卡巴的一些钩子，用于主动防御

http://file.ikaka.com/Main/index.shtml

6楼的貌似比较准确
我没看浏览器加载项，但是该删除的文件都差不多了（注册表和浏览器加载项可以交给Windows 清理助手）
C:\WINDOWS\services.exe
C:\WINDOWS\system32\SysDaJcHv.dll
C:\WINDOWS\system32\msosping00.dll
C:\WINDOWS\system32\msosptfs00.dll
C:\WINDOWS\system32\msosmnsf00.dll
C:\WINDOWS\system32\msoscqet00.dll
C:\WINDOWS\system32\msosfasq00.dll
C:\WINDOWS\system32\msosjtfo00.dll
C:\WINDOWS\system32\wipicdec.dll
C:\WINDOWS\MayaBaby\MayaBabyMain.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\Apaidi.sys
C:\WINDOWS\system32\drivers\msfljw.sys
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\drivers\mslxvh.sys
C:\WINDOWS\system32\drivers\msomxh.sys
C:\WINDOWS\system32\drivers\nskhbn.sys
C:\WINDOWS\system32\drivers\nsqslc.sys
C:\WINDOWS\system32\drivers\osddtj.sys
C:\WINDOWS\system32\drivers\osurwo.sys
C:\WINDOWS\system32\drivers\parox.sys
C:\WINDOWS\system32\drivers\qxdcn.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\MayaBaby\MayaBabyDll.dat

<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
这里很可疑，因为老师的讲义里说到AppInit_DLLs的键值默认应该为空的！只有少数像卡卡会修改键值为ieprot.dll或kmon.dll！
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这里加载了SystemRoot%\System32\hidserv.dll很可疑！
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.CHM  Error. ["hh.exe" %1]
这里也很可疑！
再问一下，那些后面带有[File is missing]的，前面那些还有没有作用的？
例如这里：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [File is missing]

System Repair Engineer 2.7.12.1018
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描


启动项目
注册表



    <soundman><C:\WINDOWS\services.exe>  [File is missing]

    <load><>  [N/A]

   
 

    <racer><C:\Program Files\racer-ccn-racerpc-sd\racer.exe>  [Putian Runway]

 



    <AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]






    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]

   

    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [File is missing]

 
   
    <SCRNSAVE.EXE><C:\WINDOWS\system32\Coopen.scr>  [File is missing]

==================================
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>

==================================
服务




  <"C:\Program Files\Windows Live\installer\WLSetupSvc.exe"><(File is missing)>

==================================
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>



  <system32\DRIVERS\Chip_usb.sys><>


 


  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>

==================================
浏览器加载项






[]
  {05C1004E-2596-48E5-8E26-39362985EEB9} <, >

[]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >

[]
  {18226BF8-DC0B-4D81-80E9-A41AE37BB73A} <, >
[]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <, >
 
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <, >

[]
  {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} <, >

[]
  {D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A} <, >



[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
[&使用BitComet下载]
  <res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm, N/A>
[&使用BitComet下载全部链接]
  <res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm, N/A>
[&使用BitComet下载本页视频]
  <res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm, N/A>

[使用迅雷下载全部链接]
  <C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>

==================================

    [C:\WINDOWS\system32\winlib .dll]  [N/A, ]
 
    [C:\WINDOWS\MayaBaby\MayaBabyDll.dat]  [N/A, ]
   
    [C:\Program Files\racer-ccn-racerpc-sd\plugins\NPSWF32.dll]  [, ]
   
[PID: 3036 / Administrator][C:\Program Files\WinRAR\WinRAR.exe]  [N/A, ]
   

进程特权扫描
 
特殊特权被允许： SeLoadDriverPrivilege [PID = 512, C:\PROGRAM FILES\RACER-CCN-RACERPC-SD\RACER.EXE]
 


==================================

服务
[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>
这个基本网络服务没有微软签名  可疑！

1.<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
这里面不该有值。应该清空
2.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <soundman><C:\WINDOWS\services.exe>  [File is missing]
这个应该是声卡驱动吧？soundman，missing的话是不是就不能用了？重装声卡驱动？修复？
3.[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>
网络服务VS玛雅？
3.[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
清除绑定驱动程序的流氓软件acpidisk.sys，看了后有点明白了，原来acpidisk.sys释放出winlib.dll，待winlib.dll插入到WINLOGON系统进程里去后，就删除掉WINLIB.DLL，所以说搜索不到这个文件，知道了原理之后清除这个病毒就很容易了。
  1.打开PROCE EXPLORER，暂停掉WINLOGON.EXE这个进程
  2.从WINLOGON进程里卸载掉winlib.dll这个线程
  3.在设备管理器里面先停止acpidisk.sys驱动，之后卸载它，并且删除掉%systemroot%\system32\drivers路径里的acpidisk.sys文件。
  4.用工具删除掉acpidisk这个服务
  重启电脑后，WINLIB.DLL这个文件就不会再出现了。
4.[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
apaidi这个服务少文件了。
sc query apaidi
发现果然这个服务是stop状态。
“C:\WINNT\system32\drivers\apaidi.sys”
在别人机器上 copy一个就ok了
5[msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>
这个没有差到是什么东西，很可疑
6.[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>这个也不明白
7.[BitComet]
  {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} <, >
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, N/A>
[GDGetTokenInfo Class]
  {3AA9CF07-DF20-48FF-98BE-DED276E40146} <C:\WINDOWS\system32\GDREAD~1.DLL, >
[AxInputControl Class]
  {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\system32\INPUTC~1.DLL, >
Networking Technologies,LTD>
[]
  {05C1004E-2596-48E5-8E26-39362985EEB9} <, >
[]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
……
[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
[&使用BitComet下载]
  <res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm, N/A>
[&使用BitComet下载全部链接]
  <res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm, N/A>
[&使用BitComet下载本页视频]
  <res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm, N/A>
[使用迅雷下载]
  <C:\Program Files\Thunder Network\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
  <C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
浏览器加载项这里貌似看的不是很好，这些不全是有问题的，但是我也确定不了哪些是有问题的
8..CHM  Error. ["hh.exe" %1]这个是不是应该修复？
9.HOSTS 文件
N/A
这个缺少host文件吧？

[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这个是正确的

浏览器加载项
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\sebs\pbhealth.dll, Kernel Sys>
[InceSurfer Class]
  {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application

Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll, >
[GDGetTokenInfo Class]
  {3AA9CF07-DF20-48FF-98BE-DED276E40146} <C:\WINDOWS\system32\GDREAD~1.DLL, >
[InfosecCertInstall Class]
  {0EB487C8-E9AC-43A6-8C4C-083999B0622F} <C:\WINDOWS\system32\certInStall.dll, >
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\sebs\pbhealth.dll, Kernel Sys>

==================================
正在运行的进程
[PID: 832 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winlib .dll]  [N/A, ]
[PID: 1064 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\MayaBaby\MayaBabyDll.dat]  [N/A, ]
[PID: 3364 / Administrator][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 7.00.6000.16705

(vista_gdr.080618-1506)]
    [C:\WINDOWS\sebs\pbhealth.dll]  [Kernel Sys, 2, 3, 0, 2]
    [C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll]  [, 3, 6, 4, 0]
[PID: 2576 / Administrator][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 7.00.6000.16705

(vista_gdr.080618-1506)]
    [C:\WINDOWS\sebs\pbhealth.dll]  [Kernel Sys, 2, 3, 0, 2]
    [C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll]  [, 3, 6, 4, 0]
老师能解释一下这些么？

1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]

2. [acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>

3. [msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>

4. [npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>

[qxdcn / qxdcn][Running/Boot Start]
  <\SystemRoot\system32\drivers\qxdcn.sys><N/A>

[wmpobj / wmpobj][Running/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>