#T0 SecAnalyst 分析报告 版本:0, 4, 0, 47
#操作系统 : Microsoft Windows XP Professional Service Pack 2 (Build 2600) (CHS)
#系统目录 : C:\WINDOWS\system32
#浏览器 : Internet Explorer 6.0.2900.2180
#生成时间 : 2006-7-10 10:44:46
#T2 请把报告贴到安全救援中心bbs.s-sos.net,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#Q1 (请在此输入你的电脑遇到的问题和异常情况..)
#O4 危险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\SearchNet_Up>-"c:\program files\searchnet\serveup.exe"
#O4 警告 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved\RISING>-c:\windows\system32\ravext.dll
#O4 警告 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks\Rising Execute File Exts hook>-c:\windows\system32\ravext.dll
#O4 警告 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ISUSPM Startup>-"c:\program files\common files\installshield\updateservice\isuspm.exe" -startup
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders\SonnReg.lnk>-c:\documents and settings\all users\「开始」菜单\程序\启动\sonnreg.lnk
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\E-Color Registration>-c:\program files\e-color\registration\sonnreg.exe
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\iparmor>-c:\program files\iparmor\iparmor.exe mini
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\RfwMain>-"c:\program files\rising\rfw\rfwmain.exe" -startup
#O4 低风险 自启动:[hkey_current_user\software\microsoft\windows\currentversion\explorer\shell folders\中京安网(网络电视).lnk>-c:\documents and settings\管理员\「开始」菜单\程序\启动\中京安网(网络电视).lnk [file not found>
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows nt\currentversion\windows\Appinit_Dlls>-apihookdll.dll [file not found>
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders\Microtek 扫描仪探测器.lnk>-c:\documents and settings\all users\「开始」菜单\程序\启动\microtek 扫描仪探测器.lnk
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders\True Internet Color Icon.lnk>-c:\documents and settings\all users\「开始」菜单\程序\启动\true internet color icon.lnk
#D0 低风险 驱动: C:\WINDOWS\system32\Drivers\xProc.sys
#D0 低风险 驱动: C:\WINDOWS\system32\Drivers\xBlock3.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\rcmhdog.sys
#D0 低风险 驱动: C:\WINDOWS\system32\new.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\GSMHWDM.SYS
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\mhdrv.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\hostnt.sys
#D0 低风险 驱动: C:\WINDOWS\System32\drivers\aspi32.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\aslm75.sys
#D0 低风险 驱动: C:\Program Files\Rising\Rav\ExpScan.sys
#D0 低风险 驱动: C:\WINDOWS\System32\DRIVERS\BaseTDI.SYS
#D0 低风险 驱动: C:\Program Files\Rising\Rav\HOOKAPI.SYS
#D0 低风险 驱动: C:\Program Files\Rising\Rav\MEMSCAN.sys
#D0 低风险 驱动: C:\Program Files\Rising\Rav\hookbase.sys
#D0 低风险 驱动: c:\program files\rising\rfw\RfwBase.sys
#D0 低风险 驱动: C:\WINDOWS\System32\Drivers\IsDrv118.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\smu.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\s01udj.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\ewynfht.sys
#D0 低风险 驱动: C:\WINDOWS\system32\DRIVERS\FAD.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\Anfad.sys
#D0 低风险 驱动: C:\WINDOWS\system32\drivers\KWatch3.SYS
#R3 低风险 URLSearchHook: {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - coolbar - [file not found> - HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
#O2 危险 BHO: {2A0176FE-008B-4706-90F5-BBA532A49731} - C:\Program Files\SearchNet\SNHpr.dll
#O2 警告 BHO: {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
#O2 低风险 BHO: {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fplaunch.dll
#O2 低风险 BHO: {6BDE1669-B490-48E3-B668-456314F2D6C3} - C:\Program Files\DuDu\DddClient\dddiemon.dll - [file not found>
#O3 警告 Toolbar: {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - - C:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
#O3 低风险 Toolbar: {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - - [file not found>
#M0 危险 DLL:C:\Program Files\Iparmor\SocketArmor.dll
#M0 警告 DLL:C:\Program Files\SearchNet\SrvNet32.dll
#M0 警告 DLL:C:\WINDOWS\system32\RavExt.dll
#M0 低风险 DLL:C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fplaunch.dll
#M0 低风险 DLL:C:\Program Files\Rising\Rav\RavScrCh.dll
#P0 危险 进程:c:\program files\rising\rfw\rfwsrv.exe
#P0 危险 进程:c:\windows\system32\viptray.exe
#P0 警告 进程:c:\windows\system32\servehost.exe
#P0 低风险 进程:c:\program files\e-color\registration\sonnreg.exe
#P0 低风险 进程:c:\program files\iparmor\iparmor.exe
#P0 低风险 进程:c:\program files\rising\rfw\rfwmain.exe
#P0 低风险 进程:e:\scannerfinder.exe
#P0 低风险 进程:c:\program files\searchnet\searchnet.exe
#P0 低风险 进程:c:\program files\e-color\true internet color\ticicon.exe
#S0 危险 NT 服务: RfwService - 启动方式: 自动 - 当前状态: 已启动 - c:\program files\rising\rfw\rfwsrv.exe
#S0 危险 NT 服务: VIPTray - 启动方式: 自动 - 当前状态: 已启动 - C:\WINDOWS\System32\VIPTray.exe
#S0 警告 NT 服务: Remote Log - 启动方式: 自动 - 当前状态: 已启动 - system32\ServeHost.exe
#S0 警告 NT 服务: Macromedia Licensing Service - 启动方式: 手动 - 当前状态: 已停止 - "C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe"
#S0 警告 NT 服务: Autodesk Licensing Service - 启动方式: 手动 - 当前状态: 已停止 - "C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe"
#S0 低风险 NT 服务: HidServ - ServiceDll - C:\WINDOWS\System32\hidserv.dll - [file not found>
您的电脑整体安全风险为中(62分),请尽快咨询安全专家,协助处理!
清理注册表中相关键值:
#O4 危险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\SearchNet_Up>-"c:\program files\searchnet\serveup.exe"
#O4 警告 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ISUSPM Startup>-"c:\program files\common files\installshield\updateservice\isuspm.exe" -startup
#O4 低风险 自启动:[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders\SonnReg.lnk>-c:\documents and settings\all users\「开始」菜单\程序\启动\sonnreg.lnk
#R3 低风险 URLSearchHook: {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - coolbar - [file not found> - HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
修复以下项目:
#O2 危险 BHO: {2A0176FE-008B-4706-90F5-BBA532A49731} - C:\Program Files\SearchNet\SNHpr.dll
#O2 警告 BHO: {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
停止以下服务:
#S0 危险 NT 服务: VIPTray - 启动方式: 自动 - 当前状态: 已启动 - C:\WINDOWS\System32\VIPTray.exe
#S0 警告 NT 服务: Remote Log - 启动方式: 自动 - 当前状态: 已启动 - system32\ServeHost.exe
摘自网上的处理方法
清除进程VIPTray.exe(Trojan.DL.Agent.jer)的方法
步骤1 启动计算机按F8键进入安全模式, 然后删除掉这三个文件
C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe
步骤2 修复注册表键值(修改之前请务必备份注册表)
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值System 为 空(即将键值System指向的数值数据删除)
2)删除注册表中与WinDefendor.dll相关的键值。
步骤3 重新启动计算机
谢谢两位啊...
其实VIPTAY.EXE那个只是广告的弹出程序,危害不大
[hkey_local_machine\software\microsoft\windows\currentversion\run\SearchNet_Up>-"c:\program files\searchnet\serveup.exe 是中搜 危害也不大
不过那个反入侵的软件 说图中的那些文件危险,会自己生成,按递增数值的生成.
QQ游戏币的被盗不知道是否和图中TMP文件相关
那些都是些临时文件没有直接影响
要么装个杀毒软件查毒 或者去在线查毒 在把报告放上来 |
|
设为首页
加入收藏
联系我们
打印本文 
返回顶部 
加入收藏 
关闭窗口
