瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】请问带红色的2个注册表默认值应该怎么写?

123   2  /  3  页   跳转

【求助】请问带红色的2个注册表默认值应该怎么写?

收藏
minminsindy
头像
拙长孩提狮
  • 帖子:85
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-08-03 18:10 | 只看楼主 短消息 资料
字号: 11楼

==================================
正在运行的进程
[PID: 340][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 392][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 416][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 460][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 472][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 620][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 680][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 720][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 772][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 812][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 980][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
[PID: 1188][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\downlo~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 3, 1>
    [C:\WINDOWS\Downloaded Program Files\swflash.dll]  <N/A><N/A>
    [D:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll]  <Adobe Systems, Inc.><7.0.0.0>
    [C:\WINDOWS\system32\nvcpl.dll]  <NVIDIA Corporation><6.14.10.7184>
    [C:\WINDOWS\system32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.7184>
    [C:\WINDOWS\system32\igfxpph.dll]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\hccutils.DLL]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\igfxres.dll]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\igfxsrvc.dll]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\igfxdev.dll]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\nvshell.dll]  <NVIDIA Corporation><6.14.10.10035>
    [C:\WINDOWS\downlo~1\CnsHook.dll]  <北京三七二一科技有限公司><1, 0, 2, 4>
    [C:\WINDOWS\system32\RavExt.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 21>
    [C:\WINDOWS\system32\VPCNetS2.dll]  <Connectix Corporation><2.3.1(Build 20)>
[PID: 1276][C:\WINDOWS\system32\Rundll32.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\downlo~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 3, 1>
[PID: 1308][C:\WINDOWS\system32\hkcmd.exe]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\hccutils.DLL]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\downlo~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 3, 1>
    [C:\WINDOWS\system32\igfxdev.dll]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\igfxsrvc.dll]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\igfxhk.dll]  <Intel Corporation><3.0.0.2350>
    [C:\WINDOWS\system32\igfxres.dll]  <Intel Corporation><3.0.0.2350>
[PID: 1324][C:\WINDOWS\SOUNDMAN.EXE]  <Realtek Semiconductor Corp.><5.1.0.36>
    [C:\WINDOWS\downlo~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 3, 1>
[PID: 1348][C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe]  <N/A><N/A>
    [C:\WINDOWS\downlo~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 3, 1>
[PID: 1692][C:\WINDOWS\system32\wdfmgr.exe]  <Microsoft Corporation><5.2.3790.1230 built by: DNSRV(bld4act)>
[PID: 1708][C:\WINDOWS\system32\VKTServ.exe]  <Microsoft Corporation><1.1.2600.2180>
[PID: 308][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 780][C:\WINDOWS\system32\wuauclt.exe]  <Microsoft Corporation><5.4.3790.2182 built by: srv03_rtm(ntvbl04)>
[PID: 1208][D:\My Documents\sreng2\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>
    [C:\WINDOWS\downlo~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 3, 1>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================
请问还有病毒吗??麻烦您了
gototop
 
minminsindy
头像
拙长孩提狮
  • 帖子:85
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-08-03 18:45 | 只看楼主 短消息 资料
字号: 12楼

引用:
【baohe的贴子】
1、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs的数据项一般为空。但安装某些安全软件后,AppInit_DLLs的数据项不再为空。
例如:我装Tiny后,此项成为:"AppInit_DLLs"="UmxSbxExw.dll,"

2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"UIHost"的正常值为logonui.exe

3、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"CheckFaultKernel"="C:\windows\system32\mswdm.exe"——这是个木马的启动项(Trojan.PSW.QQGame.l)
………………

已将其3项输入正确值,使用瑞星杀过毒了,没有发现病毒。
但还是有很多不明进程,瑞星监控中心也开不了。
上面是我新的日志,可以帮我看看吗?谢谢
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-08-03 23:04 | 短消息 资料
字号: 13楼

嗯,干净很多了...
病毒清掉了
浏览器还有些问题,请扫一份HJ日志上来,谢谢...
瑞星监控的问题,你试试修复一下瑞星
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-03 23:14 | 短消息 资料
字号: 14楼

http://www.pctutu.com/srmsdown.asp
下载超级兔子..用超级兔子清理王卸载流氓软件...(安全模式...)


开始-所有程序-瑞星杀毒软件-添加删除组件-修复
gototop
 
minminsindy
头像
拙长孩提狮
  • 帖子:85
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-08-03 23:43 | 只看楼主 短消息 资料
字号: 15楼

引用:
【westbeck的贴子】嗯,干净很多了...
病毒清掉了
浏览器还有些问题,请扫一份HJ日志上来,谢谢...
瑞星监控的问题,你试试修复一下瑞星
………………

1、HJ日志在18楼,麻烦了。
2、即使已经修复过瑞星,情况还是一样(可以在正常模式下运行瑞星杀毒软件,但监控伞还是红色,完全不能转为绿色)请问是为什么呢?
(瑞星防火墙由于是完全卸载了再重新安装,所以一切正常。)
3、下图的进程还有很多,提交更改要147M,好象有些不正常?
4、正如你所说无法上网,我按照你最初给我的方法---“修复后如果无法上网,请运行WinsockXPFix,让它修复一下...”。后来能够上网了,但又有了新状况出现(见下一楼),请问应该如何解决?

附件附件:

下载次数:275
文件类型:application/octet-stream
文件大小:
上传时间:2006-8-3 23:43:23
描述:
gototop
 
minminsindy
头像
拙长孩提狮
  • 帖子:85
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-08-03 23:51 | 只看楼主 短消息 资料
字号: 16楼

如下图“连接2”无法断开,而且它在开机后就自动运行了
(注:但用其他连接上网没有受到影响)

附件附件:

下载次数:188
文件类型:application/octet-stream
文件大小:
上传时间:2006-8-3 23:51:29
描述:
gototop
 
minminsindy
头像
拙长孩提狮
  • 帖子:85
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-08-04 00:02 | 只看楼主 短消息 资料
字号: 17楼

引用:
【mopery的贴子】http://www.pctutu.com/srmsdown.asp
下载超级兔子..用超级兔子清理王卸载流氓软件...(安全模式...)


开始-所有程序-瑞星杀毒软件-添加删除组件-修复

………………

以上方法在扫“新日志”上来之前已试过,还是有点问题。
请问是为什么呢?
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-04 00:05 | 短消息 资料
字号: 18楼

还有什么问题?
gototop
 
minminsindy
头像
拙长孩提狮
  • 帖子:85
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-08-04 00:12 | 只看楼主 短消息 资料
字号: 19楼

HijackThis_815汉化版扫描日志 V1.99.1
保存于      0:01:53, 日期 2006-8-4
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\VKTServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\rundll32.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
d:\My Documents\Hijackthis1991zww\HijackThis1991zww.exe

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll (file missing)
O4 - 启动项HKLM\\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [NeroFilterCheck] ; C:\WINDOWS\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [NvMediaCenter] ; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [nwiz] ; nwiz.exe /install
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PPHIDPAD] ; D:\Program Files\小蒙恬\Win32\pphidpad.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] ; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [TkBellExe] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [eMuleAutoStart] ; E:\Program Files\eMule\eMule.exe -AutoStart
O4 - HKCU\..\Run: [Kugoo] ; D:\PROGRA~1\KUGOO2\KUGOO.EXE
O4 - HKCU\..\Run: [KuGoo3] ; "D:\PROGRA~1\KUGOO2\KuGoo.exe"
O4 - HKCU\..\Run: [MSMSGS] ; "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\qq\QQ.EXE
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS]  网络实名
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113049772187
O17 - HKLM\System\CCS\Services\Tcpip\..\{8510714F-CA5B-4E2B-AF45-5A733A743898}: NameServer = 202.96.128.166 202.96.128.86
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: DVDBurn - {790448C3-4239-45AF-C98B-367991A8B103} - C:\WINDOWS\Downloaded Program Files\AfxEdit.dll
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe
gototop
 
minminsindy
头像
拙长孩提狮
  • 帖子:85
  • 注册: 2006-08-02
  • 来自:
发表于: 2006-08-04 00:14 | 只看楼主 短消息 资料
字号: 20楼

引用:
【mopery的贴子】还有什么问题?
………………

在14楼的问题还有许多搞不清,请帮帮忙~~谢谢!!
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT