以下是个人认为的可疑日志内容及处理办法,供参考。
注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<stup.exe><; Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R> [File is missing]
建议删除。
服务[:222 / :222][Stopped/Auto Start]
<C:\WINDOWS\system32\QQgame.exe><(File is missing)>
[Caption Service / CapSvc][Stopped/Auto Start]
<C:\WINDOWS\System32\video.exe><N/A>
[dsfg45fj pressure experimentation / dsfg45fj][Stopped/Auto Start]
<C:\WINDOWS\hf34h.exe><(File is missing)>
[oqkgfc / oqkgfc][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k oqkgfc-->%SystemRoot%\System32\tbpuka.dll><N/A>
[RiSing KaKa Driver / RiSingKaKa][Stopped/Auto Start]
<C:\WINDOWS\system32\RiSing.exe><(File is missing)>
[tezkvh / tezkvh][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k tezkvh-->%SystemRoot%\System32\lupygl.dll><N/A>
[weqianj / weqianj][Stopped/Auto Start]
<C:\WINDOWS\system32\weqianj.exe><N/A>
[Wingms / Wingms][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\www.exe -u><(File is missing)>
[wwqj / wwqj][Stopped/Auto Start]
<C:\WINDOWS\system32\wwqj.exe><(File is missing)>
建议全部删除。
驱动程序[ddsxeiservice2 / ddsxeiservice][Stopped/Manual Start]
<\??\C:\Documents and Settings\Administrator\桌面\游戏\sXe Injected\ddsxei.sys><N/A>
[usbmouseb / usbmouseb][Stopped/Manual Start]
<\??\C:\WINDOWS\SYSTEM32\drivers\mynam5.sys><N/A>[yezkvheu / yezkvheu][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\lupygl.sys><N/A>
[yqkgfcha / yqkgfcha][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\tbpuka.sys><N/A>
以上蓝色项目不确定,建议先将C:\WINDOWS\SYSTEM32\drivers\mynam5.sys、C:\Documents and Settings\Administrator\桌面\游戏\sXe Injected\ddsxei.sys这两个文件发到多引擎扫描网站或本论坛“可疑文件交流区”确认下,如果鉴定为不安全文件,四个驱动程序一起删除;如果鉴定为正常文件,将非蓝色的驱动程序删除。
以上不安全的注册表项目删除后,重启电脑,重启后用WINRAR压缩工具找到被删除注册表项对应的映像文件(注意与服务宿主C:\WINDOWS\SYSTEM32\SVCHOST.EXE相关的服务,映像文件是指被SVCHOST.EXE调用的DLL文件),删除,找不到的就算了。
