服务<C:\WINDOWS\system32\DESeco.exe><N/A>
[C:\WINDOWS\system32\V2200463.EPE] [N/A, ]
没人看,我也不太懂,你敢的话就试试

晚上我看，拼了去。

看得眼睛都花了。帮你顶一下。
不好意思没有看出什么问题。

不好意思,今天才给你发分析,分析如下:
C:\WINDOWS\system32\rundll32.exe一般不可能出现..除非被流氓调用,建议结束掉!

O2 - BHO: (no name) - ?{634539A8-7FA8-45E2-8DC3-253AF98548A1} - (no file)
O2 - BHO: (no name) - ?{ED863792-FADB-4D21-8B20-409DA940B7A2} - (no file)
O2 - BHO: (no name) - RsAutorunsDisabled - (no file)

O4 - HKCU\..\Run: [SGMIGEX] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system\WINS0C~1.DLL,Run
怀疑是流氓的启动..调用了进程.........

O9 - Extra button: (no name) - RsAutorunsDisabled - (no file)

O23 - Service: Security Service For IE (NiceService) - Unknown owner - C:\WINDOWS\system32\DESeco.exe (file missing)可疑的服务,上面的全部修复掉

我想你应该不是第一次扫描绑架客星日志了...

引用:

【逍遥浪子45的贴子】不好意思,今天才给你发分析,分析如下: C:\WINDOWS\system32\rundll32.exe一般不可能出现..除非被流氓调用,建议结束掉! O2 - BHO: (no name) - ?{634539A8-7FA8-45E2-8DC3-253AF98548A1} - (no file) O2 - BHO: (no name) - ?{ED863792-FADB-4D21-8B20-409DA940B7A2} - (no file) O2 - BHO: (no name) - RsAutorunsDisabled - (no file) O4 - HKCU\..\Run: [SGMIGEX] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system\WINS0C~1.DLL,Run 怀疑是流氓的启动..调用了进程......... O9 - Extra button: (no name) - RsAutorunsDisabled - (no file) O23 - Service: Security Service For IE (NiceService) - Unknown owner - C:\WINDOWS\system32\DESeco.exe (file missing)可疑的服务,上面的全部修复掉 我想你应该不是第一次扫描绑架客星日志了... ………………

不好意思,.我不知道怎么解决啊.谢谢你了.再教教我吧,

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\Rav\Ravmond.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\Rav\RavStub.exe
d:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\pctspk.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\AntiSpyware\runiep.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\HiJackThis_v2\HiJackThis_v2.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Networks\Thunder\ComDlls\XunLeiBHO_007.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [StormCodec_Helper] ; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [RavStub] "d:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: QQ游戏启动加速程序.lnk = C:\Program Files\Tencent\QQGame\Accel.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: &使用BitComet下载 - res://E:\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &使用BitComet下载全部链接 - res://E:\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &使用BitComet下载本页视频 - res://E:\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Networks\Thunder\Program\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Networks\Thunder\Program\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{469DE461-C28B-4FDA-8C48-3A416813668E}: NameServer = 218.85.157.99 202.101.98.55
O17 - HKLM\System\CS1\Services\Tcpip\..\{469DE461-C28B-4FDA-8C48-3A416813668E}: NameServer = 218.85.157.99 202.101.98.55
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O22 - SharedTaskScheduler: Browseui 预加载程序 - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: 组件类别缓存程序 - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Security Service For IE (NiceService) - Unknown owner - C:\WINDOWS\system32\DESeco.exe (file missing)
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
O24 - Desktop Component 0: (no name) - http://t3.baidu.com/it/u=715881422,1115436832&gp=36.jpg

--
End of file - 7113 bytes
我又扫了遍．刚才已经按　逍遥浪子４５　说的做了．不知道我有没做错．我是第一次用这个软件．谢谢了．还有一个．就是C:\WINDOWS\system32\rundll32.exe．我只要一开机就会出现rundll32这个进程．关机时都会有rundll32这个程序未响应．正在关闭．立即结束．我都要点立即结束才能关机．我以前一直以为是系统出问题了，也没管它照样用了．能帮我解决下吗？谢谢逍遥浪子４５．谢谢大家

备份以下各项及对应的文件，用SRENG删除注册项，用Unlocker删除文件，删除不了的用冰刃。
驱动程序
[Cdsys / Cdsys][Running/Manual Start]
<\??\C:\WINDOWS\system32\cdcd.sys><N/A>
[IsDrv120 / IsDrv120][Running/Boot Start]
<2 - 系统找不到指定的文件。
><N/A>
----------------------------------------------------
用冰刃停掉正在运行的进程，删除对应的文件,最好备份文件。
[C:\WINDOWS\system32\V2200463.EPE] [N/A, ]
----------------------------------------------------
另在网上看到的，不知真假？？？？？？？？？？？？？？？？
灰鸽子变种E（Backdoor.HuiGeZi.e）”病毒：警惕程度★★★☆，后门程序，通过网络传播，
依赖系统：WIN9X/NT/2000/XP。

该病毒由两个文件组成：系统目录下的“SVCH0ST.EXE” 和 “SVCH0ST.dll” ，
病毒运行之后，把“SVCH0ST.dll”注入到explorer.exe进程中。释放名为“cdcd.sys”的文件，
并创建服务“Cdsys”。中毒系统只要运行explorer.exe，就会激活病毒。
因此杀毒后一定重新启动，才能彻底的清除该病毒。

系统进程中的病毒每隔50秒钟就会修改一次注册表以自启动。
连接预定网址的8000端口，向远程控制端报告：本地机器被控制！
随后连接另外的预设网址，下载指定的病毒文件到本地运行，进行更危险的破坏。
------------------------------------------------
其他的就没啥主意了。

至于
启动项目
注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
<SGMIGEX><C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system\WINS0C~1.DLL,Run> [mcsoft]

在备份此项以后，用SRENG删除<SGMIGEX><C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system\WINS0C~1.DLL,Run> [mcsoft]