[wulom]

引用:

作者: pedrowong

下載 what's running, 將不正常執行程式殺掉及關閉不正常開機設定，或許可以解決。

http://www.whatsrunning.net/whatsrunning/download.aspx

pedro兄您好

感謝您提供這套很實用方便的程式，我下載後執行觀看是否有不明的程式正在執行，但列表裡所有正在running的程序密密麻麻，一下子我也找不出到底是哪些程序有問題。或許是還有哪些地方有異常的我還沒發現吧。總之，這個程式讓我受益良多，我會再研究看看的！

引用:

作者: plunderer

"av 終結者" 專殺工具只是比較方便 使用, 但只能治標, 不能治本, 暫時讓系統正常而已, 所以才會有刪不掉的以及刪掉又回來的檔案依舊存在的情形

你的系統內應該還存在 autorun 病毒, 光靠防毒軟體及專殺工具是無法根治的
但我很好奇為何 HiJackThis 不能產生log

建議下載執行 System Repair Engineer
http://www.kztechs.com/sreng/download.html
"系統修復" => "高級修復" => "自動修復"
重新開機後, 再執行一次, 啟用智能掃描
http://www.kztechs.com/sreng/help2/
然後把 log 貼上來

plunderer前輩您好。一切就像您診斷的一樣，我的電腦仍有很大的和木馬或病毒相關的問題並沒有根治，最近發現還有一個異狀是，電腦開機到一半時，都會自動跳到藍底白英文字的系統出錯畫面，內容就是寫要確認磁碟檔案之類的，有三個步驟，每次到了第二個步驟，就完全卡住，不管放多久都不會動，連1%也沒有辦法執行。所以我只好都在第一步驟三秒內可按任意鍵跳過時跳過才能開機。

我下載了 System Repair Engineer ，並且執行完"自動修復"，重開機後，執行了智能掃描。使用這軟體時也出現了我電腦內異常的訊息，在"啟動專案"的"註冊表"裡，有兩排名字為"AppInit_DLLs"，在C:\WINDOWS\system32\RhdwE8NYdbqQ.dll裡，說被修改為非正常值，預設值為空，結果我修改成空白，雖修改成功，隨即又被自動改回原來錯誤的數值。以下為掃描的完整log，請您再撥冗幫我看看有哪裡需要做變更處理的，謝謝。 (註:因為全部有7萬多個字元，所以只好依序裁切成五篇送出。)

[code]

2009-07-07,06:10:36

System Repair Engineer 2.7.1.1261
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 3 (Build 2600) - 管理許可權用戶 - 完整功能

以下內容被選中：
所有的啟動項目（包括註冊表、開機檔案夾、服務等）
流覽器載入項
正在運行的進程（包括進程模組資訊）
文件關聯
Winsock 提供者
Autorun.inf
HOSTS 文件
進程特權掃描
計畫任務
API HOOK
隱藏進程


啟動專案
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Component Publisher]
<PPS Accelerator><C:\Program Files\PPStream\ppsap.exe> [(Verified)SHANGHAI ZHONGYUAN NETWORKS LIMITED]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><; > [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IgfxTray><C:\WINDOWS\system32\igfxtray.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
<HotKeysCmds><C:\WINDOWS\system32\hkcmd.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
<NetRover><; C:\WINDOWS\NetRover.exe> [File is missing]
<IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Component Publisher]
<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k> [File is missing]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Component Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><C:\WINDOWS\system32\RhdwE8NYdbqQ.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll> [File is missing]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll> [(Verified)Microsoft Windows Component Publisher]
<{03A80B1D-5C6A-42c2-9DFB-81B6005D8023}><C:\Program Files\Trend Micro\Tmas\sshook.dll> [File is missing]
<{750DBD56-AF03-47CB-BB28-BBF312B059F9}><C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon> []
<{AC933D46-96A7-4670-9292-E7C4126C071E}><C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon> []
<{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon> []
<{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon> []
<{CD95107F-52A5-42A4-9914-18949993E798}><C:\WINDOWS\fonts\tY5UFS434YYd.fon> []
<{51F88A10-09E6-4763-948F-1C8861003255}><C:\WINDOWS\fonts\MqppW9KYn.fon> []
<{F1C149F4-380C-4F8A-B87E-7393732B27C1}><C:\WINDOWS\system32\GsfMwDWD3.dll> []
<{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}><C:\WINDOWS\system32\EN7hzSreCat8.dll> []
<{E45C0FF6-B170-43B2-B897-6D02C43A2E18}><C:\WINDOWS\system32\ybM7kf9heVHDx.dll> []
<{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll> []
<{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll> []
<{39C1640B-E010-48CF-88A1-0D17A33AF9EA}><C:\WINDOWS\system32\dktXFYbT3G.dll> []
<{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll> []
<{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll> []
<{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll> []
<{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll> []
<{56441985-D4E7-4D1F-BA3A-000C647FAA00}><C:\WINDOWS\system32\RhdwE8NYdbqQ.dll> []
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]