设为首页收藏本站
切换到宽版 Language

 找回密码
 注册
搜索
无忧启动论坛»论坛 ::数码生活:: Windows技术讨论区 关于cmdll32.exe的问题(希望老鸟菜鸟都能进来看看) ...
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
12下一页
返回列表 发新帖
查看: 4953|回复: 38

关于cmdll32.exe的问题(希望老鸟菜鸟都能进来看看)

[复制链接]
发表于 2007-4-9 16:21:38 | 显示全部楼层 |阅读模式
---> 升级权限
首先说明我是搞学校计算机网络维护的老师,但自己实在是菜的很,就这天来发生的一些电脑问题,很是头疼,想写个帖子跟大家交流。

前几天在家玩魔兽,(我家才配的电脑,配置还可以,切进切出是很流畅的)发现切进切出总是要卡上一会儿,我就觉得不对劲,看了下任务管理器,发现多了一个进程cmdll32.exe, 结束进程过一会儿又出来了。然后我就baidu搜了下相关的资料,当时就找了一条,就是这个论坛,有个兄弟电脑和出了一样的问题多了cmdll32.exe进程。6618的回答是病毒来的,用hithisjack修复,然后我就试着做了下,进程是结束了,可是c:\windows\system32\cmdll32.exe怎么也删不了,删了以后立刻出现。我就在注册表里找
查找“cmdll32.exe”,找到了几条,删除以后同样又会出现,我就到安全模式下去删,问题依然存在。可是进程结束了,机子的速度似乎快了些。

上个星期5在单位上(50台电脑)学生上电脑课,发现有几台电脑多了logo1_.exe进程,但是全盘还原,重启以后就没有这个问题了。今天上午一上课就发现很有几台电脑进程里多了cmdll32这个进程。而且重启后依然存在,还原精灵完全失去作用,有部分电脑还多了logo1_.exe进程。下午上课发现几乎所有电脑多了cmdll32进程。

我由此推想出几点
1  cmdll32是个恶意程序,局域网内的传播速度十分惊人,而且估计是个新毒,在瑞星,金山等站查询相关资料都没有找到,baidu搜的结果也是少之又少。
2  cmdll32可以自行或者是由黑客来控制安装一些木马 比如我这里中的logo1_.exe, 而且是最新变种,正版卡巴也杀不了,(前几天我电脑中了logo1_.exe 产生9s 11s等进程 卡巴轻松杀之)  病毒明显特征是:在c目录下建立:除了_destop.ini 还有2个.exe文件 和平常的只生成一个_destop.ini不一样 用了6618介绍的arfix才好象可以杀掉, 是好象 。。。

说了这些 可能还有没有想到的 以后补充 希望老鸟 菜鸟都能进来看看,希望大家能帮帮我,给我些处理的好建议,还有局域网维护相关的 ,  先谢谢了。。
回复

使用道具 举报

kangyi
发表于 2007-4-9 16:41:09 | 显示全部楼层
---> 升级权限
你可以参照6618斑大的帖子如法炮制,加入如下注册项,就可避免以cmdll32.exe,logo1_.exe为文件名的恶意程序的运行了
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdll32.exe]
"Debugger"="C:\\WINDOWS\\system32\\cmdll32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo1_.exe]
"Debugger"="C:\\WINDOWS\\system32\\logo1_.exe"

另外,在每个分区的根目录下建一个autorun.inf文件夹,可尽可能地防患于未然

[ 本帖最后由 kangyi 于 2007-4-9 04:42 PM 编辑 ]

评分

参与人数 1无忧币 +20 收起 理由
6618 + 20

查看全部评分

回复

使用道具 举报

 楼主| 发表于 2007-4-9 16:54:28 | 显示全部楼层
---> 升级权限
请问这是个什么原理,有原帖地址吗?谢谢
回复

使用道具 举报

kangyi
发表于 2007-4-9 17:38:07 | 显示全部楼层
---> 升级权限
你导入这个注册表文件,看任务管理器是不是不能用了,:P :P

000.rar

229 Bytes, 下载次数: 32, 下载积分: 无忧币 -2

回复

使用道具 举报

kangyi
发表于 2007-4-9 17:41:39 | 显示全部楼层
---> 升级权限
是这个帖子
http://bbs.wuyou.net/forum.php?m ... ;highlight=%2B6618:) :)
回复

使用道具 举报

 楼主| 发表于 2007-4-9 17:45:55 | 显示全部楼层
---> 升级权限
太感谢你了 , 非常感谢 我找了1个多小时没找到 以前看过的
回复

使用道具 举报

发表于 2007-4-9 20:17:33 | 显示全部楼层
---> 升级权限
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

zgzxp
发表于 2007-4-9 22:16:13 | 显示全部楼层
---> 升级权限
这就是传说中的映像劫持
回复

使用道具 举报

 楼主| 发表于 2007-4-9 22:27:20 | 显示全部楼层
---> 升级权限
。。。。。。。。。这个是个很好的方法 但是没有什么软件能杀掉他吗?我用了unlock也删不掉
powerrmv还没试 现在网上下的软件不敢随便试了 毒太多 怕中新毒。。
回复

使用道具 举报

发表于 2007-4-9 23:52:41 | 显示全部楼层
---> 升级权限

看看是不是添加了虚拟驱动

原帖由 jimmy_3030 于 2007-4-9 10:27 PM 发表
。。。。。。。。。这个是个很好的方法 但是没有什么软件能杀掉他吗?我用了unlock也删不掉
powerrmv还没试 现在网上下的软件不敢随便试了 毒太多 怕中新毒。。



很多现在流行的病毒都喜欢添加一个虚拟的驱动程序,并且有很高的优先权,就像天网防火墙或者QQ的键盘输入保护,都是一样的原理。
回复

使用道具 举报

发表于 2007-4-9 23:58:04 | 显示全部楼层
---> 升级权限
我还是没研究个头绪出来。。继续关注。。看来得楼主明天在校时才能试了
回复

使用道具 举报

xiazaia
发表于 2007-4-10 09:11:48 | 显示全部楼层
---> 升级权限
如果你没有结束进程 那你去注册表里删只能是白费力气

看你说可以结束那个进程 八成没有双进程保护

那你可以试试
1、结束该进程 不管你用什么方法了 任务管理器 kill 之类的
2、删除该文件
3、清理启动项 不只是注册表 能启动的地方太多了 包括服务里 注册一个新服务或者把系统原有的非必需服务修改一下是很简单的事情 所以不应该单单注意以前不存在的服务 还应该注意系统自身的服务 有些服务默认是不启动的 如果变成了自启动 就会有问题
你说安全模式删也不行 不排除被注册成服务或者挂了驱动的可能
如果是服务 是可以删除的 win2000资源工具箱里有srvinstw.exe 这个程序可以很方便的添加或删除服务 XP下也没问题

作为一个可能的方向吧 不一定符合你的情况
回复

使用道具 举报

6618
发表于 2007-4-10 09:26:47 | 显示全部楼层
---> 升级权限
按2楼的朋友说的去做,先限制那个病毒的运行。
回复

使用道具 举报

发表于 2007-4-10 10:21:06 | 显示全部楼层
---> 升级权限

BR0WSEU1.DLL

你的机器上有BR0WSEU1.DLL这个文件吗?

希望中了cmdll32.exe的2个兄弟没有重装系统,呵呵。刚看了猪一头的扫描结果,你们都是中了cmdll32,看来看去,BR0WSEU1.DLL很可疑,但是你们提供的信息太少了。
回复

使用道具 举报

发表于 2007-4-10 10:28:51 | 显示全部楼层
---> 升级权限
楼主朋友昨晚跟我说了一下..他要白天到学校时才能提供更祥细的信息..
回复

使用道具 举报

发表于 2007-4-10 13:30:34 | 显示全部楼层
---> 升级权限
和威金有点像
回复

使用道具 举报

发表于 2007-4-10 17:47:38 | 显示全部楼层
---> 升级权限
郁闷啊,我也中了这个。证券交易软件都是错误信息。
百度上的信息好少,只有这里有。
哪位老大能指点一下超级菜鸟来杀掉它?
跪谢啊!!!!!!11
回复

使用道具 举报

 楼主| 发表于 2007-4-10 18:19:47 | 显示全部楼层
---> 升级权限
我最不希望看的情况出现了,我可以跟大家具体点来谈谈这个毒了。我昨天发的帖子,今天病毒蔓延的情况十分严重,我没有按2楼提供的方法限制cmdll32.exe的运行,局域网几乎所有电脑感染cmdll32.exe这个文件,hijack已经不能修复。并且有的电脑还会增加s19.exe这样一个进程。这个进程开机的时候会出来一下,但是过一会又消失,今天下午5:30的样子,很多的电脑都出现了自动弹页面的情况,一个是love9.com9(好象)还有一个dvd.com.cn,不断的弹,你什么操作都做不了,我用icesword查很多了几个进程,有一个好象上
svch0st.exe(肯定是木马),s19同样在。我用icesword结束cmdll32和svch0st.exe s19进程 ,弹网站才得到控制。

我觉得跟我发的帖子推想的一样,cmdll32是个木马服务进程,利用它可以加很多进程到电脑,由于我自己的电脑问题发现及时 修复了cmdll32才没有使病毒进一步蔓延

大家想想办法 这个东西局域网传播速度太快了。。。。我已经束手无策
回复

使用道具 举报

 楼主| 发表于 2007-4-10 18:28:39 | 显示全部楼层
---> 升级权限
HijackThis_815汉化版扫描日志 V1.99.1
保存于      18:12:09, 日期 2007-4-10
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v5.00 SP4 (5.00.2920.0000)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
D:\GreatWall\Eclassroom\lanclt.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\CMDLL32.EXE
E:\WinRAR\WinRAR.exe
C:\DOCUME~1\xs1\LOCALS~1\Temp\Rar$EX00.375\HijackThis1991zww.exe

O2 - BHO: IE6Image Class - {CD6C2ABD-F988-40CA-B834-74C3EF0F5B14} - C:\WINNT\system32\BR0WSEU1.DLL
O2 - BHO: IEHelp Class - {ED863792-FADB-4D21-8B20-409DA940B7A2} - C:\WINNT\system\PDFAid.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "d:\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [LanStar Client] d:\GreatWall\Eclassroom\CltLoad.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Networks\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Networks\Thunder\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E891D6-2285-4494-91B0-108CA1703CA4}: NameServer = 202.103.44.5,202.103.0.117
O20 - Winlogon Notify: DfLogon - C:\WINNT\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: COMMAND DLL32 (CMD_DLL32) - Unknown owner - C:\WINNT\system32\CMDLL32.EXE
O23 - NT 服务: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: MICR0SOFT SVCH0ST (MS_SVCH0ST) - Unknown owner - C:\WINNT\system\SVCH0ST.EXE



谢谢楼上的朋友。我还没有重装系统
回复

使用道具 举报

6618
发表于 2007-4-10 21:18:13 | 显示全部楼层
---> 升级权限
楼上的朋友,请你到这下个SRENG再扫一个日志上来。

http://bbs.wuyou.net/forum.php?m ... &extra=page%3D5
回复

使用道具 举报

发表于 2007-4-10 21:40:27 | 显示全部楼层
---> 升级权限
朋友。。你可以试一下FF那篇贴的工具试试
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=86668&extra=page%3D1%26amp%3Bfilter%3Ddigest

昨天晚上去帮个客户重装系统..(客户不可理喻,非得一步一步慢装)...装完系统及驱动后...我查看了一下系统进程...非常正常..
然而..当我用移动硬盘装些常用软件然后重启进系统时..我发现进程里就多出了    "s19.exe".."rundl132.exe'等等几个进程..
而且启动完后无法显示桌面图标...我把s19.exe这个进程结束掉后就正常显示了..二话不说我先用注册表导入限制了这几个进程的运行..
然后重启电脑..用6618兄弟提供的威金专杀扫全盘....:L ..(除了C盘那几个外...还修复了几百个.全是在我移动硬盘的..)

我觉得楼主不妨试试这个工具能否修复..

[ 本帖最后由 sansa520 于 2007-4-11 10:27 AM 编辑 ]
回复

使用道具 举报

发表于 2007-4-10 23:51:12 | 显示全部楼层
---> 升级权限
偶也中了这个该死的东西,昨天结束了进程,删了文件,重起一看什么都又回来了.下面是偶用SRENG扫出来的,希望高手帮我看看电脑里错误的东西,我实在看不懂.

  2. 2007-04-10,23:42:27
  3. System Repair Engineer 2.4.12.806
  4. Smallfrogs (http://www.KZTechs.com)
  5. Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
  6. 以下内容被选中:
  7.     所有的启动项目(包括注册表、启动文件夹、服务等)
  8.     浏览器加载项
  9.     正在运行的进程(包括进程模块信息)
  10.     文件关联
  11.     Winsock 提供者
  12.     Autorun.inf
  13.     HOSTS 文件

  15. 启动项目
  16. 注册表
  17. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  18.     <KavPFW><"C:\KAV2007\KPFW32.EXE">  [Kingsoft Corporation]
  19.     <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
  20.     <sys31><C:\Documents and Settings\Administrator\Local Settings\Application Data\c23235.exe>  []
  21.     <sys32><C:\WINDOWS\c25409.exe>  []
  22. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  23.     <load><>  [N/A]
  24. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  25.     <switch><c:\windows\system32\壁纸自动换.exe>  []
  26.     <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
  27.     <nwiz><nwiz.exe /install>  []
  28.     <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
  29.     <SoundMan><SOUNDMAN.EXE>  [Realtek Semiconductor Corp.]
  30.     <KavStart><"C:\KAV2007\KAVStart.exe" -startup>  [Kingsoft Corporation]
  31. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
  32.     <sys41><C:\Program Files\Common Files\d1216.exe>  []
  33.     <sys42><C:\Documents and Settings\NetworkService\Local Settings\History\d16704.exe>  []
  34.     <sys51><C:\Documents and Settings\NetworkService\Local Settings\History\E28463.exe>  []
  35.     <sys52><C:\Documents and Settings\NetworkService\My Documents\My Pictures\E24405.exe>  []
  36.     <sys101><C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\J16669.exe>  []
  37.     <sys102><C:\Documents and Settings\NetworkService\Application Data\J13650.exe>  []
  38.     <sys31><C:\Documents and Settings\NetworkService\Local Settings\Application Data\c23235.exe>  []
  39.     <sys32><C:\WINDOWS\c25409.exe>  []
  40.     <sys91><C:\Documents and Settings\All Users\Documents\I5921.exe>  []
  41.     <sys92><C:\Documents and Settings\NetworkService\My Documents\My Pictures\I22355.exe>  []
  42.     <sys61><C:\Documents and Settings\NetworkService\My Documents\F6444.exe>  []
  43.     <sys62><C:\Documents and Settings\All Users\「开始」菜单\程序\管理工具\F15701.exe>  []
  44. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  45.     <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
  46.     <Userinit><C:\WINDOWS\system32\UserInit.exe,>  [(Verified)Microsoft Windows Publisher]
  47. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  48.     <AppInit_DLLs><>  [N/A]
  49. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  50.     <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
  51. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
  52.     <WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll>  [(Verified)Microsoft Windows Component Publisher]
  53.     <omml><C:\PROGRA~1\nllk\omml.dll>  [N/A]
  54. ==================================
  55. 启动文件夹
  56. [sys41]
  57.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys41.lnk --> C:\PROGRA~1\COMMON~1\d1216.exe [N/A]><N>
  58. [sys42]
  59.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys42.lnk --> C:\DOCUME~1\NETWOR~1\LOCALS~1\History\d16704.exe [N/A]><N>
  60. [sys51]
  61.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys51.lnk --> C:\DOCUME~1\NETWOR~1\LOCALS~1\History\E28463.exe [N/A]><N>
  62. [sys52]
  63.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys52.lnk --> C:\DOCUME~1\NETWOR~1\MYDOCU~1\MYPICT~1\E24405.exe [N/A]><N>
  64. [sys101]
  65.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys101.lnk --> C:\DOCUME~1\NETWOR~1\LOCALS~1\TEMPOR~1\J16669.exe [N/A]><N>
  66. [sys102]
  67.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys102.lnk --> C:\DOCUME~1\NETWOR~1\APPLIC~1\J13650.exe [N/A]><N>
  68. [sys31]
  69.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys31.lnk --> C:\DOCUME~1\NETWOR~1\LOCALS~1\APPLIC~1\c23235.exe [N/A]><N>
  70. [sys32]
  71.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys32.lnk --> C:\WINDOWS\c25409.exe [N/A]><N>
  72. [sys91]
  73.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys91.lnk --> C:\DOCUME~1\ALLUSE~1\DOCUME~1\I5921.exe [N/A]><N>
  74. [sys92]
  75.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys92.lnk --> C:\DOCUME~1\NETWOR~1\MYDOCU~1\MYPICT~1\I22355.exe [N/A]><N>
  76. [sys61]
  77.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys61.lnk --> C:\DOCUME~1\NETWOR~1\MYDOCU~1\F6444.exe [N/A]><N>
  78. [sys62]
  79.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys62.lnk --> C:\DOCUME~1\ALLUSE~1\「开始~1\程序\管理工具\F15701.exe [N/A]><N>
  80. [yhihhf]
  81.   <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\yhihhf.lnk --> C:\Program Files\Dream Aquarium\yhihhfl.exe [N/A]><N>
  82. [腾讯QQ]
  83.   <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\QQ2006\QQ.exe [TENCENT]><H>
  84. ==================================
  85. 服务
  86. [COMMAND DLL32 / CMD_DLL32][Running/Auto Start]
  87.   <C:\WINDOWS\system32\CMDLL32.EXE><N/A>
  88. [ Cryptographic Server / CryptographicServer][Stopped/Auto Start]
  89.   <C:\WINDOWS\system32\mshtmlsed.exe><N/A>
  90. [Human Interface Device Access / HidServ][Stopped/Disabled]
  91.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
  92. [Kingsoft Personal Firewall Service / KPfwSvc][Running/Auto Start]
  93.   <"C:\KAV2007\KPfwSvc.EXE"><Kingsoft Corporation>
  94. [Kingsoft Antivirus KWatch Service / KWatchSvc][Running/Auto Start]
  95.   <C:\KAV2007\KWatch.EXE><Kingsoft Corporation>
  96. [Navoct / Navoct][Stopped/Auto Start]
  97.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\iesnap\navoct.dll><N/A>
  98. [NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
  99.   <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
  100. ==================================
  101. 驱动程序
  102. [Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc][Stopped/Manual Start]
  103.   <system32\drivers\ac97intc.sys><Intel Corporation>
  104. [Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  105.   <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
  106. [AliIde / AliIde][Stopped/Boot Start]
  107.   <\SystemRoot\System32\DRIVERS\aliide.sys><Acer Laboratories Inc.>
  108. [AMD K8 Processor Driver / AmdK8][Stopped/Manual Start]
  109.   <System32\DRIVERS\amdk8.sys><Advanced Micro Devices>
  110. [CmdIde / CmdIde][Stopped/Boot Start]
  111.   <\SystemRoot\System32\DRIVERS\cmdide.sys><CMD Technology, Inc.>
  112. [EagleNT / EagleNT][Running/Manual Start]
  113.   <\??\C:\WINDOWS\system32\drivers\EagleNT.sys><N/A>
  114. [VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver / FETNDIS][Stopped/Manual Start]
  115.   <system32\DRIVERS\fetnd5.sys><VIA Technologies, Inc.>
  116. [kmsinput / kmsinput][Stopped/Manual Start]
  117.   <\??\C:\WINDOWS\system32\drivers\kmsinput.sys><N/A>
  118. [KNetWch / KNetWch][Running/System Start]
  119.   <\??\C:\KAV2007\KNetWch.SYS><Kingsoft Corporation>
  120. [KWatch3 / KWatch3][Running/System Start]
  121.   <\??\C:\WINDOWS\system32\drivers\KWatch3.SYS><Kingsoft Corporation>
  122. [loejvkmp / loejvkmp][Running/Boot Start]
  123.   <\SystemRoot\System32\DRIVERS\loejvkmp.sys><Yahoo! China Corporation>
  124. [npkcrypt / npkcrypt][Running/Auto Start]
  125.   <\??\C:\Program Files\QQ2006\npkcrypt.sys><INCA Internet Co., Ltd.>
  126. [nv / nv][Running/Manual Start]
  127.   <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
  128. [Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  129.   <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
  130. [Realtek 10/100/1000 NIC Family all in one NDIS XP Driver / RTL8023xp][Running/Manual Start]
  131.   <system32\DRIVERS\Rtnicxp.sys><Realtek Semiconductor Corporation>
  132. [Secdrv / Secdrv][Stopped/Manual Start]
  133.   <system32\DRIVERS\secdrv.sys><N/A>
  134. [usb8028x / usb8028x][Stopped/System Start]
  135.   <system32\drivers\usb8028x.sys><N/A>
  136. ==================================
  137. 浏览器加载项
  138. [Thunder Browser Helper]
  139.   {55302804-482E-470E-8A57-6795A1487F90} <D:\chengxv\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
  140. [CBrowseStakeout Class]
  141.   {55302805-482E-470E-8A57-6795A1487F90} <C:\KAV2007\KAVAFish.DLL, Kingsoft Corporation>
  142. [HelpIE Class]
  143.   {589A6FED-A214-4FE3-8D1E-CD07BC634D89} <C:\WINDOWS\system32\HelpIE.dll, N/A>
  144. [IE6Image Class]
  145.   {CD6C2ABD-F988-40CA-B834-74C3EF0F5B14} <C:\WINDOWS\system32\BR0WSEU1.DLL, TODO: <公司名>>
  146. [ExtIE Class]
  147.   {F58AB49F-BBDB-4DAB-98F6-D269AC7AD57D} <C:\WINDOWS\system32\BR0WSER.DLL, N/A>
  148. [启动迅雷5]
  149.   {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <D:\chengxv\Thunder.exe, Thunder Networking Technologies,LTD>
  150. [浩方对战平台]
  151.   {0A155D3C-68E2-4215-A47A-E800A446447A} <E:\新建文件夹\浩方对战平台\GameClient.exe, 上海浩方在线信息技术有限公司>
  152. [PowerPlr Control]
  153.   {2354A44B-3CEB-4829-9940-545B03103538} <C:\WINDOWS\DOWNLO~1\POWERP~1.OCX, Powerise Digital>
  154. [金山毒霸在线产品升级]
  155.   {E847C78C-C210-4195-8799-FBF3BF89797D} <C:\PROGRA~1\KOS\KOSInit.OCX, 金山软件股份有限公司>
  156. [Web Browser Applet Control]
  157.   {08B0E5C0-4FCB-11CF-AAA5-00401C608501} <C:\WINDOWS\system32\msjava.dll, Microsoft Corporation>
  158. [KLeakScan Control]
  159.   {1FFFA3E9-A615-41FA-972D-7DB61F23AE90} <C:\PROGRA~1\KOS\KOSLEA~1.OCX, kingsoft>
  160. [Windows Media Player]
  161.   {22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
  162. [PowerPlr Control]
  163.   {2354A44B-3CEB-4829-9940-545B03103538} <C:\WINDOWS\DOWNLO~1\POWERP~1.OCX, Powerise Digital>
  164. [HTML Document]
  165.   {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
  166. [DHTML Edit Control Safe for Scripting for IE5]
  167.   {2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Common Files\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation>
  168. [Thunder Browser Helper]
  169.   {55302804-482E-470E-8A57-6795A1487F90} <D:\chengxv\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
  170. [CBrowseStakeout Class]
  171.   {55302805-482E-470E-8A57-6795A1487F90} <C:\KAV2007\KAVAFish.DLL, Kingsoft Corporation>
  172. [金山毒霸在线杀毒]
  173.   {577A1997-6FD0-4972-B234-885DA583F9CE} <C:\PROGRA~1\KOS\KOSClean.OCX, 金山软件股份有限公司>
  174. [HelpIE Class]
  175.   {589A6FED-A214-4FE3-8D1E-CD07BC634D89} <C:\WINDOWS\system32\HelpIE.dll, N/A>
  176. [Windows Media Player]
  177.   {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
  178. [Active Desktop Mover]
  179.   {72267F6A-A6F9-11D0-BC94-00C04FB67863} <%SystemRoot%\system32\SHELL32.dll, N/A>
  180. [Microsoft Web 浏览器]
  181.   {8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
  182. [Thunder Browser Helper]
  183.   {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\chengxv\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
  184. [Microsoft Scriptlet Component]
  185.   {AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
  186. [SearchAssistantOC]
  187.   {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
  188. [RDS.DataSpace]
  189.   {BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation>
  190. [VIDEO__X_MS_WMV Moniker Class]
  191.   {CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
  192. [IE6Image Class]
  193.   {CD6C2ABD-F988-40CA-B834-74C3EF0F5B14} <C:\WINDOWS\system32\BR0WSEU1.DLL, TODO: <公司名>>
  194. [RealPlayer G2 Control]
  195.   {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
  196. [Shockwave Flash Object]
  197.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
  198. [金山毒霸在线产品升级]
  199.   {E847C78C-C210-4195-8799-FBF3BF89797D} <C:\PROGRA~1\KOS\KOSInit.OCX, 金山软件股份有限公司>
  200. [ExtIE Class]
  201.   {F58AB49F-BBDB-4DAB-98F6-D269AC7AD57D} <C:\WINDOWS\system32\BR0WSER.DLL, N/A>
  202. [&使用迅雷下载]
  203.   <D:\chengxv\Program\geturl.htm, N/A>
  204. [&使用迅雷下载全部链接]
  205.   <D:\chengxv\Program\getallurl.htm, N/A>
  206. [上传到QQ网络硬盘]
  207.   <C:\Program Files\QQ2006\AddToNetDisk.htm, N/A>
  208. [添加到QQ自定义面板]
  209.   <C:\Program Files\QQ2006\AddPanel.htm, N/A>
  210. [添加到QQ表情]
  211.   <C:\Program Files\QQ2006\AddEmotion.htm, N/A>
  212. [用QQ彩信发送该图片]
  213.   <C:\Program Files\QQ2006\SendMMS.htm, N/A>
  214. [金山毒霸反钓鱼...]
  215.   <C:\KAV2007\KAF\ShowSet.htm, N/A>
  216. ==================================
  217. 正在运行的进程
  218. [PID: 556][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  219. [PID: 604][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  220. [PID: 628][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  221.     [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
  222. [PID: 672][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  223.     [C:\WINDOWS\AppPatch\AcAdProc.dll]  [Microsoft Corporation, 5.1.2600.3008 (xpsp.061004-0027)]
  224. [PID: 1580][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
  225.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  226.     [C:\KAV2007\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
  227.     [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
  228.     [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
  229.     [C:\WINDOWS\system32\WPDShServiceObj.dll]  [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
  230.     [C:\WINDOWS\system32\PortableDeviceTypes.dll]  [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
  231.     [C:\WINDOWS\system32\PortableDeviceApi.dll]  [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
  232.     [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
  233.     [C:\KAV2007\KAVEXT.DLL]  [Kingsoft Corporation, 2005, 8, 5, 16]
  234.     [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
  235.     [C:\WINDOWS\system32\wpdshext.dll]  [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
  236.     [C:\WINDOWS\system32\Audiodev.dll]  [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
  237.     [D:\chengxv\ComDlls\XunLeiBHO_007.dll]  [Thunder Networking Technologies,LTD, 5, 0, 1, 4]
  238.     [C:\WINDOWS\system32\BR0WSEU1.DLL]  [TODO: <公司名>, 1.0.0.1]
  239.     [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
  240. [PID: 1916][C:\WINDOWS\SOUNDMAN.EXE]  [Realtek Semiconductor Corp., 5, 1, 0, 52]
  241.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  242. [PID: 1924][C:\KAV2007\KAVStart.exe]  [Kingsoft Corporation, 2007, 4, 9, 269]
  243.     [C:\WINDOWS\system32\MFC71.DLL]  [Microsoft Corporation, 7.10.3077.0]
  244.     [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
  245.     [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
  246.     [C:\WINDOWS\system32\MFC71CHS.DLL]  [Microsoft Corporation, 7.10.3077.0]
  247.     [C:\KAV2007\KAVIPC2.DLL]  [Kingsoft Corporation, 2007, 1, 15, 30]
  248.     [C:\KAV2007\SvcTimer.DLL]  [Kingsoft Corporation, 2006.12.22.84]
  249.     [C:\KAV2007\PopSprt3.dll]  [Kingsoft Corporation, 2007, 1, 16, 45]
  250.     [C:\KAV2007\KAVPassp.dll]  [Kingsoft Corporation, 2006, 12, 30, 271]
  251.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  252.     [C:\WINDOWS\system32\odbcbcp.dll]  [Microsoft Corporation, 2000.085.1117.00 (xpsp_sp2_rtm.040803-2158)]
  253.     [C:\KAV2007\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
  254. [PID: 1984][C:\KAV2007\KPFW32.EXE]  [Kingsoft Corporation, 2007, 2, 2, 687]
  255.     [C:\WINDOWS\system32\MFC71.DLL]  [Microsoft Corporation, 7.10.3077.0]
  256.     [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
  257.     [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
  258.     [C:\WINDOWS\system32\MFC71CHS.DLL]  [Microsoft Corporation, 7.10.3077.0]
  259.     [C:\KAV2007\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
  260.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  261.     [C:\KAV2007\KAVIPC2.DLL]  [Kingsoft Corporation, 2007, 1, 15, 30]
  262.     [C:\KAV2007\KAConfig.DLL]  [Kingsoft Corporation, 2007, 1, 11, 41]
  263.     [C:\KAV2007\FiltList.dll]  [N/A, ]
  264.     [C:\KAV2007\KAVPassp.DLL]  [Kingsoft Corporation, 2006, 12, 30, 271]
  265.     [C:\KAV2007\KAScript.DLL]  [Kingsoft Corporation, 2007, 3, 6, 75]
  266. [PID: 1996][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  267.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  268. [PID: 164][C:\KAV2007\KMailMon.EXE]  [Kingsoft Corporation, 2007, 2, 25, 948]
  269.     [C:\KAV2007\KAntiSpm.dll]  [Kingsoft Corporation, 2007, 2, 25, 129]
  270.     [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
  271.     [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
  272.     [C:\KAV2007\KAVIPC2.DLL]  [Kingsoft Corporation, 2007, 1, 15, 30]
  273.     [C:\KAV2007\KAECall2.DLL]  [Kingsoft Corporation, 2004, 12, 28, 7]
  274.     [C:\KAV2007\KAEPlat.DLL]  [Kingsoft Corp., 2007, 2, 4, 61]
  275.     [C:\KAV2007\KAEMem.DAT]  [Kingsoft, 2006, 9, 25, 16]
  276.     [C:\KAV2007\KAEUnpack.DAT]  [Kingsoft Corp., 2007, 3, 12, 114]
  277.     [C:\KAV2007\KAConfig.DLL]  [Kingsoft Corporation, 2007, 1, 11, 41]
  278.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  279.     [C:\KAV2007\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
  280. [PID: 1052][C:\WINDOWS\system32\rundll32.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  281.     [C:\WINDOWS\system32\ADPT1F.DLL]  [mcsoft, 1, 0, 0, 0]
  282.     [C:\KAV2007\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
  283.     [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
  284.     [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
  285.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  286. [PID: 3584][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
  287.     [C:\KAV2007\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
  288.     [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
  289.     [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
  290.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  291.     [D:\chengxv\ComDlls\XunLeiBHO_007.dll]  [Thunder Networking Technologies,LTD, 5, 0, 1, 4]
  292.     [C:\KAV2007\KAVAFish.DLL]  [Kingsoft Corporation, 2006, 10, 25, 27]
  293.     [C:\WINDOWS\system32\BR0WSEU1.DLL]  [TODO: <公司名>, 1.0.0.1]
  294.     [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
  295.     [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
  296.     [C:\KAV2007\KAScript.DLL]  [Kingsoft Corporation, 2007, 3, 6, 75]
  297.     [C:\KAV2007\KAEPlat.DLL]  [Kingsoft Corp., 2007, 2, 4, 61]
  298.     [C:\KAV2007\KAEMem.DAT]  [Kingsoft, 2006, 9, 25, 16]
  299.     [C:\KAV2007\KAEUnpack.DAT]  [Kingsoft Corp., 2007, 3, 12, 114]
  300.     [C:\WINDOWS\system32\xpsp3res.dll]  [Microsoft Corporation, 5.1.2600.3059 (xpsp_sp2_gdr.070104-0050)]
  301. [PID: 4036][D:\工具\SRENG\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
  302.     [C:\KAV2007\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
  303.     [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
  304.     [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
  305.     [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2006, 12, 21, 241]
  306. ==================================
  307. 文件关联
  308. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  309. .EXE  OK. ["%1" %*]
  310. .COM  OK. ["%1" %*]
  311. .PIF  OK. ["%1" %*]
  312. .REG  OK. [regedit.exe "%1"]
  313. .BAT  OK. ["%1" %*]
  314. .SCR  OK. ["%1" /S]
  315. .CHM  OK. ["C:\WINDOWS\hh.exe" %1]
  316. .HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
  317. .INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
  318. .INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
  319. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  320. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  321. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]
  322. ==================================
  323. Winsock 提供者
  324. N/A
  325. ==================================
  326. Autorun.inf
  327. N/A
  328. ==================================
  329. HOSTS 文件
  330. 127.0.0.1       localhost
  331. ==================================
  332. API HOOK
  333. 入口点错误:LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: C:\KAV2007\KASocket.dll)
  334. ==================================
  335. 隐藏进程
  336. N/A
  337. ==================================
复制代码
回复

使用道具 举报

发表于 2007-4-11 02:00:06 | 显示全部楼层
---> 升级权限
C:\Documents and Settings\Administrator\Local Settings\Application Data\c23235.exe
=====================
C:\WINDOWS\c25409.exe
=====================
C:\Program Files\Common Files\d1216.exe
=====================
C:\Documents and Settings\NetworkService\Local Settings\History\d16704.exe
=====================
C:\Documents and Settings\NetworkService\Local Settings\History\E28463.exe
=====================
C:\Documents and Settings\NetworkService\My Documents\My Pictures\E24405.exe
=====================
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\J16669.exe
=====================
C:\Documents and Settings\NetworkService\Application Data\J13650.exe
=====================
C:\Documents and Settings\NetworkService\Local Settings\Application Data\c23235.exe
=====================
C:\WINDOWS\c25409.exe
=====================
C:\Documents and Settings\All Users\Documents\I5921.exe
=====================
C:\Documents and Settings\NetworkService\My Documents\My Pictures\I22355.exe
=====================
C:\Documents and Settings\NetworkService\My Documents\F6444.exe
=====================
C:\Documents and Settings\All Users\「开始」菜单\程序\管理工具\F15701.exe
=====================
以上这些EXE文件都删了吧

C:\PROGRA~1\nllk\omml.dll =======nllk这个目录是你自己安装的应用程序吗?omml.dll的属性是否有版本信息和说明?严重怀疑这个文件,但无氟确定,你要提供更详细的信息才能判断。
=========================
C:\Program Files\Dream Aquarium\yhihhfl.exe ====你安装了梦幻水族馆的屏保?yhihhfl.exe 的文件图标是什么?文件属性呢?
=========================
C:\WINDOWS\system32\CMDLL32.EXE =======有看到这个文件了,希望下面能出现BR0WSEU1.DLL:)
=========================
C:\WINDOWS\system32\drivers\EagleNT.sys
C:\WINDOWS\system32\drivers\kmsinput.sys
搜索了一下,EagleNT.sys是个游戏反外挂的驱动,所以估计kmsinput.sys也是类似的东西,建议先备份,然后等病毒清除了,系统正常了再停止这2个服务(现在你的kmsinput.sys服务是停止的),删除文件,然后运行相关的游戏,看看是否正常,不行的话再还原备份;
============================
loejvkmp / loejvkmp]  <\SystemRoot\System32\DRIVERS\loejvkmp.sys
===Yahoo! China Corporation,靠,雅虎的东西,还添加了服务和虚拟驱动,估计也是垃圾东西,先到系统属性的设备管理器,显示隐含的设备,卸载loejvkmp的驱动,重启,停止loejvkmp服务,然后删除文件;
===========================
{CD6C2ABD-F988-40CA-B834-74C3EF0F5B14} <C:\WINDOWS\system32\BR0WSEU1.DLL=====嗯,论坛里三个中了CMDLL32的,都有这个BR0WSEU1.DLL了,嘿嘿!
===========================
F58AB49F-BBDB-4DAB-98F6-D269AC7AD57D} <C:\WINDOWS\system32\BR0WSER.DLL
===========================

评分

参与人数 2无忧币 +20 收起 理由
sansa520 + 10 我很赞同
6618 + 10

查看全部评分

回复

使用道具 举报

发表于 2007-4-11 02:02:10 | 显示全部楼层
---> 升级权限

想看看你们的设备管理器的虚拟驱动

想看看你们的设备管理器的虚拟驱动~~~~~~~~~~~~~~~~~~
01.JPG
回复

使用道具 举报

发表于 2007-4-11 11:10:14 | 显示全部楼层
---> 升级权限
原帖由 大雨落幽燕 于 2007-4-11 02:00 AM 发表
C:\Documents and Settings\Administrator\Local Settings\Application Data\c23235.exe
=====================
C:\WINDOWS\c25409.exe
=====================
C:\Program Files\Common Files\d1216.exe
= ...

分析得很透彻..果然是高手..加点分.
回复

使用道具 举报

9304453
发表于 2007-4-11 14:10:26 | 显示全部楼层
---> 升级权限

我也遇到过这个CMDLL32。EXE

国外报告为新蠕虫,但是有一部分人说那是威金变种。
杀毒软件对这个东西还没有办法,等吧。暂时还没发现对系统有什么危害。个人认为这东西带木马成分居多,但也不排除会等到某一天发作。。哈哈
回复

使用道具 举报

 楼主| 发表于 2007-4-11 14:27:41 | 显示全部楼层
---> 升级权限
继续说我机房的情况,不知道说的对不对,高手们先看吧。我接网线cmdll32进程存在,不接网线cmdll32进程不存在,还是发hijack的日志吧
1拔线
HijackThis_815汉化版扫描日志 V1.99.1
保存于      4:13:59, 日期 2005-5-19
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v5.00 SP4 (5.00.2920.0000)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
D:\GreatWall\Eclassroom\lanclt.exe
C:\WINNT\system32\taskmgr.exe
E:\WinRAR\WinRAR.exe
C:\WINNT\system32\mmc.exe
E:\WinRAR\WinRAR.exe
C:\DOCUME~1\xs1\LOCALS~1\Temp\Rar$EX00.734\HijackThis1991zww.exe

O2 - BHO: IEExt Class - {634539A8-7FA8-45E2-8DC3-253AF98548A1} - C:\WINNT\system\MFS0FT.DLL
O2 - BHO: IEHelp Class - {ED863792-FADB-4D21-8B20-409DA940B7A2} - C:\WINNT\system\PDFAid.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "d:\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [LanStar Client] d:\GreatWall\Eclassroom\CltLoad.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [ST0RMSetEx] C:\WINNT\system32\rundll32.exe C:\WINNT\system\AV1CAP.dll,Run
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Networks\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Networks\Thunder\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E891D6-2285-4494-91B0-108CA1703CA4}: NameServer = 202.103.44.5,202.103.0.117
O20 - Winlogon Notify: DfLogon - C:\WINNT\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

2接线
HijackThis_815汉化版扫描日志 V1.99.1
保存于      4:06:46, 日期 2005-5-19
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v5.00 SP4 (5.00.2920.0000)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
D:\GreatWall\Eclassroom\lanclt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\CMDLL32.EXE
C:\WINNT\system32\conime.exe
C:\WINNT\system32\mmc.exe
C:\WINNT\system32\RUNDLL32.EXE
E:\WinRAR\WinRAR.exe
C:\DOCUME~1\xs1\LOCALS~1\Temp\Rar$EX00.578\HijackThis1991zww.exe

O2 - BHO: IE6Image Class - {CD6C2ABD-F988-40CA-B834-74C3EF0F5B14} - C:\WINNT\system32\BR0WSEU1.DLL
O2 - BHO: IEHelp Class - {ED863792-FADB-4D21-8B20-409DA940B7A2} - C:\WINNT\system\PDFAid.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "d:\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [LanStar Client] d:\GreatWall\Eclassroom\CltLoad.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Networks\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Networks\Thunder\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{50E891D6-2285-4494-91B0-108CA1703CA4}: NameServer = 202.103.44.5,202.103.0.117
O20 - Winlogon Notify: DfLogon - C:\WINNT\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: COMMAND DLL32 (CMD_DLL32) - Unknown owner - C:\WINNT\system32\CMDLL32.EXE
O23 - NT 服务: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe


我现在很同意一个朋友说的:C:\WINNT\system32\BR0WSEU1.DLL很可疑。
我找到BR0WSEU1.DLL 发现没有公司名  用icesword发现该文件依附在explorer.exe进程里。。
卸载改文件 才能删。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-11 15:02:47 | 显示全部楼层
---> 升级权限
进程文件: REM0REG 或 REM0REG.EXE
进程分析: 该病毒修改注册表创建系统服务REM0TEREGISTRY实现自启动,并将病毒模块MFS0FT.DLL注入进程。
昨天不断弹页面估计就是它了
我觉得我已经差不多快搞清楚问题了
回复

使用道具 举报

xzh
发表于 2007-4-11 22:14:12 | 显示全部楼层
---> 升级权限

CMDLL32.EXE监视键盘输入

我前几天同时染了CMDLL32.EXE和ATTRLB.EXE,在c:\system32文件夹里,症状为每次打开“我的电脑”都有二个DOS窗口闪过,上网时不时有广告网页弹出,关机速度很慢。ATTRLB.EXE删除后重启没有再出现,而CMDLL32.EXE删除后重启又出现,安全模式下也不行,毒霸、反间谍专家等都清除不了,网上也搜不到清除的好办法。后来我在CMDLL32.EXE文件的属性里发现CONAGENT.EXE这个文件,在c:\windows\system\里,把CONAGENT.EXE删除后,打开“我的电脑”不再有DOS窗口闪过,广告网页也不再弹出,但CMDLL32.EXE依然重启又出现。后来综合各大虾分析,认为c:\system32\里的Br0wseu1.dll也有问题,于是删除,再打开注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices里有关CMDLL32.EXE的键值,重启系统,OK。这是我清除CMDLL32.EXE的全过程,贴上来希望能对大家清除顽固的CMDLL32.EXE有所帮助。对了,我的操作系统是win98的。:)
回复

使用道具 举报

发表于 2007-4-11 22:33:03 | 显示全部楼层
---> 升级权限

清除顽固病毒的思路

建议用以下软件配合使用:(处理顽固病毒,前提是其他能杀的毒都已经被解决或用下面的方法可以解决的)
Procexp10.20、autoruns(带毒系统中使用请先更改扩展名为scr,防止感染)
对于2k&xp&2003而言,还是进入安全模式后运行,打开上述软件,Procexp10中结束可疑进程,autoruns中删除各标签中的可疑项,运行“服务(services.msc)”,按启动类型排列,检查中间启动类型为自动,而安全模式中没有启动的条目,将可疑条目更改成手动或禁用,在windows系统盘找到病毒文件,删除可以删除的;重新启动计算机,进入安全模式或正常模式下杀毒、清理注册表项。

[ 本帖最后由 52lemontree 于 2007-4-11 10:38 PM 编辑 ]

autoruns.rar

136.75 KB, 下载次数: 16, 下载积分: 无忧币 -2

回复

使用道具 举报

12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1|闽公网安备35020302032614号 )

GMT+8, 2026-4-20 05:24

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表