瑞星卡卡安全论坛

第一次测的时候是25号..
具体在 http://bbs.2dai.com/thread-458012-1-1.html
病毒为 C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dll

今天又测了一个同胞..比25号那个要猛得多..
样本连接:http://bbs.2dai.com/thread-460838-1-1.html

运行这个样本后释放文件
C:\Program Files\Common Files\SYSTEM\A4809591.dat
C:\Program Files\Common Files\SYSTEM\A4809591.dll
C:\WINDOWS\Help\ADSAL.CHM
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\801959.exe(命名随机)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\801959.exe(命名随机)

C:\WINDOWS\system32\verclsid.exe(系统文件) 修改为 C:\WINDOWS\system32\verclsid.exe.bak

注册表相关项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
填加 {A48AA915-9150-5091-948A-09094A91508A}

HKCR\CLSID\{A48AA915-9150-5091-948A-09094A91508A}\InProcServer32\（默认）
修改为 C:\Program Files\Common Files\SYSTEM\A4809591.dll

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Start
先前值 00000002 修改为 00000004

破坏杀软的相关注册表
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\navapsvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\kavsvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KVWSC

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KWatchSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ccProxy

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\MskService
 
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\FireSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\McShield

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\RfwService

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SKNFW

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SkyProcs

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\AVP

这个病毒存在时..
SREng 无法使用(改完后辍可使用)..
修改了安全软件的后辍为 *.bak 
反复读软驱..打印非常难用..再或者无法使用..
插上U盘也会感染(偶的U盘不在身边 无法具体测试)

处理方法:
必须在安全模式下操作
删除文件
C:\Program Files\Common Files\SYSTEM\A4809591.dat
C:\Program Files\Common Files\SYSTEM\A4809591.dll(插入了 Explorer.exe 用killbox 勾上 删除前先结束Explorer.exe进程 然后删除)
C:\WINDOWS\Help\ADSAL.CHM
C:\WINDOWS\system32\verclsid.exe.bak
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\801959.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\801959.exe
删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 分支 {A48AA915-9150-5091-948A-09094A91508A}
HKCR\CLSID\{A48AA915-9150-5091-948A-09094A91508A}\InProcServer32

HKEY_CLASSES_ROOT\CLSID\{A48AA915-9150-5091-948A-09094A91508A}\InProcServer32
（默认）右键 删除..

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
Start 的值从 4 改回 2

删除破坏安全软件的所有注册表..

卸载掉杀毒软件 删除杀毒软件的文件夹后..重新安装..

C:\WINDOWS\system32\verclsid.exe 这个系统文件据说 没撒用..如果需要可以去正常系统复制一份即可..

这玩意还会出变种的..等待中..

学习

建议重装杀软。。。至于SREng，不怕，有好几个扩展可以用。。。哈哈

HKEY_CLASSES_ROOT\CLSID\{A48AA915-9150-5091-948A-09094A91508A}直接删除就可以了

头痛晕忽忽滴～～我的电脑都快不行了．可是我又是个电脑盲，什么都不懂，该怎么办？

xue xi

应该支持一下,学习!!

【回复“mopery”的帖子】
用SSM禁止木马文件加载，重启。即可删除大部分文件（图1）

至于C:\Program Files\Common Files\SYSTEM\A4809591.dll，可以用KillBox替换删除。

附件: 15584720061029231529.jpg

咔吧斯基不能加载运行，除了要将注册表服务项改会外，还要将rpt.bak改为rpt.dll。这样，不用重装，即可运行。图2

附件: 15584720061029231706.jpg

图3：咔吧可以运行了

附件: 15584720061029231740.jpg

经过上述处理后，SREng也可正常运行。

附件: 15584720061029232504.jpg

今天刚装的扣肉

刚来上网就中奖了

流氓软件就11个

病毒还有叫瑞星~.exe的
藏在防火墙的文件夹里面

----------------
病毒猛于虎也！！！

我的电脑好象中了这个，但是楼主写的释放文件里，我别的都没，只有C:\WINDOWS\system32\verclsid.exe(系统文件) 修改为 C:\WINDOWS\system32\verclsid.exe.bak这一个
症状也是瑞星打不开，SRE也打不开，请问该怎么弄
我很菜，拜托详细点，谢谢

我刚发现了在C:\Program Files\Common Files\Microsoft Shared\MSInfo里有285208E6.dat和285208E6.dll估计是病毒吧，dat的删掉了，DLL的删不掉，请指点一下该怎么处理

看来变种还挺多

学习了，现在的病毒越来越让人头疼了

看路径 有点象上兴 呵呵

嘿嘿...楼主...我等你邮件都等晕了...你给发在这里吖!
我的电脑跟这一模一样的病症~~~~~谢啦

C:\Program Files\Common Files\SYSTEM\A4809591.dll(插入了 Explorer.exe 用killbox 勾上 删除前先结束Explorer.exe进程 然后删除)

用那个也文件也没办法删除!killbox提示文件无法删除.

用Unlocker删掉了

引用:

【天秤娃娃的贴子】C:\Program Files\Common Files\SYSTEM\A4809591.dll(插入了 Explorer.exe 用killbox 勾上 删除前先结束Explorer.exe进程 然后删除) 用那个也文件也没办法删除!killbox提示文件无法删除. ………………

看图

附件: 15584720061030110650.jpg

【回复“天秤娃娃”的帖子】

安全模式下 killbox 普通模式都能删除掉的..

只是普通模式也结束了 Exploere.exe

killbox下载地址给一个
谢谢

我中的是44DCE207.DLL和2CE404D7.DLL

所有的杀毒软件卡巴、江民、瑞星都无法运行，就连Hijacethis都不能运行

我下载橙色八月专杀后，每次扫描都会出现十几个

C:\PROGRAM FILES\COMMON FILES\SYSTEM\2CE404D7.DLL的未知病毒，然后再运行卡巴就可以了。每次重启后，依旧不能运行杀毒软件，还需要再次用橙色八月扫描后才可以运行。

卡巴也查出这个木马，提示说重启可杀，但是重启都无法运行卡巴

郁闷了，怎么解决？

目前病毒很流行,要好好学习

学习

不看不知道，一看吓一跳。
今天，同事的电脑就中了这个病毒。
病毒文件很多，启动项里的病毒启动项就无法删除掉……
发现：ADSAL.EXE,Verclsid.exe,183F66,17520.exe,173533.exe,intenat.exe,-193524.exe,1787058.exe……

看下

中了0C5D07FF.dll，svchost.dll.tmp和一些不知名的病毒？！
新变种？？照上杀了后，好像还没干净


不时地报毒，还说IE被改


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
    <run><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <NvCplDaemon><; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>  [(Verified)NVIDIA Corporation]
    <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  [N/A]
    <kis><"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe">  [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll>  [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><"\Program Files\Logonui.exe">  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
    <WinlogonNotify: klogon><C:\WINDOWS\system32\klogon.dll>  [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\System Safety Monitor]
    <WinlogonNotify: System Safety Monitor><SSMWinlogonEx.dll>  [(Verified)System Safety Limited]

==================================
启动文件夹
N/A

==================================

服务
[卡巴斯基互联网安全套装 6.0 / AVP]
<"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r><Kaspersky Lab>
[Logical Disk Manager / dmserver]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\Zehowunm.d1l><N/A>
[Human Interface Device Access / HidServ]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[NVIDIA Display Driver Service / NVSvc]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[StarWind iSCSI Service / StarWindService]
<D:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe><Rocket Division Software>

==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[AliIde / AliIde]
<\SystemRoot\System32\DRIVERS\aliide.sys><N/A>
[AMD Athlon64 Processor Driver / AmdK8]
<system32\DRIVERS\AmdK8.sys><Advanced Micro Devices>
[CmdIde / CmdIde]
<\SystemRoot\System32\DRIVERS\cmdide.sys><CMD Technology, Inc.>
[GMSIPCI / GMSIPCI]
<\??\G:\INSTALL\GMSIPCI.SYS><N/A>
[kl1 / kl1]
<\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif]
<\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[kmsinput / kmsinput]
<\??\C:\WINDOWS\system32\drivers\kmsinput.sys><N/A>
[MegaIDE / MegaIDE]
<\SystemRoot\System32\DRIVERS\MegaIDE.sys><LSI Logic Corporation.>
[New0 / New0]
<\??\C:\WINDOWS\system32\new.sys><N/A>
[npkcrypt / npkcrypt]
<\??\D:\QQ\npkcrypt.sys><N/A>
[npkycryp / npkycryp]
<\??\D:\QQ\npkycryp.sys><N/A>
[nv / nv]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[nvatabus / nvatabus]
<\SystemRoot\system32\DRIVERS\nvatabus.sys><NVIDIA Corporation>
[NVIDIA nForce Networking Controller Driver / NVENETFD]
<system32\DRIVERS\NVENETFD.sys><NVIDIA Corporation>
[NVIDIA Network Bus Enumerator / nvnetbus]
<system32\DRIVERS\nvnetbus.sys><NVIDIA Corporation>
[nwupspx / nwupspx]
<\SystemRoot\system32\drivers\nwupspx.sys><N/A>
[Direct Parallel Link Driver / Ptilink]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver / RTL8023xp]
<system32\DRIVERS\Rtlnicxp.sys><Realtek Semiconductor Corporation>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[System Safety Monitor 2.0 Core Engine / safemon]
<\SystemRoot\system32\drivers\safemon.sys><System Safety Limited>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[TCP/IP Protocol Driver / Tcpip]
<system32\DRIVERS\tcpip.sys><Microsoft Corporation>
[TSP / TSP]
<\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[vax347b / vax347b]
<\SystemRoot\system32\DRIVERS\vax347b.sys><>
[vax347s / vax347s]
<\SystemRoot\System32\Drivers\vax347s.sys><>

==================================

浏览器加载项
[启动迅雷]
{0062C9BD-B349-40DE-91A0-755F37ACD559} <D:\Thunder\Thunder.exe, Thunder Networking Technologies,LTD>
[QQ]
{c95fe080-8f5d-11d2-a20b-00aa003c157b} <D:\QQ\QQ.EXE, TENCENT>
[ThunderIEHelper Class]
{0005A87D-D626-4B3A-84F9-1D9571695F55} <C:\WINDOWS\system32\xunleibho_v14.dll, Thunder Networking Technologies,LTD>
[ActiveMovieControl Object]
{05589FA1-C356-11CE-BF01-00AA0055595A} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[Web Browser Applet Control]
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} <C:\WINDOWS\system32\msjava.dll, Microsoft Corporation>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[DHTML Edit Control Safe for Scripting for IE5]
{2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\WINDOWS\system32\dllcache\dhtmled.ocx, Microsoft Corporation>
[HHCtrl Object]
{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8} <C:\WINDOWS\system32\hhctrl.ocx, Microsoft Corporation>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <%SystemRoot%\system32\msxml3.dll, N/A>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <D:\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[Shell Name Space]
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Active Desktop Mover]
{72267F6A-A6F9-11D0-BC94-00C04FB67863} <%SystemRoot%\system32\SHELL32.dll, N/A>
[BDC Control]
{7253A666-8D4A-11D7-A4DC-00E04C504779} <C:\PROGRA~1\BDC\Bdc.ocx, BLUE>
[MediaComm Class]
{7670648D-461B-42AF-BDFE-46D26AF5EFF2} <D:\Thunder\Components\InMedia\MediaAddin07.dll, Thunder Networking Technologies,LTD>
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation>
[Adobe Acrobat Control for ActiveX]
{CA8A9780-280D-11CF-A24D-444553540000} <C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\ActiveX\pdf.ocx, Adobe Systems Incorporated>
[AUDIO__X_MS_WMA Moniker Class]
{CD3AFA84-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_WMV Moniker Class]
{CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx, Macromedia, Inc.>
[OfficeObj Class]
{D2BD7935-05FC-11D2-9059-00C04FD7A1BD} <, N/A>
[Rising Web Scan Object]
{E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} <C:\WINDOWS\DOWNLO~1\OL2005.dll, Beijing Rising Technology Co., Ltd.>
[&使用迅雷下载]
<D:\Thunder\Program\GetUrl.htm, N/A>
[&使用迅雷下载全部链接]
<D:\Thunder\Program\GetAllUrl.htm, N/A>
[上传到QQ网络硬盘]
<, N/A>
[添加到QQ自定义面板]
<, N/A>
[添加到QQ表情]
<D:\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<, N/A>

==================================
正在运行的进程
[PID: 500][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 568][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 600][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\klogon.dll] [Kaspersky Lab, 6.0.0.299]
[C:\WINDOWS\system32\SSMWinlogonEx.dll] [System Safety Limited, 2.2.0.593]
[PID: 652][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 664][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 840][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 896][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 980][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll] [Kaspersky Lab, 6.0.0.299]
[c:\windows\system32\zehowunm.d1l] [N/A, N/A]
[PID: 1052][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1152][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1396][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\nvcpl.dll] [NVIDIA Corporation, 6.14.10.7124]
[C:\WINDOWS\system32\NVRSZHC.DLL] [NVIDIA Corporation, 6.14.10.7124]
[C:\WINDOWS\system32\nvshell.dll] [NVIDIA Corporation, 6.14.10.10025]
[C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll] [Kaspersky Lab, 6.0.0.299]
[C:\Program Files\WinRAR\rarext.dll] [N/A, N/A]
[C:\Program Files\ACDSee\picaview.dll] [ACD Systems, Ltd., 2, 0, 0, 78]
[C:\Program Files\ACDSee\PlugIns\IDE_ACDStd.apl] [ACD Systems, Ltd., 1, 3, 4, 22]
[C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\shellex.dll] [Kaspersky Lab, 6.0.0.299]
[C:\WINDOWS\system32\Zehowunm.dll] [N/A, N/A]
[C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\pr_remote.dll] [Kaspersky Lab, 6.0.0.299]
[C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\prloader.dll] [Kaspersky Lab, 6.0.0.299]
[PID: 1604][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1768][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1828][C:\WINDOWS\system32\nvsvc32.exe] [NVIDIA Corporation, 6.14.10.7124]
[C:\WINDOWS\system32\NVRSZHC.DLL] [NVIDIA Corporation, 6.14.10.7124]
[PID: 1920][D:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe] [Rocket Division Software, 2.6.1 Build 0x20050401]
[PID: 1184][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\user\桌面\111\sreng2\SREng\sreng.scr] [Smallfrogs Studio, 2.2.6.605]
[C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll] [Kaspersky Lab, 6.0.0.299]

==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1 localhost

==================================