP地址: 127.0.0.1 : 1222
远程IP地址: * : *
状态:
PID: 3968
路径名: C:\PROGRA~1\INTERN~1\iexplore.exe

==========================================

启动管理-注册表

名字: ctfmon.exe
数据: C:\WINDOWS\system32\ctfmon.exe
键路径: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
文件描述: CTF Loader
发布者: Microsoft Corporation

名字: msnmsgr
数据: ; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
键路径: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
文件描述: MSN Messenger
发布者: Microsoft Corporation

名字: kav
数据: "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\1 avp.exe"
键路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
文件描述: Kaspersky Anti-Virus
发布者: Kaspersky Lab

名字: 360Safe
数据: Rundll32.exe H:\恶意软~1\360safe\AntiAdwa.dll,KillAdware
键路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
文件描述: 360安全卫士检测模块
发布者: 360Safe.com
qiqi00612
 楼主| 发表于 2007-5-25 23:14:31 | 显示全部楼层
名字: Userinit
数据: C:\WINDOWS\system32\userinit.exe,
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
文件描述: Userinit Logon Application
发布者: Microsoft Corporation

名字: Shell
数据: Explorer.exe
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
文件描述: Windows Explorer
发布者: Microsoft Corporation

名字: Scrnsave.exe
数据: C:\WINDOWS\System32\logon.scr
键路径: HKEY_CURRENT_USER\Control Panel\Desktop
文件描述: Logon Screen Saver
发布者: Microsoft Corporation

名字: BootExecute
数据: autocheck autochk *
键路径: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
文件描述:
发布者:

名字: AtiExtEvent
数据: C:\WINDOWS\system32\Ati2evxx.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
文件描述: ATI External Event Utility DLL Module
发布者: ATI Technologies Inc.

名字: crypt32chain
数据: C:\WINDOWS\system32\crypt32.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
文件描述: Crypto API32
发布者: Microsoft Corporation

名字: cryptnet
数据: C:\WINDOWS\system32\cryptnet.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
文件描述: Crypto Network Related API
发布者: Microsoft Corporation

名字: cscdll
数据: C:\WINDOWS\system32\cscdll.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
文件描述: Offline Network Agent
发布者: Microsoft Corporation

名字: klogon
数据: c:\windows\system32\klogon.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon
文件描述:
发布者:

名字: ScCertProp
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: Schedule
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: sclgntfy
数据: C:\WINDOWS\system32\sclgntfy.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
文件描述: Secondary Logon Service Notification DLL
发布者: Microsoft Corporation

名字: SensLogn
数据: C:\WINDOWS\system32\WlNotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: termsrv
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: wlballoon
数据: C:\WINDOWS\system32\wlnotify.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
文件描述: Common DLL to receive Winlogon notifications
发布者: Microsoft Corporation

名字: Microsoft Windows Media Player
数据: c:\windows\inf\unregmp2.exe /showwmp
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
文件描述: Microsoft Windows Media Player 安装实用程序
发布者: Microsoft Corporation

名字: Internet Explorer
数据: C:\WINDOWS\system32\shmgrate.exe ocinstalluserconfigie
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}
文件描述: Windows NT User Data Migration Tool
发布者: Microsoft Corporation

名字: 浏览器自定义组件
数据: RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
文件描述: Microsoft Internet Explorer Customization DLL
发布者: Microsoft Corporation

名字: Outlook Express
数据: C:\WINDOWS\system32\shmgrate.exe ocinstalluserconfigoe
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
文件描述: Windows NT User Data Migration Tool
发布者: Microsoft Corporation

名字: Themes Setup
数据: C:\WINDOWS\system32\regsvr32.exe /s /n /i:/userinstall C:\WINDOWS\system32\themeui.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
文件描述: Microsoft(C) Register Server
发布者: Microsoft Corporation

名字: Microsoft Outlook Express 6
数据: "C:\Program Files\outlook express\setup50.exe" /app:oe /caller:winnt /user /install
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
文件描述: Outlook Express Setup Library
发布者: Microsoft Corporation

名字: NetMeeting 3.01
数据: rundll32.exe advpack.dll,launchinfsection c:\windows\inf\msnetmtg.inf,netmtg.install.peruser.nt
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
文件描述: ADVPACK
发布者: Microsoft Corporation

名字: Microsoft Windows Media Player
数据: rundll32.exe advpack.dll,launchinfsection c:\windows\inf\wmp.inf,peruserstub
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
文件描述: ADVPACK
发布者: Microsoft Corporation

名字: 通讯簿 6
数据: "C:\Program Files\outlook express\setup50.exe" /app:wab /caller:winnt /user /install
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}
文件描述: Outlook Express Setup Library
发布者: Microsoft Corporation

名字: Windows 桌面更新
数据: regsvr32.exe /s /n /i:u shell32.dll
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}
文件描述: Windows Shell Common Dll
发布者: Microsoft Corporation

名字: Internet Explorer 6
数据: C:\WINDOWS\system32\ie4uinit.exe
键路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
文件描述: IE 5.0 Per-User Install Utility
发布者: Microsoft Corporation

==========================================

启动管理-IE插件

名字: Microsoft Url 搜索挂接
映像文件路径: C:\WINDOWS\system32\shdocvw.dll
插件类型: URLSearch Hooks
插件描述: Shell Doc Object and Control Library
发布者: Microsoft Corporation

==========================================

启动管理-WinSock Lsp

协议: MSAFD Tcpip [TCP/IP]
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD Tcpip [UDP/IP]
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD Tcpip [RAW/IP]
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: RSVP UDP Service Provider
映像文件路径: C:\WINDOWS\system32\rsvpsp.dll
文件描述: Microsoft Windows Rsvp 1.0 Service Provider
发布者: Microsoft Corporation

协议: RSVP TCP Service Provider
映像文件路径: C:\WINDOWS\system32\rsvpsp.dll
文件描述: Microsoft Windows Rsvp 1.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5C21319E-9911-4D7F-8D30-DD23221A43E1}] SEQPACKET 0
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5C21319E-9911-4D7F-8D30-DD23221A43E1}] DATAGRAM 0
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D004881D-395F-4896-98C2-E69C8B8AEC51}] SEQPACKET 1
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D004881D-395F-4896-98C2-E69C8B8AEC51}] DATAGRAM 1
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1309452F-9C7F-43EB-9FE5-210D8381ED14}] SEQPACKET 2
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

协议: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1309452F-9C7F-43EB-9FE5-210D8381ED14}] DATAGRAM 2
映像文件路径: C:\WINDOWS\system32\mswsock.dll
文件描述: Microsoft Windows Sockets 2.0 Service Provider
发布者: Microsoft Corporation

==========================================

启动管理-启动文件夹

启动文件名: desktop.ini
目录路径: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

启动文件名: desktop.ini
目录路径: C:\Documents and Settings\All Users\「开始」菜单\程序\启动

==========================================

补丁检查

安全公告:
补丁名称: KB935448
漏洞名称: 可能无法启动 Realtek HD 音频控制面板, 并且启动计算机时收到错误信息: " 非法系统 DLL Relocation
发布时间: 2007-4-3

==========================================

进程管理

进程名称: winlogon.exe
分析: Normal
ID: 668
父进程: 480
对应文件: C:\WINDOWS\system32\winlogon.exe
命令行: winlogon.exe
进程描述: Windows NT用户登陆程序。

模块列表:

        模块名称: Ati2evxx.dll
        对应文件: C:\WINDOWS\system32\Ati2evxx.dll
        模块描述: ATI External Event Utility DLL Module
        版权: Copyright ? 1999-2004 ATI Technologies Inc.

--------------------------------------------------------------------

进程名称: ati2evxx.exe
分析: Unknow
ID: 936
父进程: 744
对应文件: C:\WINDOWS\system32\Ati2evxx.exe
命令行: C:\WINDOWS\system32\Ati2evxx.exe
进程描述: ATI External Event Utility EXE Module

模块列表:

        模块名称: Ati2edxx.dll
        对应文件: C:\WINDOWS\system32\Ati2edxx.dll
        模块描述: ati2edxx
        版权: Copyright (c) ATI Technologies Inc. 2003

--------------------------------------------------------------------

进程名称: spoolsv.exe
分析: Normal
ID: 1412
父进程: 744
对应文件: C:\WINDOWS\system32\spoolsv.exe
命令行: C:\WINDOWS\system32\spoolsv.exe
进程描述: Windows打印任务控制程序,用以打印机就绪。

模块列表:

        模块名称: E_FLMAAP.DLL
        对应文件: C:\WINDOWS\system32\E_FLMAAP.DLL
        模块描述: EPSON Bi-directional Monitor
        版权: Copyright (C) SEIKO EPSON CORP. 2004

--------------------------------------------------------------------

进程名称: ati2evxx.exe
分析: Unknow
ID: 1640
父进程: 668
对应文件: C:\WINDOWS\system32\Ati2evxx.exe
命令行: Ati2evxx.exe -Client
进程描述: ATI External Event Utility EXE Module

模块列表:

        模块名称: Ati2edxx.dll
        对应文件: C:\WINDOWS\system32\Ati2edxx.dll
        模块描述: ati2edxx
        版权: Copyright (c) ATI Technologies Inc. 2003

--------------------------------------------------------------------

进程名称: IEXPLORE.EXE
分析: Unknow
ID: 3968
父进程: 1744
对应文件: C:\PROGRA~1\INTERN~1\iexplore.exe
命令行: "C:\PROGRA~1\INTERN~1\iexplore.exe"
进程描述:

模块列表:

        模块名称: BDSrHook.dll
        对应文件: C:\PROGRA~1\baidu\iexp\BDSrHook.dll
        模块描述: BDSrHook Module
        版权: Copyright 2004

        模块名称: scr_ch_pg.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll
        模块描述: Script Checker
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: klscav.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\klscav.dll
        模块描述: Script Checker AV Plugin
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: pr_remote.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\pr_remote.dll
        模块描述: PR_REMOTE
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: prloader.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prloader.dll
        模块描述: Prague Loader
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: prkernel.ppl
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prkernel.ppl
        模块描述: Prague kernel
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: params.ppl
        对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\params.ppl
        模块描述: Structure Serializer
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: pxstub.ppl
        对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\pxstub.ppl
        模块描述: Proxy Stubs
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: tempfile.ppl
        对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\tempfile.ppl
        模块描述: Temporary IO
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: scan.ocx
        对应文件: C:\WINDOWS\DOWNLO~1\scan.ocx
        模块描述: virusscan ActiveX Control Module
        版权: Copyright (C) 2004

        模块名称: SAVI.DLL
        对应文件: c:\AVEngine\SAVI.DLL
        模块描述: Sophos Anti-Virus third party interface DLL
        版权: ? 1989-2005 Sophos Plc, www.sophos.com

        模块名称: VEEX.DLL
        对应文件: c:\AVEngine\VEEX.DLL
        模块描述: Sophos Anti-Virus detection engine DLL
        版权: ? 1989-2005 Sophos Plc, www.sophos.com

        模块名称: OSDP.dll
        对应文件: c:\AVEngine\OSDP.dll
        模块描述: Sophos Anti-Virus O/S support DLL
        版权: ? 1989-2005 Sophos Plc, www.sophos.com

--------------------------------------------------------------------

进程名称: IceSword1.exe
分析: Unknow
ID: 2888
父进程: 1744
对应文件: C:\Documents and Settings\Administrator\桌面\IceSword(冰刃) V1.20 Final 绿色汉化修正版\IceSword1.exe
命令行: "C:\Documents and Settings\Administrator\桌面\IceSword(冰刃) V1.20 Final 绿色汉化修正版\IceSword1.exe"
进程描述:

模块列表:

        模块名称: BDSrHook.dll
        对应文件: C:\PROGRA~1\baidu\iexp\BDSrHook.dll
        模块描述: BDSrHook Module
        版权: Copyright 2004

--------------------------------------------------------------------

进程名称: explorer.exe
分析: Normal
ID: 3144
父进程: 1856
对应文件: C:\WINDOWS\explorer.exe
命令行: C:\WINDOWS\explorer.exe
进程描述: 桌面浏览进程

模块列表:

        模块名称: PSICON.DLL
        对应文件: C:\Program Files\Common Files\Adobe\Shell\PSICON.DLL
        模块描述: Icons for Adobe Photoshop
        版权: ? 1989-2002 Adobe Systems Incorporated

        模块名称: rarext.dll
        对应文件: C:\Program Files\WinRAR\rarext.dll
        模块描述:
        版权:

        模块名称: qdshm.dll
        对应文件: C:\Program Files\Tencent\TM\TMDlls\qdshm.dll
        模块描述: QQDiskShellMenu Module
        版权: Copyright 2004

        模块名称: RavExt.dll
        对应文件: C:\WINDOWS\system32\RavExt.dll
        模块描述: Rising Shell Ext Module
        版权: Copyright (c) 1998-2006 Rising Corp.

        模块名称: shellex.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
        模块描述: Windows Shell Extension
        版权: Copyright ? Kaspersky Lab 1996-2006.

--------------------------------------------------------------------

进程名称: AST.exe
分析: Normal
ID: 176
父进程: 3144
对应文件: H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe
命令行: "H:\恶意软件清理\超级巡警 V2.7.0 b20070109 绿色版\AST.exe"
进程描述: Anti Spyware Toolkit

模块列表:

        模块名称: scr_ch_pg.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll
        模块描述: Script Checker
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: klscav.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\klscav.dll
        模块描述: Script Checker AV Plugin
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: pr_remote.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\pr_remote.dll
        模块描述: PR_REMOTE
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: prloader.dll
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prloader.dll
        模块描述: Prague Loader
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: prkernel.ppl
        对应文件: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prkernel.ppl
        模块描述: Prague kernel
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: params.ppl
        对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\params.ppl
        模块描述: Structure Serializer
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: pxstub.ppl
        对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\pxstub.ppl
        模块描述: Proxy Stubs
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: tempfile.ppl
        对应文件: c:\program files\kaspersky lab\kaspersky anti-virus 6.0\tempfile.ppl
        模块描述: Temporary IO
        版权: Copyright ? Kaspersky Lab 1996-2006.

        模块名称: Flash9.ocx
        对应文件: C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx
        模块描述: Adobe Flash Player 9.0  r16
        版权: ? 1996-2006 Adobe Macromedia Software LLC. All rights reserved.

--------------------------------------------------------------------

==========================================

Host File Infomation


==========================================

文件关联信息:

EXE:        ["%1" %*]
COM:        ["%1" %*]
PIF:        ["%1" %*]
SCR:        ["%1" /S]
BAT:        ["%1" %*]
REG:        [regedit.exe "%1"]
TXT:        [C:\WINDOWS\NOTEPAD.EXE %1]
CHM:        [C:\WINDOWS\hh.exe %1]
HLP:        [C:\WINDOWS\winhlp32.exe %1]
INI:        [C:\WINDOWS\NOTEPAD.EXE %1]
INF:        [C:\WINDOWS\NOTEPAD.EXE %1]
VBS:        [%SystemRoot%\System32\WScript.exe "%1" %*]
JS:        [%SystemRoot%\System32\WScript.exe "%1" %*]
LNK:        [{00021401-0000-0000-C000-000000000046}]

==========================================

Autorun.inf文件信息:


=========================================完
yahoo121
发表于 2007-5-25 23:20:35 | 显示全部楼层
虽然看不太懂你的那些报告,但是帮你顶一下,希望高手能早日帮你解决这个问题……
qiqi00612
 楼主| 发表于 2007-5-25 23:22:30 | 显示全部楼层
原帖由 yahoo121 于 2007-5-25 23:20 发表
虽然看不太懂你的那些报告,但是帮你顶一下,希望高手能早日帮你解决这个问题……

谢谢你的回复! 心情好多了
yahoo121
发表于 2007-5-25 23:25:17 | 显示全部楼层
楼主没有装卡巴么?
我的KAV7.0.0119可以发现这个病毒啊……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qwerasdf123
发表于 2007-5-25 23:37:44 | 显示全部楼层
红伞c报 NewWeb

装一个立刻清掉
qiqi00612
 楼主| 发表于 2007-5-26 00:02:20 | 显示全部楼层
原帖由 yahoo121 于 2007-5-25 23:25 发表
楼主没有装卡巴么?
我的KAV7.0.0119可以发现这个病毒啊……

。。。有啊,我一直帮客户装6.307的。。。。7。0板本太多了,又不是正式板的。。。
qiqi00612
 楼主| 发表于 2007-5-26 00:03:27 | 显示全部楼层
大家,问题不在那个病毒包啊!?是怎么去把这问题解块啊!那病毒早就杀了啊。!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 17:27 , Processed in 0.142702 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表