超级巡警(Anti-Spyware Toolkit)诊断报告: 诊断日期:2008-11-07,07:38:45 系统信息:Windows XP Professional Service Pack 2 物理内存: 447 MB, 可用物理内存 205 MB, 虚拟内存 1871 MB 诊断项目: 运行中的进程 系统服务 端口关联 SSDT 注册表启动项 IE插件 WinSock Lsp 系统漏洞 文件关联 特权进程 hosts文件信息 Autorun.inf文件 =============================================================================== 运行中的进程 安全 - smss.exe - C:\WINDOWS\System32\smss.exe - Windows NT Session Manager 安全 - csrss.exe - C:\WINDOWS\system32\csrss.exe - Client Server Runtime Process 安全 - winlogon.exe - C:\WINDOWS\system32\winlogon.exe - Windows NT Logon Application 安全 - SERVICES.EXE - C:\WINDOWS\system32\services.exe - Services and Controller app 安全 - LSASS.EXE - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version) 安全 - SVCHOST.EXE - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 安全 - SVCHOST.EXE - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 安全 - SVCHOST.EXE - C:\WINDOWS\System32\svchost.exe - Generic Host Process for Win32 Services 安全 - SVCHOST.EXE - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 安全 - SVCHOST.EXE - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 安全 - Explorer.EXE - C:\WINDOWS\Explorer.EXE - Windows Explorer 安全 - spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App 未知 - 360Tray.exe - C:\Program Files\360safe\safemon\360Tray.exe - 360安全卫士实时保护模块 安全 - bufmonitor.exe - C:\WINDOWS\system32\lenovo\bufmonitor.exe - 动态缓冲区监视程序 安全 - ast.exe - C:\Program Files\ast\ast.exe - Anti Spyware Toolkit 安全 - SecNotifier.exe - C:\Program Files\Sucop\SecPlugin\SecNotifier.exe - SecPlugin Notifier 安全 - ctfmon.exe - C:\WINDOWS\system32\ctfmon.exe - CTF Loader 未知 - student.exe - C:\Program Files\速龙多媒体网络教室V7(学生机)\student.exe - slstudent 安全 - MDM.EXE - C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE - Machine Debug Manager 安全 - alg.exe - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service 安全 - wuauclt.exe - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates =============================================================================== 进程名称: [System Process] 分析: 未知 对应文件: N/A 命令行: N/A 文件描述: N/A 模块列表: 模块名称: safemon.dll 对应文件: C:\Program Files\360safe\safemon\safemon.dll 文件描述: 360安全卫士实时保护模块 出品公司: -------------------------------------------------------------------- 进程名称: System 分析: 未知 对应文件: 命令行: N/A 文件描述: N/A 模块列表: -------------------------------------------------------------------- 进程名称: smss.exe 分析: 安全 对应文件: C:\WINDOWS\System32\smss.exe 命令行: N/A 文件描述: Windows NT Session Manager 模块列表: -------------------------------------------------------------------- 进程名称: csrss.exe 分析: 安全 对应文件: C:\WINDOWS\system32\csrss.exe 命令行: C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 文件描述: Client Server Runtime Process 模块列表: -------------------------------------------------------------------- 进程名称: winlogon.exe 分析: 安全 对应文件: C:\WINDOWS\system32\winlogon.exe 命令行: winlogon.exe 文件描述: Windows NT Logon Application 模块列表: -------------------------------------------------------------------- 进程名称: SERVICES.EXE 分析: 安全 对应文件: C:\WINDOWS\system32\services.exe 命令行: C:\WINDOWS\system32\services.exe 文件描述: Services and Controller app 模块列表: -------------------------------------------------------------------- 进程名称: LSASS.EXE 分析: 安全 对应文件: C:\WINDOWS\system32\lsass.exe 命令行: C:\WINDOWS\system32\lsass.exe 文件描述: LSA Shell (Export Version) 模块列表: -------------------------------------------------------------------- 进程名称: SVCHOST.EXE 分析: 安全 对应文件: C:\WINDOWS\system32\svchost.exe 命令行: C:\WINDOWS\system32\svchost -k DcomLaunch 文件描述: Generic Host Process for Win32 Services 模块列表: -------------------------------------------------------------------- 进程名称: SVCHOST.EXE 分析: 安全 对应文件: C:\WINDOWS\system32\svchost.exe 命令行: C:\WINDOWS\system32\svchost -k rpcss 文件描述: Generic Host Process for Win32 Services 模块列表: -------------------------------------------------------------------- 进程名称: SVCHOST.EXE 分析: 安全 对应文件: C:\WINDOWS\System32\svchost.exe 命令行: C:\WINDOWS\System32\svchost.exe -k netsvcs 文件描述: Generic Host Process for Win32 Services 模块列表: -------------------------------------------------------------------- 进程名称: SVCHOST.EXE 分析: 安全 对应文件: C:\WINDOWS\system32\svchost.exe 命令行: C:\WINDOWS\system32\svchost.exe -k NetworkService 文件描述: Generic Host Process for Win32 Services 模块列表: -------------------------------------------------------------------- 进程名称: SVCHOST.EXE 分析: 安全 对应文件: C:\WINDOWS\system32\svchost.exe 命令行: C:\WINDOWS\system32\svchost.exe -k LocalService 文件描述: Generic Host Process for Win32 Services 模块列表: -------------------------------------------------------------------- 进程名称: Explorer.EXE 分析: 安全 对应文件: C:\WINDOWS\Explorer.EXE 命令行: C:\WINDOWS\Explorer.EXE 文件描述: Windows Explorer 模块列表: 模块名称: safemon.dll 对应文件: C:\Program Files\360safe\safemon\safemon.dll 文件描述: 360安全卫士实时保护模块 出品公司: 模块名称: rarext.dll 对应文件: C:\Program Files\WinRAR\rarext.dll 文件描述: 出品公司: -------------------------------------------------------------------- 进程名称: spoolsv.exe 分析: 安全 对应文件: C:\WINDOWS\system32\spoolsv.exe 命令行: C:\WINDOWS\system32\spoolsv.exe 文件描述: Spooler SubSystem App 模块列表: 模块名称: OLFMNT40.DLL 对应文件: C:\WINDOWS\system32\OLFMNT40.DLL 文件描述: Symantec Fax Starter Edition Monitor DLL 出品公司: Microsoft Corporation 模块名称: olfpnt40.dll 对应文件: C:\WINDOWS\System32\spool\PRTPROCS\W32X86\olfpnt40.dll 文件描述: Symantec Fax Starter Edition Print DLL 出品公司: Microsoft Corporation -------------------------------------------------------------------- 进程名称: 360Tray.exe 分析: 未知 对应文件: C:\Program Files\360safe\safemon\360Tray.exe 命令行: "C:\Program Files\360safe\safemon\360Tray.exe" /start 文件描述: 360安全卫士实时保护模块 模块列表: 模块名称: safemon.dll 对应文件: C:\Program Files\360safe\safemon\safemon.dll 文件描述: 360安全卫士实时保护模块 出品公司: 模块名称: SafeKrnl.dll 对应文件: C:\Program Files\360safe\safemon\SafeKrnl.dll 文件描述: 360安全卫士实时保护模块 出品公司: 奇虎网 模块名称: AntiAdwa.dll 对应文件: C:\Program Files\360safe\AntiAdwa.dll 文件描述: 360安全卫士检测模块 出品公司: 360Safe.com 模块名称: live.dll 对应文件: C:\Program Files\360safe\live.dll 文件描述: 360安全卫士 出品公司: 360safe.com -------------------------------------------------------------------- 进程名称: bufmonitor.exe 分析: 安全 对应文件: C:\WINDOWS\system32\lenovo\bufmonitor.exe 命令行: "C:\WINDOWS\system32\lenovo\bufmonitor.exe" 文件描述: 动态缓冲区监视程序 模块列表: -------------------------------------------------------------------- 进程名称: ast.exe 分析: 安全 对应文件: C:\Program Files\ast\ast.exe 命令行: "C:\Program Files\ast\ast.exe" -min 文件描述: Anti Spyware Toolkit 模块列表: 模块名称: safemon.dll 对应文件: C:\Program Files\360safe\safemon\safemon.dll 文件描述: 360安全卫士实时保护模块 出品公司: -------------------------------------------------------------------- 进程名称: SecNotifier.exe 分析: 安全 对应文件: C:\Program Files\Sucop\SecPlugin\SecNotifier.exe 命令行: "C:\Program Files\Sucop\SecPlugin\SecNotifier.exe" 文件描述: SecPlugin Notifier 模块列表: -------------------------------------------------------------------- 进程名称: ctfmon.exe 分析: 安全 对应文件: C:\WINDOWS\system32\ctfmon.exe 命令行: "C:\WINDOWS\system32\ctfmon.exe" 文件描述: CTF Loader 模块列表: 模块名称: safemon.dll 对应文件: C:\Program Files\360safe\safemon\safemon.dll 文件描述: 360安全卫士实时保护模块 出品公司: -------------------------------------------------------------------- 进程名称: student.exe 分析: 未知 对应文件: C:\Program Files\速龙多媒体网络教室V7(学生机)\student.exe 命令行: "C:\Program Files\速龙多媒体网络教室V7(学生机)\student.exe" 文件描述: slstudent 模块列表: 模块名称: safemon.dll 对应文件: C:\Program Files\360safe\safemon\safemon.dll 文件描述: 360安全卫士实时保护模块 出品公司: -------------------------------------------------------------------- 进程名称: MDM.EXE 分析: 安全 对应文件: C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 命令行: "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE" 文件描述: Machine Debug Manager 模块列表: -------------------------------------------------------------------- 进程名称: alg.exe 分析: 安全 对应文件: C:\WINDOWS\System32\alg.exe 命令行: C:\WINDOWS\System32\alg.exe 文件描述: Application Layer Gateway Service 模块列表: -------------------------------------------------------------------- 进程名称: wuauclt.exe 分析: 安全 对应文件: C:\WINDOWS\system32\wuauclt.exe 命令行: "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[424]SUSDS3e0d03d54c22ed469589f48a3e1abc45 文件描述: Windows Update Automatic Updates 模块列表: -------------------------------------------------------------------- 系统服务 =============================================================================== 端口关联 =============================================================================== SSDT =============================================================================== 注册表启动项 名称: 360Safetray 路径: C:\Program Files\360safe\safemon\360Tray.exe /start 出品公司: 奇虎网 文件描述: 360安全卫士实时保护模块 注册表路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 名称: 多媒体网络教室(学生机)V 路径: C:\Program Files\速龙多媒体网络教室V7(学生机)\StuAutoRun.exe 出品公司: 文件描述: StuAutoRun Microsoft 基础类应用程序 注册表路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 名称: Scrnsave.exe 路径: C:\WINDOWS\system32\梦幻水~1.SCR 出品公司: 文件描述: 注册表路径: HKEY_CURRENT_USER\Control Panel\Desktop =============================================================================== IE插件 名称: NavigatMon Class 分析: 未知 映像文件路径: C:\Program Files\360safe\safemon\safemon.dll 插件类型: 浏览器帮助项(BHO) 出品公司: 文件描述: 360安全卫士实时保护模块 名称: 使用迅雷下载 分析: 未知 映像文件路径: C:\Program Files\Thunder\Program\geturl.htm 插件类型: IE右键菜单项 出品公司: 文件描述: 名称: 使用迅雷下载全部链接 分析: 未知 映像文件路径: C:\Program Files\Thunder\Program\getallurl.htm 插件类型: IE右键菜单项 出品公司: 文件描述: 名称: 导出到 Microsoft Office Excel(&X) 分析: 未知 映像文件路径: res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 插件类型: IE右键菜单项 出品公司: 文件描述: 名称: 添加到QQ表情 分析: 未知 映像文件路径: d:\Program Files\QQ2007\AddEmotion.htm 插件类型: IE右键菜单项 出品公司: 文件描述: =============================================================================== WinSock Lsp =============================================================================== 系统漏洞 安全公告: MS07-058 补丁名称: KB933729 漏洞名称: RPC 中的漏洞可能允许拒绝服务 发布时间: 2007-10-9 安全公告: MS07-061 补丁名称: KB943460 漏洞名称: Windows URI 处理中的漏洞可能允许远程执行代码 发布时间: 2007-11-13 安全公告: MS07-065 补丁名称: KB937894 漏洞名称: 消息队列中的漏洞可能允许远程执行代码 发布时间: 2007-12-11 安全公告: MS07-067 补丁名称: KB944653 漏洞名称: Macrovision 驱动程序中的漏洞可能允许本地特权提升 发布时间: 2007-12-11 安全公告: MS07-068 补丁名称: KB941569 漏洞名称: Windows Media File Format 中的漏洞可能允许远程执行代码 发布时间: 2007-12-11 安全公告: MS08-002 补丁名称: KB943485 漏洞名称: LSASS 中的漏洞可能允许本地特权提升 发布时间: 2008-1-8 安全公告: 补丁名称: KB934428 漏洞名称: Windows XP 更新程序 (KB934428) 发布时间: 2008-1-21 安全公告: 补丁名称: KB946501 漏洞名称: Windows XP 更新程序 发布时间: 2008-2-11 安全公告: MS08-007 补丁名称: KB946026 漏洞名称: mrxdav.sys驱动程序可能允许远程控制 发布时间: 2008-2-11 安全公告: MS08-008 补丁名称: KB943055 漏洞名称: OLE 自动化中的漏洞可能允许远程执行代码 发布时间: 2008-2-11 安全公告: 补丁名称: KB940275 漏洞名称: Windows XP 更新程序 发布时间: 2008-3-24 安全公告: MS08-021 补丁名称: KB948590 漏洞名称: GDI 中的漏洞可能允许远程执行代码 发布时间: 2008-4-8 安全公告: MS08-022 补丁名称: KB944338 漏洞名称: VBScript 和 JScript 脚本引擎中的漏洞可能允许远程执行代码 发布时间: 2008-4-8 安全公告: MS08-020 补丁名称: KB945553 漏洞名称: DNS 客户端中的漏洞可能允许欺骗 发布时间: 2008-4-8 安全公告: MS08-025 补丁名称: KB941693 漏洞名称: Windows 内核中的漏洞可能允许特权提升 发布时间: 2008-4-8 安全公告: MS08-028 补丁名称: KB950749 漏洞名称: Microsoft Jet 数据库引擎中的漏洞可能允许远程执行代码 发布时间: 2008-5-12 安全公告: 补丁名称: KB952287 漏洞名称: Windows 更新程序 发布时间: 2008-5-12 安全公告: MS08-033 补丁名称: KB951698 漏洞名称: DirectX 中的漏洞可能允许远程执行代码 发布时间: 2008-6-10 安全公告: MS08-036 补丁名称: KB950762 漏洞名称: 实际通用多播 (PGM) 中的漏洞可能允许拒绝服务 发布时间: 2008-6-10 安全公告: MS08-032 补丁名称: KB950760 漏洞名称: ActiveX Kill Bits 的累积性安全更新 发布时间: 2008-6-10 安全公告: MS08-030 补丁名称: KB951376 漏洞名称: Microsoft XP 安全更新程序 发布时间: 2008-6-19 安全公告: MS08-037 补丁名称: KB951748 漏洞名称: DNS 中的漏洞可允许欺骗 发布时间: 2008-7-7 安全公告: MS08-046 补丁名称: KB952954 漏洞名称: Microsoft Windows 图像颜色管理系统中的漏洞可能允许远程执行代码 发布时间: 2008-8-12 安全公告: MS08-045 补丁名称: KB953838 漏洞名称: Internet Explorer 的累积性安全更新 发布时间: 2008-8-12 安全公告: MS08-049 补丁名称: KB950974 漏洞名称: 事件系统中的漏洞可能允许远程执行代码 发布时间: 2008-8-12 安全公告: MS08-048 补丁名称: KB951066 漏洞名称: Outlook Express 和 Windows Mail 的安全更新 发布时间: 2008-8-12 安全公告: 补丁名称: KB953839 漏洞名称: Windows XP 的 ActiveX Killbit 安全更新程序 发布时间: 2008-8-12 安全公告: 补丁名称: KB951072 漏洞名称: Windows 更新程序 发布时间: 2008-8-19 安全公告: MS08-054 补丁名称: KB954154 漏洞名称: Windows Media Player 中的漏洞可能允许远程执行代码 发布时间: 2008-9-9 安全公告: MS08-052 补丁名称: KB938464 漏洞名称: GDI+ 中的漏洞可能允许远程执行代码 发布时间: 2008-9-9 安全公告: MS08-044 补丁名称: KB921598 漏洞名称: Microsoft Office 筛选器中的漏洞可能允许远程执行代码 发布时间: 2008-8-12 安全公告: MS08-042 补丁名称: KB954464 漏洞名称: Microsoft Word 中的漏洞可能允许远程执行代码 发布时间: 2008-8-12 安全公告: MS08-043 补丁名称: KB951548 漏洞名称: Microsoft Excel 中的漏洞可能允许远程执行代码 发布时间: 2008-8-12 安全公告: MS08-051 补丁名称: KB948988 漏洞名称: Microsoft PowerPoint 中的漏洞可能允许远程执行代码 发布时间: 2008-8-12 安全公告: MS08-055 补丁名称: KB953404 漏洞名称: Microsoft Office 中的漏洞可能允许远程执行代码 发布时间: 2008-9-9 安全公告: MS08-052 补丁名称: KB954478 漏洞名称: Microsoft Office System 2003 中存在一个安全漏洞,当您打开经过恶意修改的文件时,该漏洞可能允许任意代码运行。此更新可以消除该漏洞。 发布时间: 2008-9-9 =============================================================================== 文件关联 EXE: ["%1" %*] COM: ["%1" %*] PIF: ["%1" %*] SCR: ["%1" /S] BAT: ["%1" %*] REG: [regedit.exe "%1"] TXT: [C:\WINDOWS\notepad.exe %1] CHM: ["hh.exe" %1] HLP: [%SystemRoot%\System32\winhlp32.exe %1] INI: [C:\WINDOWS\System32\NOTEPAD.EXE %1] INF: [%SystemRoot%\System32\NOTEPAD.EXE %1] VBS: [%SystemRoot%\System32\WScript.exe "%1" %*] J S: [%SystemRoot%\System32\WScript.exe "%1" %*] LNK: [{00021401-0000-0000-C000-000000000046}] =============================================================================== 特权进程 特殊进程特权: SeDebugPrivilege 被开启 [ PID = 1692 -->C:\Program Files\360safe\safemon\360Tray.exe] 特殊进程特权: SeLoadDriverPrivilege 被开启 [ PID = 1852 -->C:\Program Files\速龙多媒体网络教室V7(学生机)\student.exe] 特殊进程特权: SeDebugPrivilege 被开启 [ PID = 2024 -->C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE] 特殊进程特权: SeDebugPrivilege 被开启 [ PID = 2096 -->C:\WINDOWS\system32\wuauclt.exe] 特殊进程特权: SeLoadDriverPrivilege 被开启 [ PID = 2096 -->C:\WINDOWS\system32\wuauclt.exe] =============================================================================== hosts文件信息 127.0.0.1 localhost =============================================================================== Autorun.inf文件 =============================================================================== 超级巡警:彻底查杀各种木马,全面保护系统安全。 更多免费工具下载:http://www.dswlab.com 专业的桌面与内容安全产品:http://www.unnoo.com