遭遇Cli5.exe,DNFchin.exe,362.VBS,,svhot.exe,userdata.dll,oshajf.sys等
朋友电脑桌面上有金山毒霸2012的图标,但任务栏托盘区没有金山毒霸监控程序的图标。按 Ctrl+Alt+Del打开任务管理器,发现一些奇怪的进程。估计是中了恶意程序。
pe_xscan 11-03-17 by Purple Endurer
2012-2-23 10:44:50
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
带网络连接的安全模式
[System Process]*0
C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||
C:\WINDOWS\system32\winlogon.exe*628|2008-4-24 0:14:3|Microsoft(R) Windows(R) Operating System|5.1.2600.5512|Windows NT Logon Application|(C) Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2113)|Microsoft Corporation|?|winlogon|WINLOGON.EXE
C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||
C:\WINDOWS\system32\svchost.exe*948|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe
C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
C:\WINDOWS\system32\svchost.exe*1096|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe
c:\progra~1\%program files%\wdcp.dll|2012-2-21 16:19:42|QQ2010|1, 55, 1870, 1|QQ2010|Copyright ? 2010 Tencent. All Rights Reserved|1, 55, 1870, 1|Tencent||QQ2010|QQ2010
C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
C:\WINDOWS\system32\svchost.exe*1128|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe
C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
C:\WINDOWS\system32\userinit.exe*1488|2008-4-14 20:0:0
C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
C:\DOCUME~1\Cli5.exe*1496|2012-2-21 16:46:52|EngineClicker|1.00|?|?|1.00|微软中国|?|EngineClicker4|EngineClicker4.exe
C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||
C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
C:\WINDOWS\explorer.exe*1520|2008-4-14 20:0:0|Microsoft(R) Windows(R) Operating System|6.00.2900.5512|Windows Explorer|(C) Microsoft Corporation. All rights reserved.|6.00.2900.5512 (xpsp.080413-2105)|Microsoft Corporation|?|explorer|EXPLORER.EXE
C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||
C:\Program Files\Common Files\whh37001.ocx|2012-2-21 16:8:6
C:\WINDOWS\system32\yumsimg32.dll|2012-2-21 16:9:29|Microsoft? Windows? Operating System|5.1.2600.5512|GDIEXT Client DLL|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2105)|Microsoft Corporation|?|gdiext|gdiext
C:\WINDOWS\system32\sysapp1.dll|2012-2-21 16:11:54
C:\WINDOWS\system32\sysapp2.dll|2012-2-21 16:9:46
C:\WINDOWS\system32\sysapp5.dll|2012-2-21 16:12:46
C:\WINDOWS\system32\sysapp6.dll|2012-2-21 16:11:48
C:\WINDOWS\system32\sysapp8.dll|2012-2-21 16:9:30
C:\WINDOWS\system32\sysapp9.dll|2012-2-21 16:12:1
C:\WINDOWS\system32\sysapp17.dll|2012-2-21 16:12:15
C:\WINDOWS\system32\sysapp18.dll|2012-2-21 16:12:7
C:\WINDOWS\system32\sysapp19.dll|2012-2-21 16:10:35
C:\WINDOWS\system32\sysapp21.dll|2012-2-21 16:12:21
C:\WINDOWS\system32\sysapp23.dll|2012-2-21 16:10:1
C:\WINDOWS\system32\sysapp29.dll|2012-2-21 16:11:28
C:\WINDOWS\system32\sysapp33.dll|2012-2-21 16:11:42
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pbhmcv.exe*1980|2012-2-23 10:37:35|DHTMLProject|1.00|?|?|1.00|微软中国|?|1003|1003.exe
C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||
C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
F2 - REG: system.ini: UserInit = <C:\WINDOWS\system32\userinit.exe C:\DOCUME~1\Cli5.exe> |2008-4-14 20:0:0
F3 - REG: win.ini: load C:\WINDOWS\DNFchin.exe
O4 - HKCU\..\run: [LockIE] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie.exe /r
O4 - HKLM\..\run: [OpwareSE4] C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\run: [] file c:\windows\362.VBS
O4 - HKLM\..\run: [pp_click] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1544937.exe
O4 - HKLM\..\run: [ie] c:\windows\svhot.exe
O4 - HKLM\..\run: [cftmon] C:\Program Files\iexplores\iexplore.exe
O4 - HKLM\..\run: [Lll] %systemroot%\Lll.exe
O4 - Global Startup: 齐秀社区.lnk -> C:\Program Files\qixiu\Qixiu001.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet选项可能受到限制
O10 - LSP: Phoenix11LSP1020211c over MSAFD Tcpip [TCP/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
O10 - LSP: Phoenix11LSP1020211c over MSAFD Tcpip [UDP/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
O10 - LSP: Phoenix11LSP1020211c over MSAFD Tcpip [RAW/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
O10 - LSP: Phoenix11LSP1020211c = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51
O23 - 服务: 6to4 (VMserviceshi) - C:\WINDOWS\sYSTEM32\SVCHOST.EXE -K NETSVCS|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe
-> C:\Documents and Settings\Local User\userdata.dll|2005-4-19 16:14:0(自动)
O23 - 服务: AppMgmt (Application Management) - C:\WINDOWS\system32\svchost.exe -k netsvcs|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe
-> C:\Progra~1\%Program Files%\Wdcp.dll|2012-2-21 16:19:42|QQ2010|1, 55, 1870, 1|QQ2010|Copyright ? 2010 Tencent. All Rights Reserved|1, 55, 1870, 1|Tencent||QQ2010|QQ2010(自动)
O23 - 服务: gmsgqn () - C:\Documents and Settings\All Users\Application Data\QEILCRW\gmsgqn.bin|2012-2-21 16:14:36(自动)
O23 - 服务: HidServ (Human Interface Device Access) - C:\WINDOWS\System32\svchost.exe -k netsvcs|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe
-> C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\feguf.cc3|2012-2-21 16:13:15(自动)
O23 - 服务: jolrdk () - C:\Documents and Settings\All Users\Application Data\QEILCRW\jolrdk.bin(自动)
O23 - 服务: oshajf () - C:\WINDOWS\system32\drivers\oshajf.sys|2012-2-21 16:14:0(自动)
O23 - 服务: rsrqgp () - C:\Documents and Settings\All Users\Application Data\VHQXVVM\rsrqgp.bin(自动)
O23 - 服务: pwimuj () - C:\Documents and Settings\All Users\Application Data\VHQXVVM\pwimuj.bin|2012-2-21 16:47:48(自动)
O23 - 服务: SoftDaemo (SoftDaemo) - C:\WINDOWS\system32\drivers\SoftDaemo.sys|2012-2-23 10:37:26(手动)
O23 - 服务: 系统关键服务 (System Service) - C:\Program Files\smss.exe|2012-2-21 16:7:18|NAdminAPI Module|1, 0, 2, 21|NAdminAPI Module|(c) NHN Corporation. All rights reserved.|1, 0, 2, 21|NHN Corp.|?|NAdminAPI|NAdminAPI.exe(自动)
O25 - InsCom: {AENGFU3AA-B552-11d2-9CBD-0000F87A369E} = C:\WINDOWS\Tyuip\lsasp.exe
O25 - InsCom: {AENGFU3AA-B933-11d2-9CBD-0000F87A369E} = C:\WINDOWS\Qedie\conime.exe
O29 - HKCU-Start Page = hxxp://www.daohangbai.com
O29 - HKUS-Start Page = hxxp://www.114la.com/index.htm
O30 - OpenHttp = C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.9966dh.com/?1(CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command) C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch
启动 Internet Explorer 浏览器.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE hxxp://www.2345.com/?9011
酷屏.lnk-> 非lnk文件
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
齐秀社区.lnk -> C:\Program Files\qixiu\Qixiu001.exe
C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\Quick Launch
启动 Internet Explorer 浏览器.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE hxxp://www.2345.com/?9011
文件说明符 : C:\DOCUME~1\Cli5.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : EngineClicker
公司名称 : 微软中国
内部名称 : EngineClicker4
源文件名 : EngineClicker4.exe
创建时间 : 2012-2-21 16:46:49
修改时间 : 2012-2-21 16:46:52
大小 : 106569 字节 104.73 KB
MD5 : 7e4cd025b1b27f184a48048b9858892a
SHA1: 4D90F828F6D2D85DE0A510A69F3F924FD3F963E6
CRC32: de1c372e
文件说明符 : C:\WINDOWS\DNFchin.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.2.2.9
说明 : DNF Launcher
版权 : 作者版权所有 请尊重并使用正版
备注 : DNF
产品版本 : 1.2.2.9
产品名称 : DNFchina
创建时间 : 2012-2-21 16:9:56
修改时间 : 2012-2-21 16:10:2
大小 : 5312512 字节 5.68 MB
MD5 : 28efa93866c5c6e8c0a0f0fca29ae794
SHA1: AFDCB6125B1C563D585F7A366B2F0E67485DE372
CRC32: c8f5711d
文件说明符 : c:\windows\362.VBS
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2012-2-21 16:19:40
修改时间 : 2012-2-21 16:19:40
大小 : 111 字节
MD5 : ebacecdbb8a4f62f0b1a3e1d03d0c146
SHA1: 8A2D0840BB07070B8C04F440C47DD2285FB6BBD7
CRC32: 36e98201
文件说明符 : c:\windows\svhot.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : DHTMLProject
公司名称 : 微软中国
内部名称 : 1003
源文件名 : 1003.exe
创建时间 : 2012-2-21 16:14:5
修改时间 : 2012-2-21 16:14:5
大小 : 65536 字节 64.0 KB
MD5 : 3d8020fc70afec5fb479377c221f86dc
SHA1: 2EC8C288EE9290145F88C68334142520F3BAFB2E
CRC32: 8b2944db
文件说明符 : C:\Program Files\iexplores\iexplore.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:46:49
修改时间 : 2012-2-3 14:40:58
大小 : 146944 字节 143.512 KB
MD5 : b1ea74eaa518d6840ae93734f9b53e88
SHA1: DDD3E47A7DC64BA2BFDAF9952216E3814F6C2693
CRC32: d672c138
文件说明符 : C:\Documents and Settings\Local User\userdata.dll
属性 : -SHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2005-4-19 16:14:0
修改时间 : 2005-4-19 16:14:0
大小 : 103478 字节 101.54 KB
MD5 : c4a85d47e066767fa8a04dbfd0952c35
SHA1: E8292D673DF557F8880DE068904A4112E1B0857D
CRC32: 36fa7317
文件说明符 : C:\WINDOWS\system32\drivers\oshajf.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:14:0
修改时间 : 2008-4-14 20:0:0
大小 : 28976 字节 28.304 KB
MD5 : a22f2586ae56554598862c2004f2a4da
SHA1: BF41179BED54DA5167EB6E2B37710B60054DEA03
CRC32: 39ed9ea1
文件说明符 : C:\Documents and Settings\All Users\Application Data\VHQXVVM\pwimuj.bin
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:47:48
修改时间 : 2008-4-14 20:0:0
大小 : 29440 字节 28.768 KB
MD5 : 639c17ec244e166807e6d0a82b5767ed
SHA1: BCE836F00EB288EC2B7A4AFD8D0E8E1FB5B16D44
CRC32: 251d4e90
文件说明符 : C:\Program Files\smss.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 2, 21
说明 : NAdminAPI Module
版权 : (c) NHN Corporation. All rights reserved.
产品版本 : 1, 0, 2, 21
产品名称 : NAdminAPI Module
公司名称 : NHN Corp.
内部名称 : NAdminAPI
源文件名 : NAdminAPI.exe
创建时间 : 2012-2-21 16:7:16
修改时间 : 2012-2-21 16:7:18
大小 : 16442880 字节 15.697 MB
MD5 : be29845d09682d686b00daa179876151
SHA1: 811BD583C729D3AF8D1F5D9632B97F28CC540C42
CRC32: 74407bb4
文件说明符 : c:\windows\system32\explore.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : tongji_ie_mfc Microsoft 基础类应用程序
版权 : 版权所有 (C) 2012
产品版本 : 1, 0, 0, 1
产品名称 : tongji_ie_mfc 应用程序
内部名称 : tongji_ie_mfc
源文件名 : tongji_ie_mfc.EXE
创建时间 : 2012-2-21 16:13:49
修改时间 : 2012-2-21 16:13:49
大小 : 7680 字节 7.512 KB
MD5 : 38c2364e92026113a0df8449fe012605
SHA1: 0B988059B908FE8443479586FAB4757694477913
CRC32: 53c63971
文件说明符 : d:\daili.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:12:12
修改时间 : 2012-2-21 16:12:17
大小 : 1859584 字节 1.792 MB
MD5 : 8cdc62230a77751b1fa8f18b3010ce6c
SHA1: BE24D8BCB2608A347042764CF8BD607651AE5A17
CRC32: 080ca542
文件说明符 : d:\daili.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:12:12
修改时间 : 2012-2-21 16:12:17
大小 : 1859584 字节 1.792 MB
MD5 : 8cdc62230a77751b1fa8f18b3010ce6c
SHA1: BE24D8BCB2608A347042764CF8BD607651AE5A17
CRC32: 080ca542
文件说明符 : D:\svchost.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 2.14.16.34
说明 : 完整版
版权 : 作者版权所有 请尊重并使用正版
备注 : svchost
产品版本 : 2.14.16.34
产品名称 : misofot
创建时间 : 2012-2-21 16:9:39
修改时间 : 2012-2-21 16:48:46
大小 : 2601299 字节 2.492 MB
MD5 : bc37d9fae09e9a329ee48518f26d1518
SHA1: 727FF9A0CFFE8C235B6D388F4C1B6F22577FF5BB
CRC32: e914d888