史萊姆論壇 - 查看單個文章

psac · 2006-06-10, 01:36 PM

最近老是會莫名其妙地藍底白字畫面、重啟……
Q:
以上情況發生時毫無徵兆。即使重裝系統後大概隔個一兩天又會
發作。懷疑是其他分區感染了病毒，導致重裝後再次感染。但我用
卡巴全盤掃瞄後並無發現病毒。後又用ewido掃瞄發現有以下幾種木馬：
Trojan.Lmir.acp
TrackingCookie.Euroclick
Trojan.Susear.a
Downloader.Agent.s
Adware.BetterInternet
其中Downloader.Agent.s這個木馬竟然是在ZA的uninst和它的漢化壓縮包裝裝
中發現的。我用的ZA是在霏凡下載的，不過壓縮包裝裝卻是漢化新世紀做的。
以上木馬，不知是否就是造成我部機藍底白字畫面、重啟的元兇？望知情人告知我答案

A:

請用 System Repair Engineer 掃瞄一個log貼上來。
1 解壓縮Sreng2.zip
2 執行Sreng2.exe
3 智慧式掃瞄——掃瞄——儲存報告
4 把日誌sreng.log中的報告內容完整拷貝貼上來，不要修改。
掃瞄時請關閉所有你手動打開的程式
sreng操作和修復教程帖,教學區搜

System Repair Engineer （常用推薦）
說明：
System Repair Engineer(SREng) 是一款全新的、強有力的、可擴充的用於調整和修復你系統的免費工具，在這個工具的幫助下，你可以察覺你的系統故障並能夠很容易的修復他們。本工具的前身是 RegFix 註冊表關鍵值修復工具，由於 RegFix 註冊表關鍵值修復工具的局限性和當前系統環境的複雜性，我重新設計了一個新的軟件，即 System Repair Engineer (SREng) 。
下載：
SREng.exe
http://www.kztechs.com/sreng/sreng2.zip

Q:
那我要不要把那幾個木馬還原回去先？
A:
不需要了，直接按照所說的去做System Repair Engineer 掃描，發log上來就可以了

容易犛清你的狀態情況!

Q:
2006-06-07,23:23:20

System Repair Engineer 2.0.12.350 (2.0 RC 1)
Windows XP Professional Service Pack 2 - 管理權限用戶 - 完整功能

以下內容被選中：
所有的啟動專案（包括註冊表、啟動資料夾、服務等）
瀏覽器載入項
正在執行的工作行程（包括工作行程模塊訊息）
文件關聯

啟動專案
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<STYLEXP><; C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Zone Labs Client><C:\實用軟件\ZoneAlarm\zlclient.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><>

==================================
啟動資料夾
服務
[Ati HotKey Poller / Ati HotKey Poller]
<C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart]
<C:\WINDOWS\system32\ati2sgag.exe><>
[kavsvc / kavsvc]
<"C:\卡巴斯基\kavsvc.exe"><Kaspersky Lab>
[StyleXPService / StyleXPService]
<"C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe"><>
[TrueVector Internet Monitor / vsmon]
<C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service><Zone Labs, LLC>

==================================
瀏覽器載入項
[IDMIEHlprObj Class]
{0055C089-8582-441B-A0BF-17B458C2A3A8} <C:\實滌用萌軟砑件\IDM\IDMIECC.dll, N/A>
[Messenger]
{FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[MUWebControl Class]
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3} <C:\WINDOWS\system32\muweb.dll, Microsoft Corporation>
[IDMIEHlprObj Class]
{0055C089-8582-441B-A0BF-17B458C2A3A8} <C:\實滌用萌軟砑件\IDM\IDMIECC.dll, N/A>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\legitcheckcontrol.dll, Microsoft Corporation>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[MUWebControl Class]
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3} <C:\WINDOWS\system32\muweb.dll, Microsoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash.ocx, Macromedia, Inc.>
[使用 IDM 下載]
<C:\實用軟件\IDM\IEExt.htm, N/A>
[使用 IDM 下載所有鏈接]
<C:\實用軟件\IDM\IEGetAll.htm, N/A>
[匯出到 Microsoft Office Excel(&X)]
<res://C:\實用軟件\OFFICE~1\OFFICE11\EXCEL.EXE/3000, N/A>

==================================
正在執行的工作行程
[PID: 676][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 740][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 768][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\Ati2evxx.dll] <ATI Technologies Inc.><6.14.10.4119>
[PID: 812][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 824][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A>
[PID: 976][C:\WINDOWS\system32\Ati2evxx.exe] <ATI Technologies Inc.><6.14.10.4119>
[C:\WINDOWS\system32\Ati2edxx.dll] <ATI Technologies, Inc.><6, 14, 10, 2497>
[PID: 1000][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1088][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A>
[PID: 1200][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A>
[PID: 1232][C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe] <><0, 20, 0, 3000>
[PID: 1292][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A>
[PID: 1372][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A>
[PID: 1596][C:\WINDOWS\system32\wdfmgr.exe] <Microsoft Corporation><5.2.3790.1230 built by: DNSRV(bld4act)>
[PID: 1804][C:\WINDOWS\system32\Ati2evxx.exe] <ATI Technologies Inc.><6.14.10.4119>
[C:\WINDOWS\system32\Ati2edxx.dll] <ATI Technologies, Inc.><6, 14, 10, 2497>
[PID: 1904][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\icm32.dll] <Microsoft Corporation><5.1.2600.2709 (xpsp_sp2_gdr.050628-1518)>
[C:\Program Files\WinRAR\rarext.dll] <N/A><N/A>
[C:\卡巴斯基\shellex.dll] <Kaspersky Lab><5.0.388.1>
[C:\實用軟件\ewido anti-malware\context.dll] <ewido networks><1.0.0.1>
[C:\實用軟件\ewido anti-malware\lang.dll] <privat><1, 0, 0, 1>
[C:\實用軟件\ewido anti-malware\shellhook.dll] <N/A><N/A>
[PID: 416][C:\實用軟件\ZoneAlarm\zlclient.exe] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\VSUTIL.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\VSINIT.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\VSPUBAPI.dll] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\framewrk.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\VSUTIL_Loc0804.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\vsdata.dll] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\zlclient_Loc0804.dll] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\framewrk_Loc0804.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\vsmonapi.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\zlcomm.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\ZLCommDB.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\vsxml.dll] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\alert.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\alert_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\cam.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\cam_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\email.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\email_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\filter.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\filter_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\firewall.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\firewall_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\idlock.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\idlock_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\privacy.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\privacy_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\programs.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\programs_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\scan.zap] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\ZoneLabs\camupd.dll] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\scan_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\security.zap] <Zone Labs, LLC><6.1.744.000>
[C:\實用軟件\ZoneAlarm\security_Loc0804.zap] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\ZoneLabs\zlsre.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\ZoneLabs\scheduler.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\ZoneLabs\zlparser.dll] <Zone Labs, LLC><6.1.744.000>
[C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A>
[PID: 424][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 2988][C:\WINDOWS\system32\conime.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 3840][C:\DOCUME~1\Lucifer\LOCALS~1\Temp\Rar$EX00.485\SREng.exe] <Smallfrogs Studio><2.0.12.350>
[C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A>

==================================
文件關聯
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
IDM_LAYERED_MSAFD Tcpip [TCP/IP]
C:\WINDOWS\system32\idmmbc.dll(N/A, N/A)
IDM_LAYERED_MSAFD Tcpip [UDP/IP]
C:\WINDOWS\system32\idmmbc.dll(N/A, N/A)
IDM_LAYERED_RSVP UDP Service Provider
C:\WINDOWS\system32\idmmbc.dll(N/A, N/A)
IDM_LAYERED_RSVP TCP Service Provider
C:\WINDOWS\system32\idmmbc.dll(N/A, N/A)
IDM_LP
C:\WINDOWS\system32\idmmbc.dll(N/A, N/A)

==================================

A:

以看來...你的
SRENG掃瞄報告沒發現什麼問題

把有安裝的 ewido 掃木馬的軟體,他的掃瞄報告發上來

至於你是不是...把
卡巴斯基的網路攻擊防禦功能是否禁用了?

Q:
啊，我用的防火牆是ZA，平時我都是把卡巴的實時監控關掉的。
只有在下載完東西時用來查毒

A:

那上面說的ewido的日誌呢？先貼出來
卡巴斯基殺毒軟件的網路攻擊防禦元件可能和其他公司出品的防火牆軟件如ZoneAlarm、上網撥號軟件衝突
網路攻擊防禦不是完整的防火牆，防護不到位，而且它的入侵檢測機制也存在誤報,會把BT下載當作攻擊，建議禁用此功能。

實時保護設置－－－高階設置－－－網路，禁用網路攻擊實時防禦

Q:
正在查，剛才又莫名其妙地重啟一次
頭暈！為什麼我用ewido掃瞄過後的日誌是空的？
還有什麼好的掃瞄軟件可以診斷的嗎？

A:
請用本版的置！病毒救援區版規--(附常用工具+查毒網站)裡面的Blacklight掃瞄，看是否有有隱藏的rootkit。如沒問題...就
很有可能是軟件衝突造成的。藍底白字畫面的時候看錯誤報告是那個驅動或者其他什麼引起的嗎？
BlackLight Beta 2.2.1007
說明：F-Secure 的 Rootkit 免費查殺工具。
下載：http://www.europe.f-secure.com/exclu...ght/blbeta.exe

Q:
用Blacklight查過了,沒發現有什麼問題.好像每次藍底白字畫面的提示都不同的.以下是其中兩次我記錄下來的:
0X00000050(0XFFFFFF10,0X00000000,0XBF8243BF,0X00000000)
Win32k.sys-Address BF8243BF base at BF800000,Datestamp 43446a58

0X0000008E(0XC000001D,0X8054125B,0XEBDE1C7C,0X00000000)

A:
不管用不用卡巴監控，都要關閉網路監控那一項，否則和ZA有衝突。會重啟或藍底白字畫面。

Q:

都有這個可能，不過我覺得奇怪的是為什麼我第一次
同時裝卡巴和ZA時並沒關閉卡巴的網路監控，那時我
的系統用了很久都沒出現過藍底白字畫面和莫名其妙的重啟？
而且我發現現在藍底白字畫面或莫名其妙的重啟後硬碟老是只檢
測D盤的，對其他盤都不檢測的？（我的卡巴和ZA都裝
在C硬碟）。

剛才又藍了一下，提示訊息如下：
stop:0X0000008E(0XC000001D,0XF79122CB,0XF7A33184,0X00000000)
fetnd5.sys-Address F79122CB base at F7910000,
DateStamp 3b5818a8
請問這是什麼意思？剛才我想進入安全模式時這樣提示：「以下文件丟失，無法正常啟動系統。」
就是這個文件Windows\SYSTEM32\CONFIG\SYSTEM
怎麼會莫名其妙地丟失系統文件的？

A:
你現已排除軟體問題...那就是硬體的問題...通常
莫名其妙丟失系統文件的話，檢查記憶體，電源等硬體問題。
檢查CPU、顯示卡溫度是否正常，散熱情況怎麼樣，清潔機箱裡面的灰塵，把記憶體條重新插拔一下

2006-06-10, 01:36 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	最近老是會莫名其妙地藍底白字畫面、重啟…… 最近老是會莫名其妙地藍底白字畫面、重啟…… Q: 以上情況發生時毫無徵兆。即使重裝系統後大概隔個一兩天又會發作。懷疑是其他分區感染了病毒，導致重裝後再次感染。但我用卡巴全盤掃瞄後並無發現病毒。後又用ewido掃瞄發現有以下幾種木馬： Trojan.Lmir.acp TrackingCookie.Euroclick Trojan.Susear.a Downloader.Agent.s Adware.BetterInternet 其中Downloader.Agent.s這個木馬竟然是在ZA的uninst和它的漢化壓縮包裝裝中發現的。我用的ZA是在霏凡下載的，不過壓縮包裝裝卻是漢化新世紀做的。以上木馬，不知是否就是造成我部機藍底白字畫面、重啟的元兇？望知情人告知我答案 A: 請用 System Repair Engineer 掃瞄一個log貼上來。 1 解壓縮Sreng2.zip 2 執行Sreng2.exe 3 智慧式掃瞄——掃瞄——儲存報告 4 把日誌sreng.log中的報告內容完整拷貝貼上來，不要修改。掃瞄時請關閉所有你手動打開的程式 sreng操作和修復教程帖,教學區搜 System Repair Engineer （常用推薦）說明： System Repair Engineer(SREng) 是一款全新的、強有力的、可擴充的用於調整和修復你系統的免費工具，在這個工具的幫助下，你可以察覺你的系統故障並能夠很容易的修復他們。本工具的前身是 RegFix 註冊表關鍵值修復工具，由於 RegFix 註冊表關鍵值修復工具的局限性和當前系統環境的複雜性，我重新設計了一個新的軟件，即 System Repair Engineer (SREng) 。下載： SREng.exe http://www.kztechs.com/sreng/sreng2.zip Q: 那我要不要把那幾個木馬還原回去先？ A: 不需要了，直接按照所說的去做System Repair Engineer 掃描，發log上來就可以了容易犛清你的狀態情況! Q: 2006-06-07,23:23:20 System Repair Engineer 2.0.12.350 (2.0 RC 1) Windows XP Professional Service Pack 2 - 管理權限用戶 - 完整功能以下內容被選中：所有的啟動專案（包括註冊表、啟動資料夾、服務等）瀏覽器載入項正在執行的工作行程（包括工作行程模塊訊息）文件關聯啟動專案註冊表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <STYLEXP><; C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide> [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Zone Labs Client><C:\實用軟件\ZoneAlarm\zlclient.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <Userinit><C:\WINDOWS\system32\userinit.exe,> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> ================================== 啟動資料夾服務 [Ati HotKey Poller / Ati HotKey Poller] <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.> [ATI Smart / ATI Smart] <C:\WINDOWS\system32\ati2sgag.exe><> [kavsvc / kavsvc] <"C:\卡巴斯基\kavsvc.exe"><Kaspersky Lab> [StyleXPService / StyleXPService] <"C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe"><> [TrueVector Internet Monitor / vsmon] <C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service><Zone Labs, LLC> ================================== 瀏覽器載入項 [IDMIEHlprObj Class] {0055C089-8582-441B-A0BF-17B458C2A3A8} <C:\實滌用萌軟砑件\IDM\IDMIECC.dll, N/A> [Messenger] {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation> [WUWebControl Class] {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation> [MUWebControl Class] {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} <C:\WINDOWS\system32\muweb.dll, Microsoft Corporation> [IDMIEHlprObj Class] {0055C089-8582-441B-A0BF-17B458C2A3A8} <C:\實滌用萌軟砑件\IDM\IDMIECC.dll, N/A> [Windows Genuine Advantage Validation Tool] {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\legitcheckcontrol.dll, Microsoft Corporation> [WUWebControl Class] {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation> [MUWebControl Class] {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} <C:\WINDOWS\system32\muweb.dll, Microsoft Corporation> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash.ocx, Macromedia, Inc.> [使用 IDM 下載] <C:\實用軟件\IDM\IEExt.htm, N/A> [使用 IDM 下載所有鏈接] <C:\實用軟件\IDM\IEGetAll.htm, N/A> [匯出到 Microsoft Office Excel(&X)] <res://C:\實用軟件\OFFICE~1\OFFICE11\EXCEL.EXE/3000, N/A> ================================== 正在執行的工作行程 [PID: 676][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 740][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 768][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\Ati2evxx.dll] <ATI Technologies Inc.><6.14.10.4119> [PID: 812][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 824][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A> [PID: 976][C:\WINDOWS\system32\Ati2evxx.exe] <ATI Technologies Inc.><6.14.10.4119> [C:\WINDOWS\system32\Ati2edxx.dll] <ATI Technologies, Inc.><6, 14, 10, 2497> [PID: 1000][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 1088][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A> [PID: 1200][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A> [PID: 1232][C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe] <><0, 20, 0, 3000> [PID: 1292][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A> [PID: 1372][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A> [PID: 1596][C:\WINDOWS\system32\wdfmgr.exe] <Microsoft Corporation><5.2.3790.1230 built by: DNSRV(bld4act)> [PID: 1804][C:\WINDOWS\system32\Ati2evxx.exe] <ATI Technologies Inc.><6.14.10.4119> [C:\WINDOWS\system32\Ati2edxx.dll] <ATI Technologies, Inc.><6, 14, 10, 2497> [PID: 1904][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\icm32.dll] <Microsoft Corporation><5.1.2600.2709 (xpsp_sp2_gdr.050628-1518)> [C:\Program Files\WinRAR\rarext.dll] <N/A><N/A> [C:\卡巴斯基\shellex.dll] <Kaspersky Lab><5.0.388.1> [C:\實用軟件\ewido anti-malware\context.dll] <ewido networks><1.0.0.1> [C:\實用軟件\ewido anti-malware\lang.dll] <privat><1, 0, 0, 1> [C:\實用軟件\ewido anti-malware\shellhook.dll] <N/A><N/A> [PID: 416][C:\實用軟件\ZoneAlarm\zlclient.exe] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\VSUTIL.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\VSINIT.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\VSPUBAPI.dll] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\framewrk.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\VSUTIL_Loc0804.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\vsdata.dll] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\zlclient_Loc0804.dll] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\framewrk_Loc0804.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\vsmonapi.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\zlcomm.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\ZLCommDB.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\vsxml.dll] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\alert.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\alert_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\cam.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\cam_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\email.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\email_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\filter.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\filter_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\firewall.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\firewall_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\idlock.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\idlock_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\privacy.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\privacy_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\programs.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\programs_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\scan.zap] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\ZoneLabs\camupd.dll] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\scan_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\security.zap] <Zone Labs, LLC><6.1.744.000> [C:\實用軟件\ZoneAlarm\security_Loc0804.zap] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\ZoneLabs\zlsre.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\ZoneLabs\scheduler.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\ZoneLabs\zlparser.dll] <Zone Labs, LLC><6.1.744.000> [C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A> [PID: 424][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 2988][C:\WINDOWS\system32\conime.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 3840][C:\DOCUME~1\Lucifer\LOCALS~1\Temp\Rar$EX00.485\SREng.exe] <Smallfrogs Studio><2.0.12.350> [C:\WINDOWS\system32\idmmbc.dll] <N/A><N/A> ================================== 文件關聯 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock 提供者 IDM_LAYERED_MSAFD Tcpip [TCP/IP] C:\WINDOWS\system32\idmmbc.dll(N/A, N/A) IDM_LAYERED_MSAFD Tcpip [UDP/IP] C:\WINDOWS\system32\idmmbc.dll(N/A, N/A) IDM_LAYERED_RSVP UDP Service Provider C:\WINDOWS\system32\idmmbc.dll(N/A, N/A) IDM_LAYERED_RSVP TCP Service Provider C:\WINDOWS\system32\idmmbc.dll(N/A, N/A) IDM_LP C:\WINDOWS\system32\idmmbc.dll(N/A, N/A) ================================== A: 以看來...你的 SRENG掃瞄報告沒發現什麼問題把有安裝的 ewido 掃木馬的軟體,他的掃瞄報告發上來至於你是不是...把卡巴斯基的網路攻擊防禦功能是否禁用了? Q: 啊，我用的防火牆是ZA，平時我都是把卡巴的實時監控關掉的。只有在下載完東西時用來查毒 A: 那上面說的ewido的日誌呢？先貼出來卡巴斯基殺毒軟件的網路攻擊防禦元件可能和其他公司出品的防火牆軟件如ZoneAlarm、上網撥號軟件衝突網路攻擊防禦不是完整的防火牆，防護不到位，而且它的入侵檢測機制也存在誤報,會把BT下載當作攻擊，建議禁用此功能。實時保護設置－－－高階設置－－－網路，禁用網路攻擊實時防禦 Q: 正在查，剛才又莫名其妙地重啟一次頭暈！為什麼我用ewido掃瞄過後的日誌是空的？還有什麼好的掃瞄軟件可以診斷的嗎？ A: 請用本版的置！病毒救援區版規--(附常用工具+查毒網站)裡面的Blacklight掃瞄，看是否有有隱藏的rootkit。如沒問題...就很有可能是軟件衝突造成的。藍底白字畫面的時候看錯誤報告是那個驅動或者其他什麼引起的嗎？ BlackLight Beta 2.2.1007 說明：F-Secure 的 Rootkit 免費查殺工具。下載：http://www.europe.f-secure.com/exclu...ght/blbeta.exe Q: 用Blacklight查過了,沒發現有什麼問題.好像每次藍底白字畫面的提示都不同的.以下是其中兩次我記錄下來的: 0X00000050(0XFFFFFF10,0X00000000,0XBF8243BF,0X00000000) Win32k.sys-Address BF8243BF base at BF800000,Datestamp 43446a58 0X0000008E(0XC000001D,0X8054125B,0XEBDE1C7C,0X00000000) A: 不管用不用卡巴監控，都要關閉網路監控那一項，否則和ZA有衝突。會重啟或藍底白字畫面。 Q: 都有這個可能，不過我覺得奇怪的是為什麼我第一次同時裝卡巴和ZA時並沒關閉卡巴的網路監控，那時我的系統用了很久都沒出現過藍底白字畫面和莫名其妙的重啟？而且我發現現在藍底白字畫面或莫名其妙的重啟後硬碟老是只檢測D盤的，對其他盤都不檢測的？（我的卡巴和ZA都裝在C硬碟）。剛才又藍了一下，提示訊息如下： stop:0X0000008E(0XC000001D,0XF79122CB,0XF7A33184,0X00000000) fetnd5.sys-Address F79122CB base at F7910000, DateStamp 3b5818a8 請問這是什麼意思？剛才我想進入安全模式時這樣提示：「以下文件丟失，無法正常啟動系統。」就是這個文件Windows\SYSTEM32\CONFIG\SYSTEM 怎麼會莫名其妙地丟失系統文件的？ A: 你現已排除軟體問題...那就是硬體的問題...通常莫名其妙丟失系統文件的話，檢查記憶體，電源等硬體問題。檢查CPU、顯示卡溫度是否正常，散熱情況怎麼樣，清潔機箱裡面的灰塵，把記憶體條重新插拔一下此帖於 2006-06-11 05:07 PM 被 psac 編輯.
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次