============================================================== 金山清理专家系统诊断报告 该诊断报告由金山清理专家提供 http://www.duba.net ============================================================== 诊断时间: 2008-10-17, 10:52 诊断平台: Windows XP [5.1.2600] Service Pack 2 IE版本: Internet Explorer V6.0.2180.2900 计算机物理内存: 1022(MB) 当前可用内存: 570(MB) 硬盘总大小: 149(GB) 硬盘可用空间: 138(GB) 清理专家版本: 2008.10.13.10 恶意软件库版本: 2008.08.06.1 漏洞库版本: 2008.10.15.1 ============================================================== Explorer加载项 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run [dlnajjbdfa] 文件路径: C:\WINDOWS\system\llwzjy081017.exe [分析中] 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run [nwiz] 文件路径: C:\WINDOWS\system32\alibin.exe [分析中] ============================================================== 常规启动项 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [w1017] [HBService32] [ArpSafe] ============================================================== 延迟加载 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad [ewuygayy.dll] 文件路径: C:\WINDOWS\system32\ewuygayy.dll [未知] [ottwccce.dll] 文件路径: C:\WINDOWS\system32\xrjuxffk.dll [未知] [xrjuxffk.dll] 文件路径: C:\WINDOWS\system32\xrjuxffk.dll [未知] [elgebyif.dll] 文件路径: C:\WINDOWS\system32\elgebyif.dll [未知] [ojwcwalu.dll] 文件路径: C:\WINDOWS\system32\ojwcwalu.dll [未知] [uvtvhcwp.dll] 文件路径: C:\WINDOWS\system32\uvtvhcwp.dll [未知] [pxieqlqk.dll] 文件路径: C:\WINDOWS\system32\pxieqlqk.dll [未知] ============================================================== 执行挂钩 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{71A78CD4-E470-4a18-8457-E0E0283DD507}> 文件路径: C:\WINDOWS\system32\ewuygayy.dll [未知] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{F0930A2F-D971-4828-8209-B7DFD266ED44}> 文件路径: C:\WINDOWS\system32\xrjuxffk.dll [未知] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}> 文件路径: C:\WINDOWS\system32\elgebyif.dll [未知] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{4BD36A11-8E6A-47bd-A49E-740D8ACF73A0}> 文件路径: C:\WINDOWS\system32\ojwcwalu.dll [未知] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{AF976DCD-754F-4ac2-BE49-951DC7AA57D2}> 文件路径: C:\WINDOWS\system32\uvtvhcwp.dll [未知] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{432BDC7C-DE5B-43f4-AA81-E7F8AFB0182D}> 文件路径: C:\WINDOWS\system32\pxieqlqk.dll [未知] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}> <122B901E.dll> 文件路径: C:\WINDOWS\system32\122B901E.dll [分析中] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{3D144530-43DA-47CC-B7C7-A3A9F3B9A6B2}> <3D144530.dll> 文件路径: C:\WINDOWS\system32\3D144530.dll [分析中] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{C56BCC10-503E-43AB-B208-3CD37FCFCE40}> 文件路径: C:\WINDOWS\system32\C56BCC10.dll [分析中] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{58FF3024-8A83-4B1A-88E9-302F47646EEE}> <58FF3024.dll> -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}> -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{C250CF20-5F89-4310-9854-4BC261FB14FB}> ============================================================== 启动文件夹位置 ============================================================== Common Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动 Startup: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 Common Startup: %ALLUSERSPROFILE%\「开始」菜单\程序\启动 ============================================================== Autorun.inf ============================================================== 该项来源: C:\Autorun.inf [Open] 该项来源: G:\Autorun.inf [Open] ============================================================== 系统服务 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services [DcomLaunch] [已启用] <%SystemRoot%\system32\rpcss.dll> 文件路径: C:\WINDOWS\system32\rpcss.dll [分析中] [HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll> [RpcSs] [已启用] 文件路径: c:\windows\system32\rpcss.dll [分析中] [srservice] [已禁用] ============================================================== 驱动程序 ============================================================== 该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 [vidc.I420] [已启用] [VIDC.FFDS] [已启用] [msacm.avis] [已启用] -------------------------------------------------------------- 该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services [4901228] [已启用] <\??\C:\WINDOWS\system32\4901228.sys> 文件路径: C:\WINDOWS\system32\4901228.sys [分析中] [aliimz] [已启用] 文件路径: C:\WINDOWS\system32\Drivers\aliimz [病毒程序] [HBKernel32] [已启用] 文件路径: C:\WINDOWS\system32\DRIVERS\HBKernel32.sys [文件无法访问] [presafe] [已启用] <\??\C:\WINDOWS\system32\drivers\presafe.sys> [rspp] [已禁用] <\??\C:\WINDOWS\system32\Drivers\Rspp.sys> [sr] [已禁用] <\SystemRoot\system32\DRIVERS\sr.sys> [~Fuck59] [已启用] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Fuck59.tmp>