2005-2008年的日志


这是偶的本本，因为有不可再装的程序在本本内，从2005年底买回后IBM迅驰R52，一直也没有重装过系统，想请各位版主与高手给分析一下日志,   hijackthis,  请各位高手版主多加指点，特别感谢闲逸版主，授之以渔，有请老大们闪亮登场

[ 本帖最后由 Socon 于 2008-9-12 00:49 编辑 ]

平常我很注意木马防护
可是QQ还是让人盗了
所以请你看看，我准备红色的修复一下，请你展展
一会我传个hijackthis的报告
我先分析一下
日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 12:07:34socon,2008-9-4
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v7.00 (7.00.6000.16705)
启动模式: 正常
正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe  好象是无线上网的关闭，但在  msconfig  中好象没有进程
C:\WINDOWS\system32\spoolsv.exe
D:\卡巴斯基反病毒软件\avp.exe
C:\WINDOWS\System32\QCONSVC.EXE这个是作什么的怪怪的
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe   也是无线上网的
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe这个传说中那种病毒吗
C:\WINDOWS\system32\smlogsvc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
D:\360安全卫士\360safe\safemon\360Tray.exe
D:\卡巴斯基反病毒软件\avp.exe
C:\Program Files\360Safebox\safeboxTray.exe
D:\360安全卫士\360safe\antiarp\AntiArp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
D:\QQ2008\QQ.exe
C:\WINDOWS\System32\svchost.exe
D:\QQ2008\TXPlatform.exe
D:\QQ2008\QQ.exe
C:\WINDOWS\system32\taskmgr.exe
D:\QQ2008\qqpet\QQPets3D\QQPets3D.exe
D:\QQ2008\Q宠外挂\Qbear\QPetXX.exe
D:\Program Files\木马查杀组合\arswp2\ArSwp.exe
C:\WINDOWS\notepad.exe  这个偶常用一个命令也关了吧
D:\Program Files\木马查杀组合\hijackthis\HijackThis.exe
O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - D:\超级旋风\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - D:\360安全卫士\360safe\safemon\safemon.dll
O4 - HKLM\..\Run: [360Safetray] D:\360安全卫士\360safe\safemon\360Tray.exe /start
O4 - HKLM\..\Run: [AVP] "D:\卡巴斯基反病毒软件\avp.exe"
O4 - HKLM\..\Run: [360Safebox] "C:\Program Files\360Safebox\safeboxTray.exe" /r
O4 - HKLM\..\Run: [360Antiarp] D:\360安全卫士\360safe\antiarp\AntiArp.exe /start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
这就是闲版所说的网马仔细研究中
O8 - 扩展右键菜单项: &使用超级旋风下载 - D:\超级旋风\geturl.htm
O8 - 扩展右键菜单项: &使用超级旋风下载全部链接 - D:\超级旋风\getAllurl.htm
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000这项也修复了，影响不大，来自对老大文章的学习
O8 - 扩展右键菜单项: 添加到QQ表情 - D:\QQ2008\AddEmotion.htm
O8 - 扩展右键菜单项: 添加至卡巴反横幅广告 - D:\卡巴斯基反病毒软件\ie_banner_deny.htm
O9 - 额外的按钮: (未命名) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - 额外的“工具”菜单项目: IBM Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll   这两项我有点犹豫请闲版兄给个建议，感觉是原机自带的
O9 - 额外的按钮: Web反病毒保护 统计 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\卡巴斯基反病毒软件\scieplugin.dll
O9 - 额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL这个我上网查一下
O9 - 额外的按钮: 更新 ThinkPad 软件 - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\\PkgMgr.exe 不知道 是干什么的，上网查一下属原机自装的
O9 - 额外的按钮: (未命名) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - 额外的“工具”菜单项目: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe上网查一下再说
O9 - 额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的“工具”菜单项目: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - 选项组: [JAVA_IBM] Java (IBM)闲版兄给个建议
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O23 - NT 服务:   卡巴斯基互联网安全套装6.0 (AVP) - Kaspersky Lab - D:\卡巴斯基反病毒软件\avp.exe
O23 - NT 服务:   EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe这个是什么东东
O23 - NT 服务:   IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe，好象一直就没有用过
O23 - NT 服务:   InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe这是个什么驱动的执行命令思考中
O23 - NT 服务:   Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe这个是不是我用的软件的升级服务功能
O23 - NT 服务:   QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - NT 服务:   RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe这两项不知道是什么东东
O23 - NT 服务:   Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe修复好象是没用了
O23 - NT 服务:   SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务:   IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE

O23 - NT 服务:   IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe这三项我也不敢动，上网查一下吧先请教吧
由于老大23项讲解的少，所以我的基本功差，请老大不吝指教
--
文件结束 - 5253 字节

[ 本帖最后由 Socon 于 2008-9-4 23:15 编辑 ]

引用:

原帖由 Socon 于 2008-9-4 16:50 发表
平常我很注意木马防护
可是QQ还是让人盗了
所以请你看看，我准备红色的修复一下，请你展展
一会我传个hijackthis的报告
我先分析一下
日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 12:07:34socon,2 ...

你再仔细看看;进程中有木马存在,并没有被你标以红色!其它的后面再讨论。

[ 本帖最后由 闲逸 于 2008-9-4 17:26 编辑 ]

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe  
是无线网卡配置和诊断程序，这个进程项用不用关闭，怎么关闭
C:\WINDOWS\System32\QCONSVC.EXE
qconsvc.exe是IBM Thinkpad笔记本电脑相关程序。
\Program Files\Intel\Wireless\Bin\RegSrvc.exe
RegSrvc.exe是Intel网络通讯软件相关程序。
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
这些东东能不能关闭，怎么关闭，因为平常我用不上

D:\QQ2008\TXPlatform.exe
在开机第一次启动QQ的时候，会加载一个TIMPlatform进程，目的是为了避免同时登陆两个相同的QQ号码。
虽然这个进程加载的很快，但是多少也影响点速度，加载了这个进程后也不能同时登陆两个相同的QQ号码，而且是进程就占用系统资源，可以说是百害而无一利，有没有办法让其不加载呢？办法当然是有的。
办法很简单，找到QQ目录里的TIMPlatform.exe文件，然后按Shift+Delete将其删除，OK，大功告成，看看QQ启动速度是不是快了？至少也要快1秒！（如果你的电脑是古董级的，登陆速度会明显加快哟！）
而且现在也能同时登陆两个相同的QQ号码了，还能倒出一点点CPU和内存来，是不是不错噢。
PS：如果提示TIMPlatform.exe正在使用，那你先将TIMPlatform.exe进程结束掉，然后再删；如果你不会结束进程的话就重启电脑，先不要运行QQ，把QQ目里的TIMPlatform.exe删掉就OK了
注意：在QQ2007beat2-1以后的该进程变成TxPlatform了，一样的作用

是这个吗闲版
conime.exe进程说明：conime.exe是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号! conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。”
以前总是不知什么时候这个进程就悄悄启动了，后来才发现往往在运行cmd.exe之后会出现。但是conime.exe并不是cmd.exe的子进程，它的的父进程ID并没有在任务管理器中显示。
conime经常会被病毒利用感染，建议删除。可以用冰遁或手动删除（删除前要结束进程）

不过，删除之后，在CMD就不能输入中文了，如果有这个需要的朋友就不要删除它了。



文件位置：

C:\WINDOWS\system32\conime.exe

C:\WINDOWS\system32\dllcache\conime.exe


或者注册表禁用

注册表找到："HKEY_CURRENT_USER\Console"中的"LoadConIme"修改为"0"即可
conime.exe是处理控制台输入法相关的一个程序，往往在运行cmd.exe之后会出现，就是运行cmd.exe之后用ctrl+shift切换输入法的功能，结束了该进程就无法切换了（不过无所谓，在cmd中只输入英文嘛）。

建议别轻易删除此文件，因为删除后可能引发自动关机，如果引发自动关机，说明这不是输入法编辑器相关程序，有可能是病毒！

C:\WINDOWS\system32\taskmgr.exe　
　Taskmgr.exe病毒也叫QQ“缘”病毒，就是盗取QQ帐号的木马，现在相当流行
　　病毒特征：

　　该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

　　病毒会利用QQ发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”； “1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息，消息里的链接是病毒网址。

　　清除方法：

　　使用了下面的办法将其彻底删除。

　　找到下列文件:

　　C:windowssystem oteped.exe

　　C:windowssystemTaskmgr.exe

　　C:Windows oteped.exe

　　C:Windwossystem32 oteped.exe

　　删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉

　　注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"

　　然后到注册表中找到"HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun"

　　找到"Taskmgr" 删除

　　如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

　　1.在任务栏上点击鼠标右键，选择任务管理器

　　2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

　　3.点击开始-运行，输入Regedit进入注册表

　　4.在注册表中找到 "HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun，将Taskmgr"项删除"。

　　删除后重启计算机，《缘》QQ病毒宣布彻底删除

我的好象是任务管理器

C:\WINDOWS\System32\TPHDEXLG.EXE
TPHDEXLG.exe

进程文件: tphdexlg.exe
进程名称: ThinkVantage Active Protection System
英文描述: tphdexlg.exe is a process belonging to ThinkVantage Active Protection System. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.
进程分析: IBMHDDAPSLoggingService，IBM的硬盘安全气囊及动态保护系统，可以在震动或下落等状态下，对笔记本电脑硬盘进行保护。

不错啊!  
还要再找找!    注意具有转向指令的进程。

C:\WINDOWS\system32\smlogsvc.exe

smlogsvc.exe是微软Microsoft Windows操作系统的一部分。用于配置记录和提醒服务。
smlogsvc.exe 配置性能日志和警报。(系统服务)

C:\WINDOWS\system32\spoolsv.exe

电脑的cpu利用率突然一直保持100%，任务管理器查看了一下发现是spoolsv.exe

　　这个进程，查了一下发现的打印服务程序，可以将该进程关掉，但是就不能打印了，再次

　　

　　spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇

　　保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题，但对最新的变种现

　　象无能为力， Ctrl+Alt+Delete停止spoolsv.exe运行进程。

　　解决方法：

　　木马病毒SPOOLSV.EXE的解决方法前几天感染了一个spoolsv.exe的木马病毒，怎么杀

　　将解决方法发布在这里，希望对大家有帮助!

　　spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇

　　保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题，但对最新的变种现

　　象无能为力， Ctrl+Alt+Delete停止spoolsv.exe运行进程

　　重启计算机进入安全模式，在C:/windows/system32/删除spoolsv.exe(或可用搜索方

　　式删除C盘所有同名文件)

　　运行regedit，用查找方式找到并删除所有spoolsv文件。

　　我的电脑点击右键，选择管理 > 服务，禁用print spooler服务(目前网上提供的方

　　法仅到此)

　　重启电脑进入系统常规模式，你会发现电脑还是处于高速运转，但在搜索中已找不到

　　任何spoolsv相关文件。

　　Ctrl+Alt+Delete，你可以在进程中找到一个名为inter的后台运行程序，将其关闭即

　　可。

　　强烈建议在应用以上步骤解决问题之后，运行反木马程序扫描并删除感染文件

spoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

判别自己是否中毒:

    1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项， 每次进入windows会有NTservice的对话框。

    2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

    3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。

清除方法：

    1、重新启动，开机按F8进入安全模式。  

    2、点开始－运行，输入cmd，进入dos。

    利用rd命令删除以下目录（如果存在）（ 在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）：

    C:\WINDOWS\system32\msibm  
    C:\WINDOWS\system32\spoolsv  
    C:\WINDOWS\system32\bakcfs  
    C:\WINDOWS\system32\msicn  

    利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:\windows\system32\spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
C:\windows\system32文件夹。）：

    C:\windows\system32\spoolsv.exe  
    C:\WINDOWS\system32\wmpdrm.dll  

    3、重启按F8再次进入安全模式。
  
    （1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击
NTservice，选择“属性”，修改启动类型为“禁用”。  
、
    （2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。  

    4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。




另外解决方案   直接删除C:\WINDOWS\system32\spool\PRINTERS 下的文件即可


我还遇到一种情况：经检查，不是以上所描述的病毒，但经常占CPU 100％，但是连续关进程几次，便不再出现，奇怪。
如上所述，在system32里有 spool文件夹。直接把 \PRINTERS 下的文件删除，便解决了这个问题。
这可能不是“病毒”问题，而是系统的故障，但出现了还是很麻烦的。

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
EvtEng.exe是EvtEng相关模块,用于支持Intel无线网络连接硬件

看看这几项!
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

C:\WINDOWS\system32\ibmpmsvc.exe

ibmpmsvc.exe是IBM笔记本电脑电源管理相关程序。

引用:

原帖由 闲逸 于 2008-9-4 22:48 发表
看看这几项!
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVIC ...

看来与那天你给偶留得作业一样，就是他们了

引用:

原帖由 Socon 于 2008-9-4 16:50 发表
平常我很注意木马防护
可是QQ还是让人盗了
所以请你看看，我准备红色的修复一下，请你展展
一会我传个hijackthis的报告
我先分析一下
日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 12:07:34socon,2 ...

你用红色显示的进程如下:

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe  好象是无线上网的关闭，但在  msconfig  中好象没有进程
s24evmon.exe是无线网卡配置和诊断程序。

C:\WINDOWS\System32\QCONSVC.EXE这个是作什么的怪怪的
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe   也是无线上网的
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe这个传说中那种病毒吗
qconsvc.exe是IBM Thinkpad笔记本电脑相关程序,存在安全风险的进程。
RegSrvc.exe是Intel网络通讯软件程序,无线上网的。
smagent.exe是Analog SoundMAX声卡产品相关程序,存在安全风险的进程。

C:\WINDOWS\notepad.exe  这个偶常用一个命令也关了吧
notepad.exe是Windows自带的记事本程序。正常位置:C:\WINDOWS\Notepad.exe 或 C:\WINDOWS\system32\Notepad.exe 。
如路径不对,则是病毒。

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
是输入法的一个可执行程序(输入法图标)，但;被修复过。
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
国内某知名网站采用的网马，后被流传开来,你仔细看它的语句。

08、09两次项;是其它软件在浏览器中添加的右键菜单新增项目和工具按扭，为使浏览器干净、快捷、安全，我的主张是通通修复。

O11 - 选项组: [JAVA_IBM] Java (IBM)闲版兄给个建议
是IBM在IE“高级选项”中的新项目 ，用C++编写，用于执行java控件。既然可选,删与不删都无所谓。

O23 - NT 服务:   EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe这个是什么东东
O23 - NT 服务:   IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe，好象一直就没有用过
O23 - NT 服务:   InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe这是个什么驱动的执行命令思考中
EvtEng.exe是EvtEng相关模块,用于支持Intel无线网络连接硬件。
ibmpmsvc.exe是IBM笔记本电脑电源管理相关程序。
IDriverT.exe是InstallShield的一个安装制作软件的服务，用于制作安装程序软件。

O23 - NT 服务:   QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - NT 服务:   RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe这两项不知道是什么东东
O23 - NT 服务:   Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe修复好象是没用了
O23 - NT 服务:   SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务:   IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - NT 服务:   IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe这三项我也不敢动，上网查一下吧先请教吧
qconsvc.exe是IBM Thinkpad笔记本电脑相关程序。一个非必要的进程,可禁用或启用。
RegSrvc.exe是Intel网络通讯软件程序。
evtEng.exe是EvtEng相关模块,用于无线网卡配置和诊断 。
smagent.exe是Analog SoundMAX声卡相关程序,存在安全风险的进程。
TPHDEXLG.EXE是IBMHDDAPSLoggingService,IBM的硬盘安全气囊及动态保护系统,可以在震动或下落等状态下,对笔记本电脑硬盘进行保护。
tpkmpsvc.exe 是IBM笔记本键盘相关进程，用于配置快捷键、功能键 。

请老大看看那些进程还可以关闭先谢谢了

引用:

原帖由 Socon 于 2008-9-6 10:20 发表
请老大看看那些进程还可以关闭先谢谢了

可修复下面内容。
O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - D:\超级旋风\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
修复后重装一下输入法。
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
08、09两次项;通通修复。
O11 - 选项组: [JAVA_IBM] Java (IBM)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O23 - NT 服务:   InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - NT 服务:   QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - NT 服务:   Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - NT 服务:   SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

一点点修复即使出现问题，也知道修复那项出的问题先修复
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 8:04:40socon,2008-9-8
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v7.00 (7.00.6000.16705)
启动模式: 正常

正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\卡巴斯基反病毒软件\avp.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
D:\卡巴斯基反病毒软件\avp.exe
C:\Program Files\360Safebox\safeboxTray.exe
D:\360安全卫士\360safe\antiarp\AntiArp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\svchost.exe
D:\QQ2008\QQ.exe
D:\QQ2008\TXPlatform.exe
D:\QQ2008\QQ.exe
D:\QQ2008\qqpet\QQPets3D\QQPets3D.exe
D:\QQ2008\Q宠外挂\Qbear\QPetXX.exe
D:\QQ2008\qqpet\QQPig\QQPig.exe
D:\QQ2008\Q宠外挂\Qpig\QQPigMate.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\木马查杀组合\hijackthis\HijackThis.exe

O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - D:\超级旋风\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - D:\360安全卫士\360safe\safemon\safemon.dll
O4 - HKLM\..\Run: [360Safetray] D:\360安全卫士\360safe\safemon\360Tray.exe /start
O4 - HKLM\..\Run: [AVP] "D:\卡巴斯基反病毒软件\avp.exe"
O4 - HKLM\..\Run: [360Safebox] "C:\Program Files\360Safebox\safeboxTray.exe" /r
O4 - HKLM\..\Run: [360Antiarp] D:\360安全卫士\360safe\antiarp\AntiArp.exe /start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - 扩展右键菜单项: &使用超级旋风下载 - D:\超级旋风\geturl.htm
O8 - 扩展右键菜单项: &使用超级旋风下载全部链接 - D:\超级旋风\getAllurl.htm
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - 扩展右键菜单项: 添加到QQ表情 - D:\QQ2008\AddEmotion.htm
O8 - 扩展右键菜单项: 添加至卡巴反横幅广告 - D:\卡巴斯基反病毒软件\ie_banner_deny.htm
O9 - 额外的按钮: (未命名) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - 额外的“工具”菜单项目: IBM Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - 额外的按钮: Web反病毒保护 统计 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\卡巴斯基反病毒软件\scieplugin.dll
O9 - 额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - 额外的按钮: 更新 ThinkPad 软件 - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\\PkgMgr.exe
O9 - 额外的按钮: (未命名) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - 额外的“工具”菜单项目: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - 额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的“工具”菜单项目: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - 选项组: [JAVA_IBM] Java (IBM)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O23 - NT 服务:   卡巴斯基互联网安全套装6.0 (AVP) - Kaspersky Lab - D:\卡巴斯基反病毒软件\avp.exe
O23 - NT 服务:   EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - NT 服务:   IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - NT 服务:   InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - NT 服务:   Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务:   QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - NT 服务:   RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - NT 服务:   Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - NT 服务:   SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务:   IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - NT 服务:   IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
文件结束 - 4855 字节

O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - D:\超级旋风\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
是偶安装的软件ie辅助项
修复一下看看效果

引用:

08、09两次项;通通修复。
O11 - 选项组: [JAVA_IBM] Java (IBM)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab

0809都修复会不会影响我软件的使用我想修复02项中相关的可以
015不是微软更新补丁的官方网址吗，闲版你是从那方面考虑的，是从浏览器的干净快捷方面考虑的吗
016是工商银行网上银行要装的一个验证插件删除后会不会每次用银行卡支付都要重装呀待验证

[ 本帖最后由 Socon 于 2008-9-8 08:47 编辑 ]