============================================================== 金山清理专家系统诊断报告该诊断报告由金山清理专家提供 http://www.duba.net ============================================================== 诊断时间: 2008-08-15, 19:06 诊断平台: Windows XP [5.1.2600] Service Pack 2 IE版本: Internet Explorer V6.0.2180.2900 计算机物理内存: 511(MB) 当前可用内存: 296(MB) 硬盘总大小: 72(GB) 硬盘可用空间: 59(GB) 清理专家版本: 2008.07.16.472 恶意软件库版本: 2008.08.06.1 漏洞库版本: 2008.08.14.1 ============================================================== 映像劫持 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] 文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)] ============================================================== 常规启动项 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [NvCplDaemon] <; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NvMediaCenter] <; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> [nwiz] <; nwiz.exe /install> [SoundMan] <; SOUNDMAN.EXE> [switch] <; c:\windows\system32\壁纸自动换.exe> [yassistse] <; C:\Program Files\Yahoo!\Assistant\yAssistSe.exe> [YLive.exe] <; C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe> -------------------------------------------------------------- 该项来源: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ctfmon.exe] ============================================================== 执行挂钩 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{C0595A7E-2E2F-4B34-A83A-019270A0A464}> -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{A9895933-6636-4281-BC58-EE6DE2AF96E3}> -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{28766E1C-74B0-4417-8C75-F12AE309EF35}> -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}> -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{F99DEFDD-200B-4410-B572-E90883D527D2}> -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{006CA8A1-61BC-4774-A54C-F49034270BAD}> ============================================================== 启动文件夹位置 ============================================================== Common Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动 Startup: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 Common Startup: %ALLUSERSPROFILE%\「开始」菜单\程序\启动 ============================================================== Host File ============================================================== 127.0.0.1 localhost ============================================================== 系统服务 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services [HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll> [RfwProxySrv] [已启用] ============================================================== 驱动程序 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services [004cff9b] [已启用] <\??\C:\WINDOWS\system32\Drivers\004cff9b.sys> [acxyq] [已启用] <\??\C:\WINDOWS\system32\drivers\acxyq.sys> [mferkdk] [已启用] <\??\D:\Program Files\MCAFEE\mferkdk.sys> [npkcrypt] [已启用] <\??\C:\Program Files\QQ2006\npkcrypt.sys> [pxpqab] [已启用] <\??\C:\WINDOWS\system32\drivers\pxpqab.sys> [sqnnl] [已启用] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat> [xypab] [已启用] <\??\C:\WINDOWS\system32\drivers\xypab.sys> [yvstq] [已启用] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat> [zrcrc] [已启用] <\??\C:\WINDOWS\system32\drivers\zrcrc.sys> ============================================================== BHO ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects [yFlashDl Class] {F166BC04-3C84-44cc-A6E9-2315EC4844B9} ============================================================== 浏览器栏 ============================================================== 该项来源: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars [雅虎订阅(&Y)] <{19CE93DE-8334-42C6-B2CA-BFE3DF5196A3}> ============================================================== IE扩展按钮 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions [雅虎助手] <{5D73EE86-05F1-49ed-B850-E423120EC338}> ============================================================== IE扩展菜单 ============================================================== 该项来源: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt <添加到雅虎订阅(&Y)> ============================================================== ActiveX控件 ============================================================== 该项来源: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats [Yahoo!Photo] <{33BBE430-0E42-4F12-B075-8D21ACB10DCB}> [AntiFish Class] <{38928D50-8A48-44C2-945F-D2F23F771410}> [雅虎助手] <{406F94F0-504F-4A40-8DFD-58B0666ABEBD}> [Yahoo!Live] <{57421194-58FB-49AE-9B4F-FD48869B9AD4}> [DragSearch BHO] <{62EED7C6-9F02-42F9-B634-98E2899E147B}> [yFlashDl Class] <{F166BC04-3C84-44CC-A6E9-2315EC4844B9}> [assist] <{FE3ECAE7-0A37-4506-8A7D-3CC9A04D2CA8}> ============================================================== 其他安全区域 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved [显示摇曳 CPL 扩展] [Yahoo!Photo] [粉碎文件]