附件: SREngLOG.log (2008-5-18 12:00:21, 71.93 K)
该附件被下载次数 98

症状有点象"机器狗",但是用专杀工具查不到病毒,请大侠指导一下，谢谢!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

[HP Photosmart Premier 快速启动 ]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\HP Photosmart Premier 快速启动 .lnk --> C:\PROGRA~1\HP\DIGITA~1\bin\hpqthb08.exe [Hewlett-Packard Development Company, L.P.]><N>
[update]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\update.exe -->  [N/A]><N>
[IRDFQ1O24]
  <C:\Documents and Settings\xuwen\「开始」菜单\程序\启动\IRDFQ1O24.exe -->  [N/A]><H>


特殊特权被允许： SeLoadDriverPrivilege [PID = 316, C:\WINDOWS\SYSTEM32\F47SO86Z2.SCR]
特殊特权被允许： SeSystemtimePrivilege [PID = 316, C:\WINDOWS\SYSTEM32\F47SO86Z2.SCR]
特殊特权被允许： SeLoadDriverPrivilege [PID = 396, C:\WINDOWS\SYSTEM32\F47SO86Z2.SCR]
特殊特权被允许： SeSystemtimePrivilege [PID = 396, C:\WINDOWS\SYSTEM32\F47SO86Z2.SCR]
特殊特权被允许： SeSystemtimePrivilege [PID = 2564, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2564, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2564, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特权被允许： SeSystemtimePrivilege [PID = 3116, C:\WINDOWS\SYSTEM32\MOUSIE.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3116, C:\WINDOWS\SYSTEM32\MOUSIE.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3116, C:\WINDOWS\SYSTEM32\MOUSIE.EXE]
特殊特权被允许： SeSystemtimePrivilege [PID = 3156, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3156, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3156, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE]
特殊特权被允许： SeSystemtimePrivilege [PID = 3200, C:\PROGRAM FILES\HP\QUICKPLAY\QPSERVICE.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3200, C:\PROGRAM FILES\HP\QUICKPLAY\QPSERVICE.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3200, C:\PROGRAM FILES\HP\QUICKPLAY\QPSERVICE.EXE]
特殊特权被允许： SeSystemtimePrivilege [PID = 3248, C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3248, C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3248, C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE]
特殊特权被允许： SeSystemtimePrivilege [PID = 3256, C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3256, C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3256, C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE]
特殊特权被允许： SeSystemtimePrivilege [PID = 3264, C:\PROGRAM FILES\TENCENT\QQLIVE\MINIQQLIVE.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3264, C:\PROGRAM FILES\TENCENT\QQLIVE\MINIQQLIVE.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3264, C:\PROGRAM FILES\TENCENT\QQLIVE\MINIQQLIVE.EXE]

API HOOK
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x00EC1FFD)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x00EC20E5)
入口点错误：FreeLibrary (危险等级: 高,  被下面模块所HOOK: 0x5F00002D)

自己看看这些是什么？？ 我看不出来！

不像机器狗啊，你用360机器狗专杀查下看看有没有，用这些清理下看看！
清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip
接着再发日志！

HP的笔记本,HP开头的基本是HP自带的

已经用ATF-Cleaner和arswp2清理过了,还是不行,连GHOST都运行不了

你的日期被改了吗？你上百度在搜索里输入江民在线杀毒，看看能不能到江民在线杀毒的页面。不能就是机器狗，接着用360进行清理查杀。能的话，先让在线杀毒升级，接着登陆坐上的登陆，在选择你要杀毒的范围，接着点下面3个按钮中的中间那个：杀毒，完后就等着吧，看看有没有病毒！注：江民在线杀毒免费时间为4.26——5.26！