MLL

==============================================================
        金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间:            2004-08-01, 20:00
诊断平台:            Windows XP [5.1.2600] Service Pack 2
IE版本:              Internet Explorer V6.0.2180.2900
计算机物理内存:      247(MB)
当前可用内存:        66(MB)
硬盘总大小:          37(GB)
硬盘可用空间:        30(GB)
清理专家版本:        2008.07.16.472
恶意软件库版本:      2008.07.17.2
漏洞库版本:          2008.07.25.1


==============================================================
        映像劫持
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
        <360rpt.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <360safe.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <360tray.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <ANTIARP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Ast.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <AutoRunKiller.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <AvMonitor.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <AVP.COM>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <AVP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <CCenter.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Frameworkservice.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <GFUpd.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <GuardField.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <IceSword.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Iparmor.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <KASARP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <kavstart.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <kmailmon.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <KRegEx.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <KVMonxp.KXP>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <KVSrvXP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <KVWSC.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <kwatch.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Mmsk.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Navapsvc.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <nod32krn.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Nod32kui.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <RAV.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <RavStub.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Regedit.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <rfwmain.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <rfwProxy.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <rfwsrv.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <rfwstub.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <Runiep.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <VPC32.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <VPTRAY.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []
        <WOPTILITIES.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

==============================================================
        启动文件夹位置
==============================================================
Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:             C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动
==============================================================
        Host File
==============================================================
157.150.195.10 www.dhghost.com welcome to the un_ it's your world
127.0.0.1       localhost
==============================================================
        系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [HidServ] [已禁用]             <%SystemRoot%\System32\hidserv.dll>

==============================================================
        驱动程序
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [ATSpy] [已启用]               <\??\C:\WINDOWS\system32\ATSpy.sys>
        [npkcrypt] [已启用]            <\??\D:\QQ2007\npkcrypt.sys>

==============================================================
        当前进程
==============================================================
名称:     wuauclt.exe  [已启用]
命令行:   "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[358]SUSDSd93af73cc812e94b82b80c24d7bfdfe8
文件路径: C:\WINDOWS\system32\wuauclt.exe  [未连网]        (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ntdll.dll                 (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\kernel32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USER32.DLL                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\GDI32.dll                 (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ADVAPI32.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\RPCRT4.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\Secur32.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SHELL32.DLL               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\msvcrt.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SHLWAPI.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ShimEng.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\AppPatch\AcGenral.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\WINMM.dll                 (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ole32.dll                 (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\OLEAUT32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\MSACM32.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\VERSION.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USERENV.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\UxTheme.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\IMM32.DLL                 (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\LPK.DLL                   (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USP10.dll                 (Microsoft Corporation)
模块文件: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\comctl32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\netapi32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\appHelp.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\CLBCATQ.DLL               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\COMRes.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\urlmon.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SETUPAPI.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\sfc_os.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\WINTRUST.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\CRYPT32.dll               (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\MSASN1.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\IMAGEHLP.dll              (Microsoft Corporation)

guoqingchao8888

建议！连接互联网后可以的文件全部删除！你等等我分析一下！还有来个图直观！我看报告头疼！

guoqingchao8888

wuauclt.exe ：Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。 （建议保留！）
rfwsrv.exe：rfwsrv.exe是瑞星个人防火墙相关程序。
runiep.exe：瑞星卡卡进程！

使用金山全面扫描在安全模式下！
等等！不是360的木马免疫插件就是瑞星的防火墙文件！郁闷！楼上的是不是没有联网啊？怎么回事！
建议卸载瑞星改用金山！卸载360！在扫面看看！瑞星不好的！360也是！瑞星卡卡进程！都是些瑞星的进程！郁闷了！

我晕！都是瑞星！我的习惯，有瑞星的机器拒绝修理！个人洁癖和任何人无关！

呵呵！是镜像劫持！建议使用楼下的办法！o(∩_∩)o...不好意思最经看见瑞星我就头疼！

[ 本帖最后由 guoqingchao8888 于 2008-8-2 07:20 编辑 ]

KSEE0660906

回楼上：那些是映像劫持，是注册表中的内容，，不是安装了瑞星，，呵呵！！！


回楼主：的确中了毒，，，，，  映像劫持了大多数安全软件，，，

首先下载专杀http://www.duba.net/zhuansha/259.shtml，，，可以灭掉部分病毒，，，可以修复映像劫持，，，这样就可以使用毒霸扫描了，，，再配合清理专家的扫描，，，查找可疑的开机器启动项目，，，，确定病毒就删除或粉碎，，，OK