[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NSP><C:\WINDOWS\system32\NSP.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360deepscan.exe]
<IFEO[360deepscan.exe]><ntsd -d> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]
<IFEO[360hotfix.exe]><ntsd -d> [N/A]
……………………………………(此处省略若干ifeo注册表子项)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZhuDongFangYu.exe]
<IFEO[ZhuDongFangYu.exe]><ntsd -d> [N/A]
==================================
正在运行的进程
[PID: 1636 / Administrator][C:\WINDOWS\System32\dllcache\explorer.exe] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[C:\WINDOWS\System32\dllcache\UxTheme.dll] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[C:\WINDOWS\system32\uxtheme.dll] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[C:\WINDOWS\System32\dllcache\browselc.dll] [Microsoft Corporation, 6.00.2600.0000]
[PID: 1520 / Administrator][C:\WINDOWS\system32\NSP.exe] [, 1, 0, 0, 1]
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 708, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 1520, C:\WINDOWS\SYSTEM32\NSP.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1520, C:\WINDOWS\SYSTEM32\NSP.EXE]
==================================
从以上日志可知:
1、系统进程c:\windows\explorer.exe已被病毒替换,另外C:\WINDOWS\System32\目录下的browselc.dll、UxTheme.dll两个系统模块文件可能也已被病毒替换;
2、几乎所有的安全软件进程被病毒用IFEO屏蔽;你机上的360、瑞星、nod32的相关进程因被IFEO屏蔽,都已经废掉了,在把病毒本体干掉后,建议全部卸载重装(瑞星和nod32建议只安装一种)。
3、建议将以下文件提交“可疑文件交流区”鉴定:
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NSP.exe
C:\WINDOWS\system32\uxtheme.dll
C:\WINDOWS\System32\browselc.dll
4、不排除C:\WINDOWS\System32\dllcache目录下的explorer.exe、browselc.dll、UxTheme.dll这几个系统文件也已被病毒替换的情形。