1   1  /  1  页   跳转

今天 system32 下出现了个 kdfmgr.exe

今天 system32 下出现了个 kdfmgr.exe

今天 system32 下出现了个  kdfmgr.exe

用的是win2k系统

从baidu 中都搜不到相关信息

请各位大侠帮忙鉴定一下是不是病毒

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
最后编辑2008-03-29 10:50:34
分享到:
gototop
 

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      16:12:39, 日期 2008-3-28
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\PROGRAM FILES\RISING\RAV\ravmond.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
d:\program files\rising\rfw\rfwproxy.exe
C:\WINNT\System32\svchost.exe
d:\program files\rising\rfw\rfwstub.exe
D:\PROGRAM FILES\RISING\RAV\RavStub.exe
d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
d:\Program Files\Rising\Rav\CCenter.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
D:\Program Files\Rising\AntiSpyware\runiep.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\WINNT\system32\internat.exe
d:\program files\rising\rfw\RfwMain.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\dllhost.exe
C:\WINNT\notepad.exe
C:\WINNT\system32\dllhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\notepad.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Rising\Rav\Rav.exe
D:\Program Files\Rising\Rav\RsAgent.exe
C:\WINNT\msagent\AgentSvr.exe
D:\安全工具\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - D:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [IMSCMIG40W] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40W\IMSCMIG.EXE /SetPreload /Log
O4 - 启动项HKLM\\Run: [runeip] "d:\Program Files\Rising\AntiSpyware\runiep.exe" /startup
O4 - 启动项HKLM\\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - 启动项HKLM\\RunOnce: [KKDelay] d:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - IE右键菜单中的新增项目: 使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: 使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - 浏览器额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - D:\Program Files\PPLive\PPLive.exe
O9 - 浏览器额外的“工具”菜单项: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - D:\Program Files\PPLive\PPLive.exe
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - “受信任的站点”中添加项: http://www.icbc.com.cn
O16 - DPF: {098A3F72-3110-4004-B954-2F9DC44934B4} (AddSHCARoot Control) - https://billing.iyoyo.com.cn/Account/AddSHCARootCert.cab
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {2375BEE5-F175-4F1C-81EC-8E4E2E72E2DD} (PhotoDraw Class) - http://imgcache.qq.com/qzone/client/photo/pages/QQPhotoDrawSetup.exe
O16 - DPF: {3C36DCBE-5CDF-4C35-9D0B-4A1882B2EB0A} (AllatPayREAtl Class) - https://tx.allatpay.com/component/AllatPayRE.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163909317156
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {A22B8FD2-4CAA-4EFB-82F7-680CD656D9B0} (NowStarter Control) - http://www.gogobox.com.tw/neo.fld/GNowStarter.cab
O16 - DPF: {A4508A45-F1C4-40F3-99B4-0CA08AC77E3B} (Kdfense8 Control) - https://member.lottetown.com/common/cabs/kdfense8.cab
O16 - DPF: {DC4207CE-C03E-4449-ACB1-032CA4137053} (Npz Control) - http://update.nprotect.net/nprotect2006/lottecom/npz.cab
O16 - DPF: {E3FA6DAA-04BF-4AEF-9612-341B2B7A25FC} (Payplus Client Control) - http://210.122.72.110/plugin/file/payplus.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (PasswordEditCtrl Class) - https://password.qq.com/download/qqedit.cab
O18 - 列举现有的协议: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ieprot.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: AVG Anti-Spyware Guard - G
gototop
 

请兄弟们帮忙看下
天天开着正版瑞星,最新病毒库
也不上一些乱七八糟的网站
应该不会中病毒吧
gototop
 

不一定能帮得了你



扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe  ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。
gototop
 

日志终于扫好了
已经作为附件发上来
请帮忙查看

谢谢!

附件附件:

下载次数:178
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-28 19:15:46
描述:

gototop
 

sreng 扫描日志 里面的:

API HOOK

入口点错误:NtCreateFile (危险等级: 高, 被下面模块所HOOK: 0x00C73A5D)
入口点错误:NtWriteFile (危险等级: 高, 被下面模块所HOOK: 0x00C73AFD)
入口点错误:ZwCreateFile (危险等级: 高, 被下面模块所HOOK: 0x00C73A5D)
入口点错误:ZwWriteFile (危险等级: 高, 被下面模块所HOOK: 0x00C73AFD)
入口点错误:CreateProcessA (危险等级: 高, 被下面模块所HOOK: 0x01241FB5)
入口点错误:CreateProcessW (危险等级: 高, 被下面模块所HOOK: 0x0124209D)

这些是什么意思?
gototop
 

日志没看出什么

入口点那是防火墙导致的,不用考虑

至于kdfmgr.exe文件,你去上报瑞星吧。
gototop
 

【回复“天月来了”的帖子】

非常感谢版主的帮助,已经上报瑞星了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT