单位电脑扫的log~【讨论】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛单位电脑扫的log~【讨论】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

单位电脑扫的log~【讨论】

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-03 18:33 \| 只看楼主短消息资料字号：小中大 1楼单位电脑扫的log~【讨论】安全模式下扫的LOG 2006-10-02,23:42:11 System Repair Engineer 2.2.6.605 Smallfrogs (http://www.KZTechs.com) Windows 2000 Professional (Build 2195) - 管理权限用户 - 完整功能以下内容被选中：所有的启动项目（包括注册表、启动文件夹、服务等）浏览器加载项正在运行的进程（包括进程模块信息）文件关联 Winsock 提供者 Autorun.inf HOSTS 文件启动项目注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <Internat.exe><internat.exe> [Microsoft Corporation] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <rx><C:\WINNT\System32\explore.exe> [N/A] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><C:\WINNT\rundl132.exe> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Synchronization Manager><mobsync.exe /logon> [Microsoft Corporation] <SoundMan><SOUNDMAN.EXE> [Realtek Semiconductor Corp.] <NvCplDaemon><RUNDLL32.EXE NvQTwk,NvCplDaemon initialize> [N/A] <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.] <Tray><; C:\WINNT\command\rundll32.exe> [N/A] <CdnCtr><C:\Program Files\CNNIC\Cdn\cdnup.exe> [N/A] <Application Layer Gateway Service><C:\WINNT\System32\algs.exe> [N/A] <Client Server Runtime Process><C:\WINNT\System32\csrs.exe> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] <My Program><> [N/A] <My Program1><C:\Program Files\Digital Video Recorder\drv.exe> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <9><C:\WINNT\System32\Ravdm.exe> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [(Verified)Microsoft Corporation] <Userinit><C:\WINNT\system32\userinit.exe,> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <GinaDLL><GinaStub.dll> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll> [(Verified)Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] <Network.ConnectionTray><C:\WINNT\system32\NETSHELL.dll> [(Verified)Microsoft Corporation] <WebCheck><%SystemRoot%\System32\webcheck.dll> [(Verified)Microsoft Corporation] <SysTray><stobject.dll> [(Verified)Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] <WinlogonNotify: crypt32chain><crypt32.dll> [(Verified)Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] <WinlogonNotify: cryptnet><cryptnet.dll> [(Verified)Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] <WinlogonNotify: cscdll><cscdll.dll> [(Verified)Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] <WinlogonNotify: sclgntfy><sclgntfy.dll> [(Verified)Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] <WinlogonNotify: SensLogn><WlNotify.dll> [(Verified)Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] <{438755C2-A8BA-11D1-B96B-00A0C90312E1}><%SystemRoot%\System32\browseui.dll> [(Verified)Microsoft Corporation] <{8C7461EF-2B13-11d2-BE35-3078302C2030}><%SystemRoot%\System32\browseui.dll> [(Verified)Microsoft Corporation] ================================== 启动文件夹 N/A ================================== 服务 [Indexing Service / cisvc] <C:\WINNT\System32\cisvc.exe><Microsoft Corporation> [ClipBook / ClipSrv] <C:\WINNT\system32\clipsrv.exe><Microsoft Corporation> [Logical Disk Manager Administrative Service / dmadmin] <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.> [Fax Service / Fax] <C:\WINNT\system32\faxsvc.exe><Microsoft Corporation> [GrayPigeonServer / GrayPigeonServer] <C:\WINNT\G_Server2006.exe><N/A> [Microsoft Security Login Service / Microsoft Security Login Service] <"C:\WINNT\System32\dllcache\mssecure32.exe"><N/A> [NetMeeting Remote Desktop Sharing / mnmsrvc] <C:\WINNT\System32\mnmsrvc.exe><Microsoft Corporation> [Distributed Transaction Coordinator / MSDTC] <C:\WINNT\System32\msdtc.exe><Microsoft Corporation> [Windows Installer / MSIServer] <C:\WINNT\System32\MsiExec.exe /V><Microsoft Corporation> [Network DDE / NetDDE] <C:\WINNT\system32\netdde.exe><Microsoft Corporation> [Network DDE DSDM / NetDDEdsdm] <C:\WINNT\system32\netdde.exe><Microsoft Corporation> [NVIDIA Driver Helper Service / NVSvc] <C:\WINNT\System32\nvsvc32.exe><NVIDIA Corporation> [Remote Registry Service / RemoteRegistry] <C:\WINNT\system32\regsvc.exe><Microsoft Corporation> [Remote Procedure Call (RPC) Locator / RpcLocator] <C:\WINNT\System32\locator.exe><Microsoft Corporation> [QoS RSVP / RSVP] <C:\WINNT\System32\rsvp.exe -s><Microsoft Corporation> [Smart Card Helper / SCardDrv] <C:\WINNT\System32\SCardSvr.exe><Microsoft Corporation> [Smart Card / SCardSvr] <C:\WINNT\System32\SCardSvr.exe><Microsoft Corporation> [Task Scheduler / Schedule] <C:\WINNT\system32\MSTask.exe><Microsoft Corporation> [Print Spooler / Spooler] <C:\WINNT\system32\spoolsv.exe><Microsoft Corporation> [Performance Logs and Alerts / SysmonLog] <C:\WINNT\system32\smlogsvc.exe><Microsoft Corporation> [Telnet / TlntSvr] <C:\WINNT\system32\tlntsvr.exe><Microsoft Corporation> [Uninterruptible Power Supply / UPS] <C:\WINNT\System32\ups.exe><Microsoft Corporation> [Utility Manager / UtilMan] <C:\WINNT\System32\UtilMan.exe><Microsoft Corporation> [Windows Management Instrumentation / WinMgmt] <C:\WINNT\System32\WBEM\WinMgmt.exe><Microsoft Corporation> [Portable Media Serial Number Service / WmdmPmSN] <C:\WINNT\System32\svchost.exe -k netsvcs-->C:\WINNT\System32\mspmsnsv.dll><Microsoft Corporation> ================================== 驱动程序 [Service for WDM 3D Audio Driver / ALCXSENS] <system32\drivers\ALCXSENS.SYS><Sensaura Ltd> [Service for Realtek AC97 Audio (WDM) / ALCXWDM] <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.> [ARGUS / ARGUS] <system32\drivers\ARGUS.sys><N/A> [cdnprot / cdnprot] <\SystemRoot\system32\drivers\cdnprot.sys><中国互联网络信息中心(CNNIC)> [cdntran / cdntran] <system32\drivers\cdntran.sys><CNNIC> [Cdr4_2K / Cdr4_2K] <C:\WINNT\SYSTEM32\DRIVERS\Cdr4_2K.SYS><Roxio> [Cdralw2k / Cdralw2k] <C:\WINNT\SYSTEM32\DRIVERS\Cdralw2k.SYS><Roxio> [dmboot / dmboot] <System32\drivers\dmboot.sys><VERITAS Software Corp.> [Logical Disk Manager Driver / dmio] <\SystemRoot\System32\drivers\dmio.sys><VERITAS Software Corp.> [dmload / dmload] <\SystemRoot\System32\drivers\dmload.sys><VERITAS Software Corp.> [ecfhagfc / ecfhagfc] <\SystemRoot\system32\drivers\ecfhagfc.sys><N/A> [fiidbeii / fiidbeii] <C:\WINNT\SYSTEM32\DRIVERS\fiidbeii.SYS><中国互联网络信息中心(CNNIC)> [hhgjfdgd / hhgjfdgd] <\SystemRoot\system32\drivers\hhgjfdgd.sys><N/A> [hikDrv4000 / hikDrv4000] <System32\DRIVERS\hikDrv4000.sys><HangZhou Hikvision Digital technology Co.,Ltd> [jhhhcejg / jhhhcejg] <C:\WINNT\SYSTEM32\DRIVERS\jhhhcejg.SYS><中国互联网络信息中心(CNNIC)> [nv / nv] <System32\DRIVERS\nv4_mini.sys><NVIDIA Corporation> [Direct Parallel Link Driver / Ptilink] <System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.> [Realtek RTL8139-based PCI Fast Ethernet Adapter NT Driver / rtl8139] <System32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation> [TDDI / TDDI] <\??\C:\WINNT\System32\drivers\tddi.sys><SafeNet China Ltd.> 2006-10-05 10:15:18
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	分享到：

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-03 18:37 \| 只看楼主短消息资料字号：小中大 2楼 ================================== 浏览器加载项 [FgvImupl Class] {44982629-E312-A0BD-3A2E-2A143888010A} <C:\WINNT\DOWNLO~1\kmoxgpti.dll, vagmmsoft> [CdnForIE Class] {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, CNNIC> [IeCatch2 Class] {A5366673-E8CA-11D3-9CD9-0090271D075B} <C:\PROGRA~1\FLASHGET\jccatch.dll, Amaze Soft> [WMHlprObj Class] {F5824EFB-728A-4726-A5A5-85A68B20EDC3} <C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll, CNNIC> [CdnForIE Class] {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, CNNIC> [@shdoclc.dll,-866] {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A> [FlashGet] {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <C:\PROGRA~1\FLASHGET\flashget.exe, > [@msdxmLC.dll,-1@2052,电台(&R)] {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINNT\System32\msdxm.ocx, Microsoft Corporation> [FlashGet Bar] {E0E899AB-F487-11D5-8D29-0050BA6940E3} <C:\PROGRA~1\FLASHGET\fgiebar.dll, Amaze Soft> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\System32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.> [使用网际快车下载] <C:\Program Files\FlashGet\jc_link.htm, N/A> [使用网际快车下载全部链接] <C:\Program Files\FlashGet\jc_all.htm, N/A> ================================== 正在运行的进程 [PID: 112][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.00.2170.1] [PID: 140][\??\C:\WINNT\system32\csrss.exe] [Microsoft Corporation, 5.00.2137.1] [PID: 160][\??\C:\WINNT\system32\winlogon.exe] [Microsoft Corporation, 5.00.2182.1] [C:\WINNT\System32\cdnns.dll] [N/A, N/A] [PID: 188][C:\WINNT\system32\services.exe] [Microsoft Corporation, 5.00.2134.1] [C:\WINNT\system32\dmserver.dll] [VERITAS Software Corp., 2191.1.296.2] [PID: 200][C:\WINNT\system32\lsass.exe] [Microsoft Corporation, 5.00.2184.1] [PID: 336][C:\WINNT\system32\svchost.exe] [Microsoft Corporation, 5.00.2134.1] [C:\WINNT\System32\cdnns.dll] [N/A, N/A] [PID: 368][C:\WINNT\Explorer.exe] [Microsoft Corporation, 5.00.2920.0000] [C:\PROGRA~1\FLASHGET\jccatch.dll] [Amaze Soft, 1, 1, 4, 0] [C:\Program Files\WinRAR\rarext.dll] [N/A, N/A] [C:\WINNT\System32\cdnns.dll] [N/A, N/A] [PID: 360][E:\工具\procexp.exe] [Sysinternals, 10.11] [PID: 464][C:\WINNT\System32\conime.exe] [Microsoft Corporation, 5.00.2180.1] [PID: 428][E:\工具\SREng2.2\SREng2.2.exe] [Smallfrogs Studio, 2.2.6.605] [C:\WINNT\System32\cdnns.dll] [N/A, N/A] ================================== 文件关联 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINNT\hh.exe" %1] .HLP OK. [%SystemRoot%\system32\winhlp32.exe %1] .INI OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}] 从中捡了几个文件,(上传到在下面的网盘中) 放弃验证,前四个,可直接下载~ http://free.ys168.com/?xuemai 回家后断网时试运行了以下几个文件, Logo1_.exe eraseme_07158.exe rundl132.exe
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

仙剑VS景天雄霸杖朝狮帖子:12362 注册: 2006-08-20 来自:	发表于： 2006-10-03 18:39 \| 短消息资料字号：小中大 3楼你运行这些干什么,难道你故意中毒?
仙剑VS景天雄霸杖朝狮帖子:12362 注册: 2006-08-20 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-03 18:42 \| 只看楼主短消息资料字号：小中大 4楼运行Logo1_.exe产生的动作~ 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache 注册表值： F:\!Submit\下载区(木马)\新马测试地\Logo1_.exe 类型: REG_SZ 值： Logo1_ 父级进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 子级进程：路径： F:\!Submit\下载区(木马)\新马测试地\Logo1_.exe 信息：命令行："F:\!Submit\下载区(木马)\新马测试地\Logo1_.exe" 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count 注册表值： HRZR_EHACNGU 新的值: 类型: REG_BINARY 值： EE000000110F0000803CA6407BE6C601 先前值: 类型: REG_BINARY 值： EE000000100F000010A396D77AE6C601 (在事件查看器可以看到~~:: 事件类型: 信息事件来源: Application Popup 事件种类: 无事件 ID: 26 日期: 2006-10-3 事件: 7:34:06 用户: N/A 计算机: ADMINISTRATOR 描述: 弹出应用程序: Logo1_.exe - 无法找到入口: 无法定位程序输入点 rocAddress 于动态链接库 KERNEL32.DLL 上。 ) "进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\SessionInformation 注册表值： ProgramCount 新的值: 类型: REG_DWORD 值： 00000007 先前值: 类型: REG_DWORD 值： 00000006 " 进程：(这里可能又要生成一个文件,可惜网络是断的,所以只生成一个注册项,就没有动作了~) 路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count 注册表值： HRZR_EHACNGU:S:\!Fhozvg\下载区(木马)\新马测试地\Ybtb1_.rkr 类型: REG_BINARY 值： EE0000000600000060CF88DB7BE6C601 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\SessionInformation 注册表值： ProgramCount 新的值: 类型: REG_DWORD 值： 00000006 先前值: 类型: REG_DWORD 值： 00000007[font_color=#0]
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

仙剑VS景天雄霸杖朝狮帖子:12362 注册: 2006-08-20 来自:	发表于： 2006-10-03 18:43 \| 短消息资料字号：小中大 5楼分析的不错,有解决办法没?
仙剑VS景天雄霸杖朝狮帖子:12362 注册: 2006-08-20 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-03 18:45 \| 只看楼主短消息资料字号：小中大 6楼运行rundl132.exe时的动作~ 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache 注册表值： F:\!Submit\下载区(木马)\新马测试地\rundl132.exe 类型: REG_SZ 值： rundl132 父级进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 子级进程：路径： F:\!Submit\下载区(木马)\新马测试地\rundl132.exe 信息：命令行："F:\!Submit\下载区(木马)\新马测试地\rundl132.exe" tan chu chuan kou (tong shang yi li)!弹出窗口,和上个测试一样~ 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count 注册表值： HRZR_EHACNGU 新的值: 类型: REG_BINARY 值： EE000000180F0000A0359B837FE6C601 先前值: 类型: REG_BINARY 值： EE000000170F0000700E19587FE6C601 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\SessionInformation 注册表值： ProgramCount 新的值: 类型: REG_DWORD 值： 00000005 先前值: 类型: REG_DWORD 值： 00000004 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy 进程：(同样在这里又生成一个注册项,但是没有文件生成,可能需要网络上的支持~) 路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count 注册表值： HRZR_EHACNGU:S:\!Fhozvg\下载区(木马)\新马测试地\ehaqy132.rkr 类型: REG_BINARY 值： EE0000000600000000DFDBCA7FE6C601 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\SessionInformation 注册表值： ProgramCount 新的值: 类型: REG_DWORD 值： 00000004 先前值: 类型: REG_DWORD 值： 00000005 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： StartTimeLo 新的值: 类型: REG_DWORD 值： C9393820 先前值: 类型: REG_DWORD 值： 17F5C4A0 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： StartTimeHi 新的值: 类型: REG_DWORD 值： 01C6E67F 先前值: 类型: REG_DWORD 值： 01C6E672 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： EndTimeLo 新的值: 类型: REG_DWORD 值： EE96F9E0 先前值: 类型: REG_DWORD 值： 182831D0 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： EndTimeHi 新的值: 类型: REG_DWORD 值： 01C6E67F 先前值: 类型: REG_DWORD 值： 01C6E672
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

仙剑VS景天雄霸杖朝狮帖子:12362 注册: 2006-08-20 来自:	发表于： 2006-10-03 18:46 \| 短消息资料字号：小中大 7楼帅哥!我们只需要解决办法!
仙剑VS景天雄霸杖朝狮帖子:12362 注册: 2006-08-20 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-03 18:56 \| 只看楼主短消息资料字号：小中大 8楼下面测试eraseme_07158.exe 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache 注册表值： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 类型: REG_SZ 值： eraseme_07158 父级进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 子级进程：路径： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 命令行："F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe" 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count 注册表值： HRZR_EHACNGU 新的值: 类型: REG_BINARY 值： EE000000190F00002039788180E6C601 先前值: 类型: REG_BINARY 值： EE000000180F0000A0359B837FE6C601 进程：路径： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 对象：路径： C:\WINDOWS\system32\lsass.exe 信息： LSA Shell (Export Version) (Microsoft Corporation) 此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count 注册表值： HRZR_EHACNGU:S:\!Fhozvg\下载区(木马)\新马测试地\renfrzr_07158.rkr 类型: REG_BINARY 值： EE00000006000000109FE68A80E6C601 进程：路径： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 对象：路径： C:\WINDOWS\system32\lsass.exe 信息： LSA Shell (Export Version) (Microsoft Corporation) 此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。进程：路径： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 对象：路径： C:\WINDOWS\system32\lsass.exe 信息： LSA Shell (Export Version) (Microsoft Corporation) 此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。进程：(如果允许,它将会获取完全控制的权限~) 路径： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 对象：路径： C:\WINDOWS\system32\lsass.exe 信息： LSA Shell (Export Version) (Microsoft Corporation) 此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。此时我阻止这个操作~(看状况,它想修改我电脑中的某些安全设置~但是我看不到,呵呵,所以也就不能再让它改了~~) 进程：路径： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 对象：路径： C:\WINDOWS\system32\lsass.exe 信息： LSA Shell (Export Version) (Microsoft Corporation) 此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。进程：路径： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions 注册表值： 42 类型: REG_SZ 值： F:\!Submit\下载区(木马)\新马测试地\eraseme_07158.exe 创建服务Microsoft windows spoolsv service (此时它创建了一个服务~) 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU 注册表值： MRUListEx 新的值: 类型: REG_BINARY 值： 01000000070000000600000000000000... 先前值: 类型: REG_BINARY 值： 07000000010000000600000000000000... 进程：路径： C:\WINDOWS\system32\services.exe(下面它创建了服务中的各项和键值~) 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-503566346-864919056-894039504-1008\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： StartTimeLo 新的值: 类型: REG_DWORD 值： 36CAB760 先前值: 类型: REG_DWORD 值： 20435270 进程：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 注册表对象：对象：注册表键： HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\1 注册表值： MRUListEx 新的值: 类型: REG_BINARY 值： 00000000030000000100000006000000... 先前值: 类型: REG_BINARY 值： 03000000010000000000000006000000... 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 添加对像注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： Type 类型: REG_DWORD 值： 00000110 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-503566346-864919056-894039504-1008\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： StartTimeHi 新的值: 类型: REG_DWORD 值： 01C6E681 先前值: 类型: REG_DWORD 值： 01C6E672 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： Start 类型: REG_DWORD 值： 00000002 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-503566346-864919056-894039504-1008\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： EndTimeLo 新的值: 类型: REG_DWORD 值： 36CDC5C0 先前值: 类型: REG_DWORD 值： 20435270 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： ErrorControl 类型: REG_DWORD 值： 00000000 进程：路径： C:\WINDOWS\system32\winlogon.exe 信息： Windows NT Logon Application (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-503566346-864919056-894039504-1008\Extension-List\{00000000-0000-0000-0000-000000000000} 注册表值： EndTimeHi 新的值: 类型: REG_DWORD 值： 01C6E681 先前值: 类型: REG_DWORD 值： 01C6E672 进程：路径： C:\WINDOWS\system32\services.exe(生成一个新文件的项,看来又要有新的文件出来了~) 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： ImagePath 类型: REG_EXPAND_SZ 值： "C:\windows\spoolsv.exe" 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： DisplayName 类型: REG_SZ 值： Microsoft Windows Spoolsv Service 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 添加对象注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service\Security 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service\Security 注册表值： Security 类型: REG_BINARY 值： 01001480900000009C00000014000000... 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： ObjectName 类型: REG_SZ 值： LocalSystem 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 添加对象注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： FailureActions 类型: REG_BINARY 值： 0A000000000000000000000001000000... 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 注册表分组：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows Spoolsv Service 注册表值： Description 类型: REG_SZ 值： Microsoft Windows Spoolsv Service 父级进程：路径： C:\WINDOWS\system32\services.exe(果然,运行了,看来,这个文件是它自带的~) 信息： Services and Controller app (Microsoft Corporation) 子级进程：路径： C:\WINDOWS\spoolsv.exe 命令行："C:\windows\spoolsv.exe" 进程：路径： C:\WINDOWS\system32\services.exe 信息： Services and Controller app (Microsoft Corporation) 注册表对象：对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Control\ServiceCurrent 注册表值：（默认）新的值: 类型: REG_DWORD 值： 0000000D 先前值: 类型: REG_DWORD 值： 0000000C 进程：路径： C:\WINDOWS\spoolsv.exe 注册表分组：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 注册表值： Cache 新的值: 类型: REG_SZ 值： C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files 先前值: 类型: REG_SZ 值： C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files 进程：路径： C:\WINDOWS\spoolsv.exe 注册表分组：对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 注册表值： Cookies 新的值: 类型: REG_SZ 值： C:\Documents and Settings\LocalService\Cookies 先前值: 类型: REG_SZ 值： C:\Documents and Settings\NetworkService\Cookies
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

叱咤花甲狮

帖子:4210
注册: 2005-04-10
来自:怀黯

发表于： 2006-10-03 18:59 | 只看楼主 短消息资料

字号：小中大 9楼

引用:

【仙剑VS景天的贴子】帅哥!我们只需要解决办法!
………………

呵呵,不是在和大家一起讨论~~~

我只是在分析它在注册表中的动作,但,具体该怎么办,现在还不明~~

gototop

petty 自信弱冠狮帖子:320 注册: 2005-10-10 来自:	发表于： 2006-10-03 19:23 \| 短消息资料字号：小中大 10楼呵呵,高,实在是高
petty 自信弱冠狮帖子:320 注册: 2005-10-10 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT