狙剑(V2008)-系统体检记录 狙剑下载地址:http://www.ZhuLinFeng.com/ ====================================================== 操作系统:Windows 2000 版本号:5.0.2195.2 (Service Pack 4) ====================================================== SSDT-HOOK: 序号:10 函数:NtAdjustPrivilegesToken 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK 序号:16 函数:NtAllocateVirtualMemory 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK 序号:43 函数:NtCreateSection 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK 序号:58 函数:NtDuplicateObject 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK 序号:85 函数:NtLoadDriver 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK 序号:108 函数:NtOpenSection 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK 序号:208 函数:NtSetSystemInformation 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK 序号:224 函数:NtTerminateProcess 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys HOOK类型:HOOK ====================================================== FSD-HOOK: 无 ====================================================== 文件过滤系统驱动: 文件系统:\FileSystem\Ntfs 文件:C:\WINNT\system32\drivers\Ntfs.sys ====================================================== 内核Inline-HOOK: 无 ====================================================== API-HOOK: 无 ====================================================== 无微软签名进程: 进程:C:\Documents and Settings\Administrator\桌面\狙剑V2008-0429\SnipeSword.exe 进程:system ====================================================== 无微软签名模块 进程:C:\WINNT\Explorer.EXE 模块:C:\Program Files\WinRAR\rarext.dll ====================================================== 无签名自启动项(包含了IE劫持、服务、SPI等): 名称: 注册键:◆ AutoRun.inf ↓ 注册值: 类别: 名称: 注册键:F:\ 注册值:F:\AUTORUN.inf 类别:23 名称: 注册键:◆ Serivce And Drivers ↓ 注册值: 类别: 名称:Changer 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\Changer.sys 类别:21 名称:HDAudBus 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:system32\DRIVERS\HDAudBus.sys 类别:21 名称:lbrtfdc 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\lbrtfdc.sys 类别:21 名称:LicenseInfo 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\LicenseInfo.sys 类别:21 名称:PCIDump 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\PCIDump.sys 类别:21 名称:PDCOMP 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\PDCOMP.sys 类别:21 名称:PDFRAME 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\PDFRAME.sys 类别:21 名称:PDRELI 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\PDRELI.sys 类别:21 名称:PDRFRAME 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\PDRFRAME.sys 类别:21 名称:SchedulingAgent 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\SchedulingAgent.sys 类别:21 名称:sglfb 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\sglfb.sys 类别:21 名称:tga 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\tga.sys 类别:21 名称:WDICA 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\WDICA.sys 类别:21 名称:Winsock 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\System32\Drivers\Winsock.sys 类别:21 名称:zlowieiu 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册值:C:\WINNT\system32\iesxic.dll 类别:11 名称: 注册键:◆ WinLogon ↓ 注册值: 类别: 名称:SCRNSAVE.EXE 注册键:HKEY_CURRENT_USER\Control Panel\Desktop 注册值:(无) 类别:3 名称: 注册键:◆ Explorer ↓ 注册值: 类别: 名称:{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} 注册键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components 注册值:%SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl 类别:1 名称: 注册键:◆ Explorer ShellEx ↓ 注册值: 类别: 名称:WinRAR 注册键:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers 注册值:C:\Program Files\WinRAR\rarext.dll 类别:9 名称:WinRAR 注册键:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers 注册值:C:\Program Files\WinRAR\rarext.dll 类别:9 名称:{BDEADF00-C265-11d0-BCED-00A0C90AB50F} 注册键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved 注册值:C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL 类别:4 名称:{42071714-76d4-11d1-8b24-00a0c9068ff3} 注册键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved 注册值:deskpan.dll 类别:7 名称:{B41DB860-8EE4-11D2-9906-E49FADC173CA} 注册键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved 注册值:C:\Program Files\WinRAR\rarext.dll 类别:7 名称: 注册键:◆ LSA Providers ↓ 注册值: 类别: 名称:Notification Packages 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 注册值:cecli 类别:3 名称:Notification Packages 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 注册值:DCSVC 类别:3 名称:Notification Packages 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 注册值:ASSFM 类别:3 名称:Security Packages 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 注册值:channel 类别:3 名称:Security Packages 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 注册值:sv1_0 类别:3 名称: 注册键:◆ ImageFile Hijacks ↓ 注册值: 类别: 名称:{989D1DC0-B162-11d1-B6EC-D27DDCF9A923} 注册键:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XML\CLSID 注册值:%SystemRoot%\system32\msxml3.dll 类别:16 名称:WinRAR 注册键:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers 注册值:C:\Program Files\WinRAR\rarext.dll 类别:9 名称: 注册键:◆ Session Manager ↓ 注册值: 类别: 名称:BootExecute 注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 注册值:fsInit 类别:3 名称: 注册键:◆ Other ↓ 注册值: 类别: ====================================================== 无签名内核模块: 模块基址:EC061000 模块:\??\c:\documents and settings\administrator\桌面\狙剑v2008-0429\SnipeSword.sys 模块基址:ECCD7000 模块:\SystemRoot\System32\Drivers\dump_atapi.sys 模块基址:EB9E4000 模块:\SystemRoot\System32\Drivers\dump_WMILIB.SYS 模块基址:F7002000 模块:\SystemRoot\system32\DRIVERS\HDAudBus.sys ====================================================== 硬件设备及其支持文件列表: 设备:Intel(R) 82945G Express Chipset Family 支持文件:oem1.inf 支持文件:igxpmp32.sys 支持文件:igxpco32.dll 支持文件:igxprd32.dll 支持文件:igxpgd32.dll 支持文件:igxpdv32.dll 支持文件:igxpdx32.dll 支持文件:iglicd32.dll 支持文件:igldev32.dll 支持文件:ig4icd32.dll 支持文件:ig4dev32.dll 支持文件:igxpxk32.vp 支持文件:igxpxs32.vp 支持文件:igfxress.dll 支持文件:igfxrenu.lrc 支持文件:igfxrara.lrc 支持文件:igfxrchs.lrc 支持文件:igfxrcht.lrc 支持文件:igfxrdan.lrc 支持文件:igfxrdeu.lrc 支持文件:igfxresp.lrc 支持文件:igfxrfin.lrc 支持文件:igfxrfra.lrc 支持文件:igfxrheb.lrc 支持文件:igfxrita.lrc 支持文件:igfxrjpn.lrc 支持文件:igfxrkor.lrc 支持文件:igfxrnld.lrc 支持文件:igfxrnor.lrc 支持文件:igfxrplk.lrc 支持文件:igfxrptb.lrc 支持文件:igfxrptg.lrc 支持文件:igfxrrus.lrc 支持文件:igfxrsky.lrc 支持文件:igfxrslv.lrc 支持文件:igfxrsve.lrc 支持文件:igfxrtha.lrc 支持文件:igfxrcsy.lrc 支持文件:igfxrell.lrc 支持文件:igfxrhun.lrc 支持文件:igfxrtrk.lrc 支持文件:hccutils.dll 支持文件:igfxsrvc.dll 支持文件:igfxsrvc.exe 支持文件:igfxpph.dll 支持文件:igfxcpl.cpl 支持文件:igfxcfg.exe 支持文件:igfxdgps.dll 支持文件:igfxdev.dll 支持文件:igfxdo.dll 支持文件:igfxtray.exe 支持文件:igfxzoom.exe 支持文件:hkcmd.exe 支持文件:oemdspif.dll 支持文件:igfxext.exe 支持文件:igfxexps.dll 支持文件:igfxpers.exe 支持文件:igklg400.dll 支持文件:igklg450.dll 支持文件:igmedcompkrn.dll 设备:Realtek PCIe GBE Family Controller 支持文件:oem0.inf 支持文件:Rtenic.sys 支持文件:Rtenicxp.sys 支持文件:Rtenic64.sys 支持文件:RTNicProp32.dll 支持文件:RTNicProp64.dll 设备:Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 支持文件:oem2.inf 支持文件:hdaudbus.sys ====================================================== 当前已安装软件列表: Microsoft Internet Explorer 6 SP1 WinRAR 压缩文件管理器 WebFldrs ====================================================== Host文件: 127.0.0.1 localhost ====================================================== 系统体检全部完成 2010-04-28-14:32:50