‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[求助] 求高手帮个忙,解决一下,谢谢!

khe90822

新兵

积分
10 
威望
21  
元宝
0  
铜钱
15  
1楼 发表于 2008-6-24 12:45  只看该作者

求高手帮个忙,解决一下,谢谢!

请问什么是[映象劫持],有了该怎么办,谢谢!

TOP

风灵草

中将

积分
11727 
威望
23047  
元宝
0  
铜钱
9928  

天才奖 原创先锋奖 星光奖 新人进步奖 最拉风人物 金点子奖

2楼 发表于 2008-6-24 15:11  只看该作者
有报告吗?
天壤的劫火·阿拉斯托鲁的火焰之雾·炎发和灼眼的追踪者

TOP

khe90822

新兵

积分
10 
威望
21  
元宝
0  
铜钱
15  
3楼 发表于 2008-6-25 11:49  只看该作者
到出报告


金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间:            2000-06-25, 11:49
诊断平台:            Windows XP [5.1.2600] Service Pack 2
IE版本:              Internet Explorer V7.0.13.5730
计算机物理内存:      511(MB)
当前可用内存:        305(MB)
硬盘总大小:          74(GB)
硬盘可用空间:        57(GB)
清理专家版本:        2008.05.16.95
恶意软件库版本:      2008.05.12.1
漏洞库版本:          2008.04.09.1


==============================================================
        映像劫持
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
        <AntiArp.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <DrvAnti.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <filemon.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <GFRing3.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <GFUpd.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <GuardField.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <KPPMain.exe>        <ntsd -D>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <OllyDBG.EXE>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <OllyICE.EXE>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <RawCopy.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <regmon.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <RegTool.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <rfwstub.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <safeboxTray.exe>        <ntsd -D>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]
        <tqat.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

==============================================================
        App Init DLLs
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
          [AppInit_DLLs]        <  >

==============================================================
        启动文件夹位置
==============================================================
Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:             C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动
==============================================================
        Host File
==============================================================
127.0.0.1       localhost
==============================================================
        系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [helpsvc] [已禁用]             <%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll>
        [HidServ] [已禁用]             <%SystemRoot%\System32\hidserv.dll>
        [mnmsrvc] [已启用]             <C:\WINDOWS\system32\mnmsrvc.exe>
        [RsCCenter] [已启用]           <"C:\Program Files\Rising\Rav\CCenter.exe">

==============================================================
        驱动程序
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [bmwilut] [已启用]             <system32\drivers\bmwilut.sys>
        文件路径: C:\WINDOWS\system32\drivers\bmwilut.sys [分析中]
        [cqet] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp22F.tmp>
        [dayvwt] [已启用]              <\??\C:\WINDOWS\system32\dayvwt>
        [ddsxeiservice] [已启用]       <\??\C:\Program Files\sXe Injected\ddsxei.sys>
        [drop] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp23C.tmp>
        [fasq] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp237.tmp>
        [jtfo] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp23A.tmp>
        [mnsf] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp231.tmp>
        [nkheec] [已启用]              <\??\C:\WINDOWS\system32\nkheec>
        [nnkhe] [已启用]               <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
        [npkcrypt] [已启用]            <\??\C:\WINDOWS\system32\npkcrypt.sys>
        [npkycryp] [已启用]            <\??\C:\WINDOWS\system32\npkycryp.sys>
        [ping] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp235.tmp>
        [ppmjgg] [已启用]              <\??\C:\WINDOWS\system32\ppmjgg>
        [ptfs] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp233.tmp>
        [zctp] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp22B.tmp>
        [zwurop] [已启用]              <\??\C:\WINDOWS\system32\zwurop>

TOP

khe90822

新兵

积分
10 
威望
21  
元宝
0  
铜钱
15  
4楼 发表于 2008-6-25 11:51  只看该作者
金山清理专家系统诊断报告

该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================

诊断时间:            2000-06-25, 11:49
诊断平台:            Windows XP [5.1.2600] Service Pack 2
IE版本:              Internet Explorer V7.0.13.5730
计算机物理内存:      511(MB)
当前可用内存:        305(MB)
硬盘总大小:          74(GB)
硬盘可用空间:        57(GB)
清理专家版本:        2008.05.16.95
恶意软件库版本:      2008.05.12.1
漏洞库版本:          2008.04.09.1




==============================================================
        映像劫持
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

        <AntiArp.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <DrvAnti.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <filemon.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <GFRing3.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <GFUpd.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <GuardField.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <KPPMain.exe>        <ntsd -D>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <OllyDBG.EXE>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <OllyICE.EXE>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <RawCopy.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <regmon.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <RegTool.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <rfwstub.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <safeboxTray.exe>        <ntsd -D>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]

        <tqat.exe>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [可疑的] [5.1.2600.0 (XPClient.010817-1148)]


==============================================================
        App Init DLLs
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
          [AppInit_DLLs]        <  >


==============================================================
        启动文件夹位置
==============================================================

Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:             C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动

==============================================================
        Host File
==============================================================

127.0.0.1       localhost

==============================================================
        系统服务
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

        [helpsvc] [已禁用]             <%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll>

        [HidServ] [已禁用]             <%SystemRoot%\System32\hidserv.dll>

        [mnmsrvc] [已启用]             <C:\WINDOWS\system32\mnmsrvc.exe>

        [RsCCenter] [已启用]           <"C:\Program Files\Rising\Rav\CCenter.exe">


==============================================================
        驱动程序
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

        [bmwilut] [已启用]             <system32\drivers\bmwilut.sys>
        文件路径: C:\WINDOWS\system32\drivers\bmwilut.sys [分析中]

        [cqet] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp22F.tmp>

        [dayvwt] [已启用]              <\??\C:\WINDOWS\system32\dayvwt>

        [ddsxeiservice] [已启用]       <\??\C:\Program Files\sXe Injected\ddsxei.sys>

        [drop] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp23C.tmp>

        [fasq] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp237.tmp>

        [jtfo] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp23A.tmp>

        [mnsf] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp231.tmp>

        [nkheec] [已启用]              <\??\C:\WINDOWS\system32\nkheec>

        [nnkhe] [已启用]               <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>

        [npkcrypt] [已启用]            <\??\C:\WINDOWS\system32\npkcrypt.sys>

        [npkycryp] [已启用]            <\??\C:\WINDOWS\system32\npkycryp.sys>

        [ping] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp235.tmp>

        [ppmjgg] [已启用]              <\??\C:\WINDOWS\system32\ppmjgg>

        [ptfs] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp233.tmp>

        [zctp] [已启用]                <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp22B.tmp>

        [zwurop] [已启用]              <\??\C:\WINDOWS\system32\zwurop>

TOP

风灵草

中将

积分
11727 
威望
23047  
元宝
0  
铜钱
9928  

天才奖 原创先锋奖 星光奖 新人进步奖 最拉风人物 金点子奖

5楼 发表于 2008-6-25 14:53  只看该作者
ntsd.exe  正常文件应该是 系统自带的调试工具

是2000用户?

应该已经被病毒利用。。。

进入安全模式全面杀毒
天壤的劫火·阿拉斯托鲁的火焰之雾·炎发和灼眼的追踪者

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题