瑞星卡卡安全论坛

本人在断开网络状态下,一键恢复了系统,并立即"Spy Emergency "进行杀毒,结果出现了:
= Spy Emergency 2005 Startup
= Build 2.0.320.0
= Log File: 2006-08-27.txt一
===================================================================


===================================================================
= Spy Emergency 2005 启动
= Build 2.0.320.0
= 日志文件： 2006-08-27.txt
===================================================================


===================================================================
扫描开始于： 2006/08/27  19:35:05
===================================================================
注册表扫描器：发现感染项特征码于：
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\{1e796980-9cc5-11d1-a83f-00c04fc99d61}
感染项名称：
Emusic

===================================================================
扫描完成于： 2006/08/27  19:50:12
===================================================================
移除：删除
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar@{1e796980-9cc5-11d1-a83f-00c04fc99d61} 键

永久删除：注册表：
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar@{1e796980-9cc5-11d1-a83f-00c04fc99d61}




在处理完接上网络上网后,"Spy Emergency"又提示扫描,其结果又为:
===================================================================
= Spy Emergency 2005 启动
= Build 2.0.320.0
= 日志文件： 2006-08-27.txt
===================================================================


跟踪 Cookie 防护：发现感染项特征码于：
c:\documents and settings\new\cookies\new@real[1].txt
感染项名称：
Tracking Cookie


主页防护：保留新值 about:blank 主页

跟踪 Cookie 防护：发现感染项特征码于：
c:\documents and settings\new\cookies\new@real[2].txt
感染项名称：
Tracking Cookie


跟踪 Cookie 防护：发现感染项特征码于：
c:\documents and settings\new\cookies\new@real[1].txt
感染项名称：
Tracking Cookie


跟踪 Cookie 防护：发现感染项特征码于：
c:\documents and settings\new\cookies\new@real[1].txt
感染项名称：
Tracking Cookie


跟踪 Cookie 防护：发现感染项特征码于：
c:\documents and settings\new\cookies\new@real[1].txt
感染项名称：
Tracking Cookie


===================================================================
扫描开始于： 2006/08/27  20:19:09
===================================================================

内存防护：发现感染项特征码于：
c:\windows\system32\3.exe
感染项名称：
Backdoor.Haxdoor

内存扫描器：发现感染项特征码于：
c:\windows\system32\4.exe
感染项名称：
Backdoor.Haxdoor


内存防护：发现感染项特征码于：
c:\windows\system32\3.exe
感染项名称：
Backdoor.Haxdoor

内存扫描器：发现感染项特征码于：
c:\windows\system32\ntdhcp.exe
感染项名称：
Trojan.GrayBrd

注册表扫描器：发现感染项特征码于：
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ntdhcp
感染项名称：
Trojan.GrayBrd

存储器扫描器：发现感染项特征码于：
c:\windows\system32\1.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\2.exe
感染项名称：
TIB Browser

存储器扫描器：发现感染项特征码于：
c:\windows\system32\3.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\4.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\ntdhcp.exe
感染项名称：
Trojan.GrayBrd

===================================================================
扫描完成于： 2006/08/27  20:27:33
===================================================================

===================================================================
扫描开始于： 2006/08/27  20:27:39
===================================================================

内存防护：发现感染项特征码于：
c:\windows\system32\3.exe
感染项名称：
Backdoor.Haxdoor

内存扫描器：发现感染项特征码于：
c:\windows\system32\4.exe
感染项名称：
Backdoor.Haxdoor

内存扫描器：发现感染项特征码于：
c:\windows\system32\ntdhcp.exe
感染项名称：
Trojan.GrayBrd

注册表扫描器：发现感染项特征码于：
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ntdhcp
感染项名称：
Trojan.GrayBrd

存储器扫描器：发现感染项特征码于：
c:\windows\system32\1.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\2.exe
感染项名称：
TIB Browser

存储器扫描器：发现感染项特征码于：
c:\windows\system32\3.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\4.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\ntdhcp.exe
感染项名称：
Trojan.GrayBrd

===================================================================
扫描完成于： 2006/08/27  20:36:14
===================================================================

===================================================================
扫描开始于： 2006/08/27  20:36:23
===================================================================
注册表扫描器：发现感染项特征码于：
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ntdhcp
感染项名称：
Trojan.GrayBrd

存储器扫描器：发现感染项特征码于：
c:\windows\system32\1.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\2.exe
感染项名称：
TIB Browser

存储器扫描器：发现感染项特征码于：
c:\windows\system32\3.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\4.exe
感染项名称：
Backdoor.Haxdoor

存储器扫描器：发现感染项特征码于：
c:\windows\system32\ntdhcp.exe
感染项名称：
Trojan.GrayBrd

===================================================================
扫描完成于： 2006/08/27  20:42:22
===================================================================
移除：删除
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ntdhcp 键

移除：删除
c:\windows\system32\ntdhcp.exe 文件

移除：删除
c:\windows\system32\1.exe 文件

移除：删除
c:\windows\system32\3.exe 文件

移除：删除
c:\windows\system32\4.exe 文件

移除：删除
c:\windows\system32\2.exe 文件

永久删除：注册表：
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ntdhcp

永久删除：文件：
c:\windows\system32\ntdhcp.exe

永久删除：文件：
c:\windows\system32\1.exe

永久删除：文件：
c:\windows\system32\3.exe

永久删除：文件：
c:\windows\system32\4.exe

永久删除：文件：
c:\windows\system32\2.exe

本人是电脑生手,急求各位高手分析指点,谢了!




       


























 

请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

2006-08-28,19:53:21

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [Microsoft Corporation]
    <bgswitch><C:\WINDOWS\system32\bgswitch.exe>  []
    <恢复BOOT菜单><c:\windows\BOOT-hf.exe>  []
    <SpyEmergency><"D:\各类工具软件\杀毒\顶级木马间谍查杀软件Spy Emergency 2005 2.0.320 汉化免安装版\SpyEmergency.exe">  [NETGATE]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [Microsoft Corporation]
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.]
    <twister><"D:\各类工具软件\费尔托斯特安全实验室\twister.exe" -a>  [Filseclab Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [Microsoft Corporation]
    <Userinit><C:\Windows\system32\userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [Microsoft Corporation]

==================================
启动文件夹
[费尔消息服务]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\费尔消息服务.lnk><N>

==================================
服务
[User Profile Hive Cleanup / UPHClean]
  <C:\Program Files\UPHClean\uphclean.exe><Microsoft Corporation>

==================================
浏览器加载项
[微软]
  {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <http://www.microsoft.com/china/index.htm, N/A>
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[WUWebControl Class]
  {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Windows Media Player]
  {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\flash.ocx, Macromedia, Inc.>
[使用影音传送带下载]
  <C:\Program Files\Xi\NetTransport 2\NTAddLink.html, N/A>
[使用影音传送带下载全部链接]
  <C:\Program Files\Xi\NetTransport 2\NTAddList.html, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>

==================================
正在运行的进程
[PID: 424][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 476][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 508][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 552][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 564][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 716][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 764][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 832][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 876][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 948][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1192][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [D:\各类工具软件\杀毒\顶级木马间谍查杀软件Spy Emergency 2005 2.0.320 汉化免安装版\SpyEmergencyExt.dll]  <NETGATE><2, 0, 320, 0>
[PID: 1308][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1456][C:\Program Files\Common Files\Real\Update_OB\realsched.exe]  <RealNetworks, Inc.><0.1.0.3275>
[PID: 1496][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1540][C:\Program Files\Common Files\Filseclab\FilMsg.exe]  <费尔安全实验室><3, 1, 0, 927>
[PID: 1880][C:\WINDOWS\system32\wdfmgr.exe]  <Microsoft Corporation><5.2.3790.1230 built by: dnsrv(bld4act)>
[PID: 1960][C:\Program Files\UPHClean\uphclean.exe]  <Microsoft Corporation><1.5.5.21>
[PID: 916][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1720][C:\WINDOWS\system32\wuauclt.exe]  <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 448][C:\WINDOWS\system32\wuauclt.exe]  <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 1828][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\flash.ocx]  <Macromedia, Inc.><7,0,14,0>
[PID: 1396][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\flash.ocx]  <Macromedia, Inc.><7,0,14,0>
[PID: 260][D:\各类工具软件\杀毒\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

日志正常。。。