瑞星卡卡安全论坛

:default3: 启动项：PPS.lnk
说明：PPS网络电视
    类型：启动文件夹
    位置：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
    命令行：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\PPS.lnk
    打开资源管理器，并定位到该文件所在目录：C:\Program Files\PPStream\PPStream.exe
    产品名称：未知
    发行商：PPStream Inc.
    文件版本：2, 3, 55, 2028
    影响范围：当前用户
    描述：PPS网络电视
    建议：无

启动项：彩虹QQ显IP.lnk
说明：彩虹QQ显IP.lnk
    类型：启动文件夹
    位置：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
    命令行：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\彩虹QQ显IP.lnk
    打开资源管理器，并定位到该文件所在目录：E:\Program Files\彩虹QQ\CaiHong.exe
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：当前用户
    描述：彩虹QQ显IP.lnk
    建议：无

启动项：QQ游戏启动加速程序.lnk
说明：QQ游戏
    类型：启动文件夹
    位置：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
    命令行：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk
    打开资源管理器，并定位到该文件所在目录：D:\QQ游戏\QQGAME\Accel.exe
    产品名称：QQ游戏
    发行商：深圳市腾讯计算机系统有限公司
    文件版本：2, 0, 103, 5
    影响范围：当前用户
    描述：QQ游戏
    建议：无

启动项：RTHDCPL
说明：Realtek HD Audio Sound Effect Manager
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    命令行：RTHDCPL.EXE
    打开资源管理器，并定位到该文件所在目录：C:\WINDOWS\RTHDCPL.EXE
    产品名称：Realtek HD Audio Sound Effect Manager
    发行商：Realtek Semiconductor Corp.
    文件版本：2.1.8.7
    影响范围：所有用户
    描述：Realtek声卡特性设置相关程序
    建议：可以删除

启动项：Alcmtr
说明：Realtek Azalia Audio - Event Monitor
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    命令行：ALCMTR.EXE
    打开资源管理器，并定位到该文件所在目录：C:\WINDOWS\ALCMTR.EXE
    产品名称：Realtek AC97 Audio - Event Monitor
    发行商：Realtek Semiconductor Corp.
    文件版本：1.6.0.2
    影响范围：所有用户
    描述：RealTek声卡监视服务
    建议：可以删除

启动项：NvCplDaemon
说明：NVIDIA Compatible Windows 2000 Display driver, Version 169.28
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    命令行：RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    打开资源管理器，并定位到该文件所在目录：C:\WINDOWS\system32\NvCpl.dll
    产品名称：NVIDIA Compatible Windows 2000 Display driver, Version 169.28
    发行商：NVIDIA Corporation
    文件版本：6.14.11.6928
    影响范围：所有用户
    描述：NVIDIA 显卡快速调整
    建议：建议保留

启动项：RavTask
说明：Rising Antivirus 2008
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    命令行："C:\Program Files\Rising\Rav\RavTask.exe" -system
    打开资源管理器，并定位到该文件所在目录：C:\Program Files\Rising\Rav\RavTask.exe
    产品名称：Rising Antivirus 2008
    发行商：Beijing Rising Information Technology Co., Ltd.
    文件版本：20.0.0.24
    影响范围：所有用户
    描述：瑞星反病毒实时监控或定时查毒程序
    建议：建议保留

启动项：HBService32
说明：HB Inject Application Version 1.2.1.1007
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    命令行：System.exe
    打开资源管理器，并定位到该文件所在目录：C:\WINDOWS\system32\System.exe
    产品名称：HB Inject Application
    发行商：HB Software
    文件版本：1, 2, 1, 1007
    影响范围：所有用户
    描述：HB Inject Application Version 1.2.1.1007
    建议：无

启动项：nwiz
说明：NVIDIA 显卡NView向导
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    命令行：alivin.exe
    打开资源管理器，并定位到该文件所在目录：C:\WINDOWS\system32\alivin.exe
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：NVIDIA 显卡NView向导
    建议：可以删除

启动项：ctfmon.exe
说明：提供语音识别、手写识别、键盘、翻译和其他用户输入技术的支持
    类型：注册表
    位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    命令行：C:\WINDOWS\system32\ctfmon.exe
    打开资源管理器，并定位到该文件所在目录：C:\WINDOWS\system32\ctfmon.exe
    产品名称：Microsoft? Windows? Operating System
    发行商：Microsoft Corporation
    文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    影响范围：当前用户
    描述：提供语音识别、手写识别、键盘、翻译和其他用户输入技术的支持
    建议：建议保留

启动项：PPS Accelerator
说明：PPS 网络加速器
    类型：注册表
    位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    打开注册表编辑器，并定位到该注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    命令行：; C:\Program Files\PPStream\ppsap.exe
    打开资源管理器，并定位到该文件所在目录：C:\Program Files\PPStream\ppsap.exe
    产品名称：PPS 网络加速器
    发行商：PPStream Inc
    文件版本：1, 0, 11, 139
    影响范围：当前用户
    描述：注释的项目
    建议：可以删除

启动项：{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{A8FC611B-71F6-4B4D-BD3A-BFBCCDE96F57}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{A8FC611B-71F6-4B4D-BD3A-BFBCCDE96F57}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{12B02216-AC3F-42A7-8313-449771237061}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{12B02216-AC3F-42A7-8313-449771237061}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{E4814792-EFA3-4C20-93D0-8B130A59F9A8}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{E4814792-EFA3-4C20-93D0-8B130A59F9A8}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{E3367679-4775-4244-A62E-4CFE58FC850B}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{E3367679-4775-4244-A62E-4CFE58FC850B}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{7ADC2AB1-5C6A-4178-82DA-94863354AF7C}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{7ADC2AB1-5C6A-4178-82DA-94863354AF7C}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{22D75360-199D-4F79-880D-82E766675F06}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{22D75360-199D-4F79-880D-82E766675F06}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{3474A8C2-BEF9-46C8-983A-A26A0030EC30}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{3474A8C2-BEF9-46C8-983A-A26A0030EC30}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{DA63E650-537C-4042-87BB-9D19D844680B}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{DA63E650-537C-4042-87BB-9D19D844680B}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{B3721C07-62B3-411A-9DC7-F5F27E3E21FF}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{B3721C07-62B3-411A-9DC7-F5F27E3E21FF}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{58FF3024-8A83-4B1A-88E9-302F47646EEE}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{58FF3024-8A83-4B1A-88E9-302F47646EEE}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{8566F82E-03A4-416E-AEAC-66600D8881F1}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{8566F82E-03A4-416E-AEAC-66600D8881F1}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{495271CA-D0C6-4052-ABE6-5B01C73CDFB0}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{495271CA-D0C6-4052-ABE6-5B01C73CDFB0}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

启动项：{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}
说明：可疑项目
    类型：注册表
    位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    命令行：{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}
    打开资源管理器，并定位到该文件所在目录：
    产品名称：未知
    发行商：未知
    文件版本：未知
    影响范围：所有用户
    描述：可疑项目
    建议：建议使用专业反病毒软件进一步检查

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

什么病毒杀不了？提供病毒名称，病毒路径，和病毒处理状态。

查到病毒信息是Trojan.DL.Win32.Game.a
请高手指点袄``
都几天了``

中了HBXXX病毒。

请扫描上传SRENG日志。

附件: SREngLOG.log (2008-10-23 13:49:41, 50.29 K)
该附件被下载次数 173

日志中的异常项目如下：
==================================
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HBService32><SYSTEM.EXE>  [HB Software]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <nwiz><alivin.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll>  [N/A]
==================================
驱动程序
[5102a80 / 5102a80][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\5102a80.sys><N/A>
[aliimz / aliimz][Stopped/Manual Start]
  <System32\Drivers\aliimz.sys><N/A>
[HBKernel32 Driver / HBKernel32][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel32.sys><N/A>
[SZNB / SZNB][Stopped/Manual Start]
  <\??\C:\0002B740\0002B748><N/A>
[Beep / Beep][Running/]
  <2 - 系统找不到指定的文件。><N/A>
==================================
隐藏进程
    [185] C:\WINDOWS\system32\System.exe
==================================
主要病毒文件：
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\alivin.exe
C:\WINDOWS\system32\5102a80.sys
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
C:\0002B740\0002B748

主要病毒文件：
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\alivin.exe
C:\WINDOWS\system32\5102a80.sys
C:\WINDOWS\System32\Drivers\aliimz.sys
C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
C:\0002B740\0002B748
这写感染病毒的文件可以删除没？

删掉应当没事的,要是怕有什么事,你可以先备份一下,不过最好小心点,这些应当就是病毒文件了