[CODE]

2007-03-24,15:28:32

System Repair Engineer 2.3.13.690
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional  (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe>  [(Verified)Microsoft Corporation]
    <jldq><C:\DOCUME~1\严文巍\LOCALS~1\Temp\rundl132.exe>  [N/A]
    <svc><C:\DOCUME~1\严文巍\LOCALS~1\Temp\spolive.exe>  [Microsoft Corporation]
    <MsnMsgr><"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <load><C:\WINDOWS\uninstall\rundl132.exe>  []
    <cmdbcs><C:\WINDOWS\SMSS.EXE>  [N/A]
    <winform><C:\WINDOWS\SVCHOST.EXE>  [N/A]
    <upxdnd><C:\DOCUME~1\严文巍\LOCALS~1\Temp\upxdnd.exe>  [N/A]
    <mppds><C:\WINDOWS\WINLOGON.EXE>  [N/A]
    <WINRAR><C:\WINDOWS\LSASS.EXE>  [N/A]
    <realplayer><C:\WINDOWS\8Sy.exe>  [N/A]
    <NeroFilterCheck><C:\WINDOWS\system32\NeroCheck.exe>  [Ahead Software Gmbh]
    <ATIPTA><"C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe">  [ATI Technologies, Inc.]
    <StormCodec_Helper><"C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti>  [N/A]
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><351677M.BMP>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>  [N/A]

==================================
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\严文巍\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>

==================================
服务
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\System32\Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart][Stopped/Auto Start]
  <C:\WINDOWS\system32\ati2sgag.exe><>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[IMAPI CD-Burning COM Service / ImapiService][Stopped/Manual Start]
  <C:\WINDOWS\System32\imapi.exe><Microsoft Corporation>

==================================
驱动程序
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc][Running/Manual Start]
  <system32\drivers\ac97intc.sys><Intel Corporation>
[ati2mtag / ati2mtag][Running/Manual Start]
  <System32\DRIVERS\ati2mtag.sys><ATI Technologies Inc.>
[Netgroup Packet Filter / NPF][Running/Manual Start]
  <System32\DRIVERS\npf.sys><CACE Technologies>
[npkcrypt / npkcrypt][Running/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8029(AS)-based PCI Ethernet Adapter NT Driver / rtl8029][Running/Manual Start]
  <System32\DRIVERS\RTL8029.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <System32\DRIVERS\secdrv.sys><N/A>
[WiseGroup device driver / VendorJoystickEnabler][Running/Manual Start]
  <System32\DRIVERS\psjoy.sys><Beijing WiseGrup.,Ltd (gamepad.yeah.net)>

==================================
浏览器加载项
[BitComet Helper]
  {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} <C:\Program Files\BitComet\tools\BitCometBHO_1.1.2.7.dll, BitComet>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder\ComDlls\XunLeiBHO_001.dll, Thunder Networking Technologies,LTD>
[Windows Live Sign-in Helper]
  {9030D464-4C02-4ABF-8ECC-5164760863C6} <C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[Windows Live Toolbar Helper]
  {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} <C:\Program Files\Windows Live Toolbar\msntb.dll, Microsoft Corporation>
[@shdoclc.dll,-866]
  {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[QQ]
  {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT>
[电台(&R)]
  {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, Microsoft Corporation>
[Windows Live Toolbar]
  {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} <C:\Program Files\Windows Live Toolbar\msntb.dll, Microsoft Corporation>
[&Windows Live Search]
  <res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm, N/A>
[&使用BitComet下载]
  <res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm, N/A>
[&使用BitComet下载全部链接]
  <res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm, N/A>
[&使用BitComet下载本页视频]
  <res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm, N/A>
[上传到QQ网络硬盘]
  <C:\Program Files\Tencent\QQ\AddToNetDisk.htm, N/A>

此病毒在我的WINDOWS里生成了351677M.bmp文件，format都format不了.用置顶的专杀也杀不了。目前造成的后果是很多图标变了很难看,还有就是很多*.EXE文件打不开.还有书写ABC啊，什么的我想用手动设置去删除点输入法也没办法删除.

打开sreng2 在启动项目删除以下 ：
<jldq><C:\DOCUME~1\严文巍\LOCALS~1\Temp\rundl132.exe>

<svc><C:\DOCUME~1\严文巍\LOCALS~1\Temp\spolive.exe>

<realplayer><C:\WINDOWS\8Sy.exe> [N/A]

<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> [N/A]

<load><C:\WINDOWS\uninstall\rundl132.exe> []

<cmdbcs><C:\WINDOWS\SMSS.EXE> [N/A]

<winform><C:\WINDOWS\SVCHOST.EXE> [N/A]

<upxdnd><C:\DOCUME~1\严文巍\LOCALS~1\Temp\upxdnd.exe> [N/A]

<mppds><C:\WINDOWS\WINLOGON.EXE> [N/A]

<WINRAR><C:\WINDOWS\LSASS.EXE> [N/A]

<realplayer><C:\WINDOWS\8Sy.exe> [N/A]


双击<AppInit_DLLs> 把项目值<351677M.BMP>删除。

按照以下文件路径找到文件并删除。
<C:\WINDOWS\8Sy.exe>

<C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>

<C:\WINDOWS\uninstall\rundl132.exe>

<C:\WINDOWS\SMSS.EXE>

<C:\WINDOWS\SVCHOST.EXE>

<C:\DOCUME~1\严文巍\LOCALS~1\Temp\upxdnd.exe>

<C:\WINDOWS\WINLOGON.EXE>

<C:\WINDOWS\LSASS.EXE>

<C:\WINDOWS\8Sy.exe>

哦对了 删除完后重启动 找到351677M.BMP删除
建议你到置顶帖http://forum.ikaka.com/topic.asp?board=28&artid=8251252 
下个1、2的专杀软件扫描一下系统。

我在用专杀杀不了，而且你

按照以下文件路径找到文件并删除。
<C:\WINDOWS\8Sy.exe>

<C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>

<C:\WINDOWS\uninstall\rundl132.exe>

<C:\WINDOWS\SMSS.EXE>

<C:\WINDOWS\SVCHOST.EXE>

<C:\DOCUME~1\严文巍\LOCALS~1\Temp\upxdnd.exe>

<C:\WINDOWS\WINLOGON.EXE>

<C:\WINDOWS\LSASS.EXE>

<C:\WINDOWS\8Sy.exe> 
教我的这几个好象都删不了，说是好象在使用。不过还是要先谢谢你。

引用:

【羽的恶魔的贴子】我在用专杀杀不了，而且你 按照以下文件路径找到文件并删除。 <C:\WINDOWS\8Sy.exe> <C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> <C:\WINDOWS\uninstall\rundl132.exe> <C:\WINDOWS\SMSS.EXE> <C:\WINDOWS\SVCHOST.EXE> <C:\DOCUME~1\严文巍\LOCALS~1\Temp\upxdnd.exe> <C:\WINDOWS\WINLOGON.EXE> <C:\WINDOWS\LSASS.EXE> <C:\WINDOWS\8Sy.exe>  教我的这几个好象都删不了，说是好象在使用。不过还是要先谢谢你。 ………………

教我的这几个好象都删不了，说是好象在使用

需要下载 冰刃IceSword120II_cn.rar

然后选择 文件 找到以上文件 点 强制删除 就可以了！~~

用KILLBOX来删。
这是我网盘的下载地址。全部复制进浏览器打开。
http://free.ys168.com/infile/note/note_6.htm?<a%20%20target=*_blank*%20href=*http://ys-h.ys168.com/ys168up/D3/?KillBox.exey72z80fd4fdc0b3z9q9b1b0b5b4b1fl5b0b0fd7b2bpl6e01e20e01e24b1bp2b0b2f9b4fc0fd7z*%20title=*上传时间2006-8-25%2022:09:28*><font%20id=*Sa_3251687*>KillBox.exe</font> 108.0KB</a>

晕死了，还是删不了。，8过还是要谢谢你这样的热心人。

专杀查出来没有？