U盘病毒Windows.scr(杀毒软件初始化失败)(*door0)(Win32.Downloader.b) bbs.ikaka.com

newcenturymoon - 2007-10-4 2:45:00

今天接到了好几起感染这个病毒的案例分析了一下这个病毒就是先前的罗姆病毒的新变种
File:Windows.scr
Size: 28024 bytes
Modified: 2007年9月11日, 23:49:55
MD5: E47C0D7E26B63E44DD5929618E64FD57
SHA1: 072597E8C7D3F6FD3644919414245BCE42317C33
CRC32: 4E29C95D

1.生成如下文件：
C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak（就是windows.scr文件）
C:\Program Files\Internet Explorer\OnlO0r.dll
C:\Program Files\Internet Explorer\OnlO0r.obk
C:\Windows\system32\dllcache\svchost.exe

fjOs0r.dll和OnlO0r.dll注入到Explorer进程中以及由Explorer启动的进程中

2.添加注册表键值
HKCR\CLSID\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}\InProcServer32
指向C:\Program Files\Internet Explorer\OnlO0r.dll
HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32
指向HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32
达到开机自动加载的目的

3.如果有新的移动存储设备插入电脑，则往里面写入windows.scr和autorun.inf文件

4.通过遍历HKEY_LOCAL_MACHINE下相关软件的installpath,ProgramPath,Folder,InstallDir,Installed Path等的键值获得某些安全软件的

安装目录，比如360安全卫士，瑞星杀毒软件，诺顿等
在这些安全软件的目录中创建MFC42.DLL的文件夹
导致杀毒软件应用程序初始化失败，出现(0xc00000ba)错误
并在MFC42.DLL文件夹下生成歧义文件夹10I11O10..\导致windows下无法删除该文件夹

5.感染除系统分区外的exe文件
被感染文件被加入2092个字节的代码被感染文件创建时间被改为1620年或者1619年
被感染文件被加入的代码具备下载功能能够联网下载病毒主程序
被感染文件瑞星报Win32.Downloader.b

6.由Explorer.exe连接网络
读取http://www.*.org/Data/No.txt配置文件
下载木马和病毒
http://*/Images/Hide/1.exe
http://*/Images/Hide/2.exe
http://*/Images/Hide/3.exe
http://*/Images/Hide/4.exe
http://*/Images/Hide/5.exe
http://*/Images/Hide/6.exe
http://*/Images/Hide/7.exe
http://*/Images/Hide/8.exe
http://*/Images/Hide/9.exe
http://*/Images/Hide/10.exe
http://*/Images/Hide/11.exe
http://*/Images/Hide/12.exe
http://*/Images/Hide/13.exe
http://*/Images/Hide/14.exe
http://*/Images/Hide/15.exe
http://*/Images/Hide/16.exe
http://*/Images/Hide/M2.exe
http://*/Images/Hide/smss.exe
到%Temp%文件夹
其中M2.exe为病毒主程序的最新版本（即病毒具有在线更新功能）
前面说的被感染的exe文件也是连接网络下载这个文件

其他木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件
并且插入Explorer.exe和由explorer.exe启动的进程
这些**door0.dll都是盗号木马
主要盗取如下网络游戏的帐号和密码（包括但不限于）

盛大通行证的帐号密码
天龙八部
大话西游Online II
梦幻西游
完美世界
诛仙
问道
热血江湖
QQ幻想
魔域
传奇世界
魔兽世界
...

sreng日志体现如下
注册表
启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztfree0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
==================================
浏览器加载项
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>

==================================
[PID: 1704][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Internet Explorer\OnlO0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\Program Files\Common Files\fjOs0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\WINDOWS\system32\mhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wodoor0.dll] [N/A, ]
[C:\WINDOWS\system32\csdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\ztfree0.dll] [N/A, ]
[C:\WINDOWS\system32\wgdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dadoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dh3oor0.dll] [N/A, ]
[C:\WINDOWS\system32\qjdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\rxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wddoor0.dll] [N/A, ]
[C:\WINDOWS\system32\tldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\zxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\mydoor0.dll] [N/A, ]
[C:\WINDOWS\system32\qhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\cqdoor0.dll] [N/A, ]
...

清除办法：

注意一定不要落下第四步全盘杀毒！！

需要的软件XDelbox (http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902)
sreng (http://download.kztechs.com/files/sreng2.zip)

一、清除windows.scr产生的病毒文件
打开Xdelbox
在添加旁边的框中分别输入
C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak
C:\Program Files\Internet Explorer\OnlO0r.dll
输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中
然后一次性选中（按住ctrl)下面大框中所有的文件
右键单击点击重启立即删除

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

附件: 554345200710423442.jpg

newcenturymoon - 2007-10-4 2:46:00

重启计算机以后会有一个系统菜单选择
选择Go Xdelbox To Del Files

附件: 554345200710423509.jpg

newcenturymoon - 2007-10-4 2:46:00

类似dos的界面滚动完毕以后病毒就被删除了
之后他会自动重启进入正常模式
进入正常模式后
打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
系统修复－浏览器加载项－找到如下项目点击删除项目，在弹出的对话框中点“是”
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>

二、清除ghost.pif下载的木马*door0.dll
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
打开%system32%文件夹（默认C:\Windows\system32）
单击菜单栏下方的搜索按钮全部或部分文件名中输入*door0.dll

附件: 554345200710423526.jpg

newcenturymoon - 2007-10-4 2:47:00

记住所有*door0.dll的名称
之后利用Xdelbox的删除功能将其删除

附件: 554345200710423620.jpg

newcenturymoon - 2007-10-4 2:47:00

重启计算机以后

打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztfree0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
...
（即所有的*door0.dll的项目）
三、删除安全软件文件夹下的MFC42.DLL
下载附件中的清除歧义文件夹.rar
解压缩

将要删除的MFC42.DLL文件或者文件夹，用鼠标左键拖放到清除歧义文件夹.bat的文件图标上（就像把文件拖到文件夹里的操作一样），一个CMD窗口闪烁之后，伪"MFC42.DLL"文件夹就被删除了

四、修复受感染的exe文件
一定不要落下这一步！！否则将前功尽弃！
注意由于病毒感染可执行文件且被感染的文件可以继续充当下载病毒的角色，所以一定要修复受感染的exe文件目前瑞星杀毒软件可以修复文
件

附件: 55434520071013125624.rar

孤独更可靠 - 2007-10-4 7:56:00

Good~

好像是Ghost.pif变种

捆绑``

Aasetup - 2007-10-4 10:49:00

"注意由于病毒感染可执行文件且被感染的文件可以继续充当下载病毒的角色，所以一定要修复受感染的exe文件目前瑞星杀毒软件可以修复文件"

有时感染的文件被杀软杀坏了! 真郁闷 0.0"

收下谢谢

另壶冲 - 2007-10-4 11:33:00

学习一下。

毒仙 - 2007-10-4 12:38:00

楼主给个样本，研究研究。发送到：wutao0212@163.com.。谢谢！！！

毒仙 - 2007-10-4 12:39:00

楼主给个样本，研究研究。发送到：wutao0212@163.com.。谢谢！！！

日不懂啊 - 2007-10-4 17:48:00

引用:

【另壶冲的贴子】学习一下。
………………

这位是？......
崔老师？

沸腾的海洋 - 2007-10-4 18:20:00

感谢楼主，执行您的操作后我的电脑好像正常了，瑞星监控中心也显示小绿伞了，查找*door0.dll的相关文件也没有了，让我这菜鸟学到了一课，谢谢！

shouhou - 2007-10-4 18:55:00

学习

淪落為人 - 2007-10-4 20:17:00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

这些项目我删除不了是怎么回事？

日不懂啊 - 2007-10-5 10:29:00

引用:

【淪落為人的贴子】[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

这些项目我删除不了是怎么回事？
………………

先删除文件啊，不是说了重命名大法么

找到相关文件，重命名，重起，删除重命名后的文件，再修改注册表

haohe的fans - 2007-10-5 10:39:00

汗

jmbt - 2007-10-5 15:27:00

学习一下

jmbt - 2007-10-5 15:29:00

学习一下

姑苏残月 - 2007-10-5 16:33:00

这个新鲜，不错

孤风冷月 - 2007-10-5 20:06:00

早看到这个就好了，我就是感染的这个病毒好像，就是U盘感染，而且十分厉害，把我的时间改成了1984年，害得我把全盘格式化，再重装系统。瑞星的这个论坛真不错，希望继续为广大用户服务。

wei198512210 - 2007-10-5 22:22:00

什么杀毒软件好？

海边贝壳 - 2007-10-5 23:43:00

三、删除安全软件文件夹下的MFC42.DLL
第三个步骤必须的吗？那么多MFC42。DLL文件都要删除吗？？？？

好学的忆忆 - 2007-10-6 1:26:00

system32里的MFC42.DLL删了会自动恢复．

好学的忆忆 - 2007-10-6 1:40:00

都按照楼主说的做了．但是瑞星还是小红伞无法打开．

有缘无悔 - 2007-10-6 14:01:00

C:\Program Files\Internet Explorer\OnlO0r.bak
这个文件怎么不能添加到XDelbox，提示“对不起，不存在该文件（软件不支持删除文件夹）”

newcenturymoon - 2007-10-6 15:15:00

引用:

【好学的忆忆的贴子】system32里的MFC42.DLL删了会自动恢复．

………………

注意是删除安全软件下的MFC42.dll不是 system32下面的

zhongzhi - 2007-10-6 17:22:00

中了这个病毒，手杀起来费点劲。

Lost♂ - 2007-10-6 22:21:00

好象不是那么好用好多我都找不到跟着做了一遍还是打不开小伞郁闷死了重装系统的哥们你机器重新装就好了吗？全格就行？确定不？

轻描淡写1 - 2007-10-7 20:11:00

请各位高手大哥帮忙看下我电脑的日志：
[CODE]

2000-01-01,00:45:25

System Repair Engineer 2.5.16.900 Emergency Scan Mode
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Professional Service Pack 4 (Build 2195)

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Windows 2000 Publisher]
<Runonce><C:\WINNT\system32\runouce.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows 2000 Publisher]
<Userinit><C:\WINNT\system32\userinit.exe,> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{72204F90-5CD6-41B1-BD69-62CD84C9FB24}><> [N/A]
<{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\WINNT\system32\avzxdmn.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
<Microsoft Windows Media Player><C:\WINNT\system32\setup\wmpocm.exe /ShowWMP> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer 访问><"%SystemRoot%\system32\shmgrate.exe" OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express 访问><"%SystemRoot%\system32\shmgrate.exe" OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<Address Book 5><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
<N/A><C:\WINNT\system32\Rundll32.exe C:\WINNT\system32\mscories.dll,Install> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]
<CRLUpdate><%SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl> [N/A]

==================================
启动文件夹
[QQ游戏启动加速程序]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk --> C:\PROGRA~1\Tencent\QQGAME\Accel.exe [深圳市腾讯计算机系统有限公司]><H>

==================================

轻描淡写1 - 2007-10-7 20:12:00

服务
[Logical Disk Manager Administrative Service / dmadmin][Stopped/Manual Start]
<C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
[Portable Media Serial Number Service / WmdmPmSN][Stopped/Manual Start]
<C:\WINNT\System32\svchost.exe -k netsvcs-->C:\WINNT\system32\mspmsnsv.dll><Microsoft Corporation>

==================================
驱动程序
[dmboot / dmboot][Stopped/Disabled]
<System32\drivers\dmboot.sys><VERITAS Software Corp.>
[Logical Disk Manager Driver / dmio][Running/Boot Start]
<\SystemRoot\System32\drivers\dmio.sys><VERITAS Software Corp.>
[dmload / dmload][Running/Boot Start]
<\SystemRoot\System32\drivers\dmload.sys><VERITAS Software Corp.>
[i81x / i81x][Running/Manual Start]
<system32\DRIVERS\i81xnt5.sys><Intel Corporation>
[mseam / mseam][Stopped/Manual Start]
<\??\C:\WINNT\system32\mseam.sys><N/A>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\DRIVERS\npf.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Auto Start]
<\??\C:\Program Files\QQ2006\npkcrypt.sys><N/A>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[voodoo3 / voodoo3][Stopped/Manual Start]
<system32\DRIVERS\voodoo3.sys><3Dfx Interactive, Inc.>
[World Standard Teletext Codec / WSTCODEC][Stopped/Manual Start]
<system32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>

==================================
浏览器加载项
[ThunderAtOnce Class]
{01443AEC-0FD1-40fd-9C87-E93D1494C233} <C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll, Thunder Networking Technologies,LTD>
[NavigatMon Class]
{B69F34DD-F0F9-42DC-9EDD-957187DA688D} <C:\Program Files\360safe\safemon\safemon.dll, >
[启动迅雷5]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <C:\Program Files\Thunder Network\Thunder\Thunder.exe, Thunder Networking Technologies,LTD>
[@shdoclc.dll,-866]
{c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[@msdxmLC.dll,-1@2052,电台(&R)]
{8E718888-423F-11D2-876E-00A0C9082467} <C:\WINNT\system32\msdxm.ocx, Microsoft Corporation>
[PortalCom R01]
{817C90B5-1688-42BE-9044-58422DB088B2} <C:\WINNT\DOWNLO~1\PortalAX.ocx, Huawei Co. Ltd.>
[Update Class]
{9F1C11AA-197B-4942-BA54-47A8489BB47F} <C:\WINNT\system32\iuctl.dll, Microsoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>
[Thunder Agent Class]
{485463B7-8FB2-4B3B-B29B-8B919B0EACCE} <C:\Program Files\Thunder Network\Thunder\ComDlls\ThunderAgent_Now.dll, Thunder Networking Technologies,LTD>
[XMP Class]
{6483F145-A768-4C41-AACC-52D4D7845851} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\xplayer.dll_1_work, >
[XDRM]
{693571CB-54A3-4E90-9D52-EEAE1334E2D3} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\xdrm.dll_1_work, >
[MediaComm Class]
{7670648D-461B-42AF-BDFE-46D26AF5EFF2} <C:\Program Files\Thunder Network\Thunder\Components\InMedia\MediaAddin13.dll, Thunder Networking Technologies,LTD>
[360SafeLive]
{87515F61-A66C-4319-A0E0-D416CB8059E3} <C:\Program Files\360safe\live.dll, 360safe.com>
[RMGetLicense Class]
{A9FC132B-096D-460B-B7D5-1DB0FAE0C062} <C:\WINNT\system32\msnetobj.dll, Microsoft Corporation>
[Thunder DapPlayer]
{EEDD6FF9-13DE-496B-9A1C-D78B3215E266} <C:\Program Files\Thunder Network\Thunder\Components\DownAndPlay\DapPlayer3.0.28.50.dll, ShenZhen Thunder Networking Technologies Ltd.>
[XPPlayer Class]
{F3E70CEA-956E-49CC-B444-73AFE593AD7F} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\pplayer.dll_1_work, Thunder>
[使用迅雷下载]
<C:\Program Files\Thunder Network\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
<C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm, N/A>

瑞星卡卡安全论坛