重启后被创建新用户,桌面设置被修改
嗯在线等回答
电脑症状:
正在浏览网页(非不良网页),下载了2个小游戏的时候,突然弹出一个对话框,类似“冲击波”那样说多少秒后重启,但一闪而过已经没有了,而到了时间后电脑重启(我有尝试用shutdown命令关闭都不行)
重启后发生如下变化:
1.出现用户选项并要输入密码,用户名为amin,我当时很奇怪,并尝试了几个密码都不行(我并无设置任何用户,之前一直都是直接进入windowns的),最后用密码admin,竟然进入了
2.进入系统后桌面被修改了,换了主题(本人电脑系统为番茄系列),桌面很多图标都不见了(qq明显在列),而程序里面正常一点,除了QQ外都在(淘宝的阿里旺旺在),而且都可以用
3.被创建的新用户可以做任何修改,也可以去掉密码,但好像删不得
4.360沙过,杀不到木马,用木马杀客杀出2,见下面:
系统事件:已发现木马!
木马名称:木马0154.482
木马路径:C:\Program Files\mechWildfire 3.0\i486_nt\bin\msengine.exe
处理方式:隔离 成功
C:\Program Files\mechWildfire 3.0\i486_nt\bin\msengine.exe
2008年9月7日
系统事件:已发现木马!
木马名称:Trojan.Hupigon.Apf.25086
木马路径:D:\软件\软件安装文件\杀毒\灰鸽子VIP2005版专杀\灰鸽子VIP2005版专杀.exe
处理方式:删除 成功
2008年9月7日
5.360扫的进程,其中我关svchost时候又弹出1分钟关机对话框了,然后又重启了
6.用过冲击波,魔波专杀杀过,没杀出什么
7.本电脑路由上网,不是主,但因为本人打kof需要,要把DMZ主机设置为启用,中毒时候是这个状态
该诊断报告由360安全卫士提供 http://www.360.cn
诊断时间: 2008-09-0721:05:21
诊断平台: Microsoft Windows XPService Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:511.36MB - 当前可用内存:225.29MB
100 - 未知 - Process: ravzerg.exe - C:\DOCUME~1\admin\LOCALS~1\Temp\Rar$EX00.141\ravzerg.exe
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.tomatolei.com/
O2 - 未知 - BHO: (IE2EMBHO Class) - - {0A0DDBD3-6641-40B9-873F-BBDD26D6C14E} - D:\软件\软件安装文件\easyMule\modules\IE2EM.dll
O8 - 未知 - Extra context menu item: &使用超级旋风下载 - D:\软件\QQDownload\geturl.htm
O8 - 未知 - Extra context menu item: &使用超级旋风下载全部链接 - D:\软件\QQDownload\getAllurl.htm
O9 - 未知 - Extra button: 浩方对战平台(HKLM) - C:\Program Files\Holdfast\Platform\gameclient.exe
O9 - 未知 - Extra button: 番茄花园(HKLM) - http://www.tomatolei.com
O9 - 未知 - Extra button: 信息检索(HKLM) - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - 未知 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - 未知 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O23 - 未知 - Service: TermService [允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务器的基础结构。] - C:\WINDOWS\System32\termsrvhack.dll - (running)
O23 - 未知 - Service: Windows_rejoice2008_722 [上兴远程控制服务端] - C:\WINDOWS\system32\xhx.exe - (not running)
=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: wdfmgr.exe - C:\WINDOWS\system32\wdfmgr.exe
100 - 安全 - Process: explorer.exe - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: rundll32.exe - C:\WINDOWS\system32\RUNDLL32.EXE
100 - 安全 - Process: 360tray.exe - C:\Program Files\360safe\safemon\360tray.exe
100 - 安全 - Process: PFW.exe [天网个人防火墙,用于防御网络攻击。] - C:\PROGRA~1\SkyNet\FireWall\pfw.exe
100 - 安全 - Process: svchost.exe - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: safeboxTray.exe - C:\Program Files\360Safebox\safeboxTray.exe
100 - 安全 - Process: ctfmon.exe - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: IEXPLORE.EXE - C:\Program Files\Internet Explorer\IEXPLORE.EXE
100 - 安全 - Process: wuauclt.exe - C:\WINDOWS\system32\wuauclt.exe
100 - 安全 - Process: 360Safe.exe - C:\Program Files\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
O2 - 安全 - BHO: (QQCycloneHelper Class) - [腾讯出品的超级旋风下载组件相关文件。] - {00000000-12C9-4305-82F9-43058F20E8D2} - D:\软件\QQDownload\QQIEHelper01.dll
O4 - 安全 - HKLM\..\Run: [是NVIDIA显示卡相关动态链接库文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 安全 - HKLM\..\Run: [是NVidia的Nview特性相关程序。该程序用于用户对其特性进行配置,将桌面扩展到多台显示器上。 ] nwiz.exe /install
O4 - 安全 - HKLM\..\Run: [是NVidia显示卡相关文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 安全 - HKLM\..\Run: C:\Program Files\360safe\safemon\360tray.exe /start
O4 - 安全 - HKLM\..\Run: [天网个人防火墙] C:\PROGRA~1\SkyNet\FireWall\pfw.exe
O4 - 安全 - HKLM\..\Run: SOUNDMAN.EXE
O4 - 安全 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -k
O4 - 安全 - HKLM\..\Run: "C:\Program Files\360Safebox\safeboxTray.exe" /r
O4 - 安全 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - 安全 - HKCU\..\Run: [微软出品的自动换壁纸程序。] C:\WINDOWS\system32\bgswitch.exe
O18 - 安全 - Protocol: OFFICE 相关 - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O18 - 安全 - Protocol: OFFICE 相关 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O21 - 安全 - Protocol Icons: HKCR\http\shell\open\command - "C:\Program Files\Internet Explorer\iexplore.exe" "%1"
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe - (not running)
=======================================
O31 - 未知 - SEApproved: {42071714-76d4-11d1-8b24-00a0c9068ff3} - deskpan.dll ---- 0 -
O31 - 未知 - SEApproved: 无效的CLSID:Shell extensions for file compression ----- 0 -
O31 - 未知 - SEApproved: 无效的CLSID:加密上下文菜单 ----- 0 -
O31 - 未知 - SEApproved: {0DF44EAA-FF21-4412-828E-260A8728E7F1} ----- 0 -
O31 - 未知 - SEApproved: {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} ----- 0 -
O31 - 未知 - SEApproved: {7A9D77BD-5403-11d2-8785-2E0420524153} ----- 0 -
O31 - 未知 - SEApproved: 无效的CLSID:压缩(zipped)文件夹 ----- 0 -
O31 - 未知 - SEApproved: {A70C977A-BF00-412C-90B7-034C51DA2439} - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Corporation - NVIDIA Display Properties Extension - 6.14.10.8040 - 6868992 -
O31 - 未知 - SEApproved: {FFB699E0-306A-11d3-8BD1-00104B6F7516} - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Corporation - NVIDIA Display Properties Extension - 6.14.10.8040 - 6868992 -
O31 - 未知 - SEApproved: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll ---- 124416 - 071a3db8248bd3093194b5b5cd476daa
O31 - 未知 - SEApproved: {1CDB2949-8F65-4355-8456-263E7C208A5D} - C:\WINDOWS\system32\nvshell.dll - NVIDIA Corporation - NVIDIA Desktop Explorer, Version 105.25- 6.14.10.10525 - 466944 - 769533883d2e92ec70b3373b0286622b
O31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DA88302A47} - C:\WINDOWS\system32\nvshell.dll - NVIDIA Corporation - NVIDIA Desktop Explorer, Version 105.25- 6.14.10.10525 - 466944 - 769533883d2e92ec70b3373b0286622b
O31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DA88302A48} - C:\WINDOWS\system32\nvshell.dll - NVIDIA Corporation - NVIDIA Desktop Explorer, Version 105.25- 6.14.10.10525 - 466944 - 769533883d2e92ec70b3373b0286622b
O31 - 未知 - Directory Menu: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll ---- 124416 - 071a3db8248bd3093194b5b5cd476daa
O31 - 未知 - LSA: Security Packages - sv1_0.dll ---- 0 -
O31 - 未知 - LSA: Security Packages - channel.dll ---- 0 -
=======================================
O40 - svchost.exe - Microsoft Corporation - c:\windows\system32\termsrvhack.dll - Terminal Server Service - a77219a971029dc2fb683e8513713803
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Display Properties Extension -
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvshell.dll - NVIDIA Desktop Explorer, Version 105.25- 769533883d2e92ec70b3373b0286622b
O40 - RUNDLL32.EXE - NVIDIA Corporation - C:\WINDOWS\system32\NvMcTray.dll - NVIDIA Media Center Library - e2011a5e2ad00fd6bf371c95aebad598
=======================================
O41 - ProGCD - ProG Driver - C:\WINDOWS\system32\drivers\ProGsys.sys - (running) - ProG Driver - HangZhou Metadata Co.,LTD - 1ce85a02ebd6f275e5bc3a128df29524
O41 - PSXGamepadEnabler - Psxpad Driver - C:\WINDOWS\system32\drivers\psxpad.sys - (running) - Psxpad Driver - Y.Kimura - 56e14350f6053bd8e1a3178957a60367
O41 - PsxPortEnumerator - Psx Port Enumerator - C:\WINDOWS\system32\drivers\psxenum.sys - (running) - Psx Port Enumerator - Y.Kimura - 2d5ce343b69c4feb29dba79fa77c33ee
O41 - SKNFW - SKNFW - C:\WINDOWS\system32\drivers\SKNFW.sys - (running) --- 3d40ce47367347c16c5e0a47178ac677
O41 - PspKiller - PspKiller - C:\WINDOWS\TEMP\SxKiller.sys - (not running) ---
=======================================
360Safe.exe=4.3.0.1008
AntiAdwa.dll=4.2.0.1001
AntiEng.dll=4.3.0.1001
AntiActi.dll=2.0.0.3000
CleanHis.dll=4.2.0.1002
live.dll=1.0.1.1028
=======================================
操作历史报告:
----------全面诊断修复历史----------
2008-09-07 20:35
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
2008-09-07 20:52
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
100 - 安全 - svchost.exe - C:\WINDOWS\system32\svchost.exe
----------修复IE浏览器操作历史----------
2008-08-23 13:48
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
O21 - 危险 - http协议缺省启动程序 - "C:\Program Files\Maxthon2\Maxthon.exe" "%1"
O21 - 危险 - https协议缺省启动程序 - "C:\Program Files\Maxthon2\Maxthon.exe" "%1"
O21 - 危险 - htmlfile协议缺省启动程序 - "C:\Program Files\Maxthon2\Maxthon.exe" "%1"
以上为症状,除了重装外能恢复到我之前的状态?我baidu过据说是被人挂木马了
请高手解答 我记得百度电脑分类里有个吧里面有高手专门帮人看这种分析的
不过你现在发了可能明天中午才有回复
页:
[1]