临沂电脑网-免费的教育教学网络资源- {$Wap}

 
通行证 | 金山毒霸 | 穿冰点 | 机器狗 | IGM.exe病毒样本 | 网吧业主注意修补RealPlayer漏洞 | 临沂金源电子科技城 | 免疫补丁 | 免费让金山毒霸2008升级 | 威金变种病毒样本 | IGW.exe病毒样本 | 电脑系统发展简史 | 瑞星2007注册码-序列号 | 金山毒霸2008最新可升级版 | 苍山县电脑科技有限公司 | 临沂中通科贸公司 | 病毒防疫 | 三联 |

下载中心
您现在的位置: 临沂电脑网 >> 下载中心 >> 病毒样本 >> 软件信息
找找看:

userinit.exe病毒

更新时间:2007-11-5 15:56:55
  • 软件分类:病毒样本
  • 文件大小:11KB
  • 下载次数:本日: 本周: 总计:
  • 下载地址:
下载地址:

    ==========下面是下载地址列表=============

    userinit.exe病毒样本  userinit.exe病毒样本  
    ==========上面是下载地址列表=============
支持临沂电脑的发展,请点击下面的广告显示下载地址,非常感谢!!
软件简介:

登录后自动连接网络下载弱智木马。
我的疑问:

作为一种可以突破还原的病毒,为什么去下载垃圾木马,连进程都不隐藏。而且占用资源不明显。
这更像是一种象征,一种对抗还原软件的象征。
我怀疑这种突破影子系统的病毒是杀毒软件开发商编写的,打击影子系统,提高市场依赖度。
更可怕的是,这种病毒被反编后,做成更厉害的木马,那时除了ghost,没有别的办法防御了。



病毒的读写监控【部分】:
144    12:32:57    EXPLORER.EXE:572    OPEN    C:\windows\system32\Shadow\ShadowTip.exe    SUCCESS    Options: Open  Access: All   
145    12:32:57    EXPLORER.EXE:572    QUERY INFORMATION    C:\windows\system32\Shadow\ShadowTip.exe    SUCCESS    Attributes: A   
146    12:32:57    EXPLORER.EXE:572    CLOSE    C:\windows\system32\Shadow\ShadowTip.exe    SUCCESS       
147    12:32:57    EXPLORER.EXE:572    OPEN    C:\windows\system32\Shadow\ShadowTip.exe    SUCCESS    Options: Open  Access:

Execute   
148    12:32:57    EXPLORER.EXE:572    QUERY INFORMATION    C:\windows\system32\Shadow\ShadowTip.exe    SUCCESS    Length:

589844   
149    12:32:57    EXPLORER.EXE:572    CLOSE    C:\windows\system32\Shadow\ShadowTip.exe    SUCCESS       
150    12:32:57    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\O5E7G927\a2[1].exe    SUCCESS   





登录后自动连接网络下载弱智木马。
我的疑问:

作为一种可以突破还原的病毒,为什么去下载垃圾木马,连进程都不隐藏。而且占用资源不明显。
这更像是一种象征,一种对抗还原软件的象征。
我怀疑这种突破影子系统的病毒是杀毒软件开发商编写的,打击影子系统,提高市场依赖度。
更可怕的是,这种病毒被反编后,做成更厉害的木马,那时除了ghost,没有别的办法防御了。


Offset: 2560 Length: 512   
151    12:32:57    USERINIT.EXE:528    WRITE    C:\Documents and Settings\ssssss\3.tmp    SUCCESS    Offset: 2560 Length: 512   
152    12:32:57    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\O5E7G927\a2[1].exe    SUCCESS   

Offset: 3072 Length: 512   
153    12:32:57    USERINIT.EXE:528    WRITE    C:\Documents and Settings\ssssss\3.tmp    SUCCESS    Offset: 3072 Length: 512   
154    12:32:57    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\O5E7G927\a2[1].exe    SUCCESS   

Offset: 3584 Length: 512   
155    12:32:57    USERINIT.EXE:528    WRITE    C:\Documents and Settings\ssssss\3.tmp    SUCCESS    Offset: 3584 Length: 512   
156    12:32:57    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\O5E7G927\a3[1].exe    SUCCESS   

5209    12:33:00    USERINIT.EXE:528    CLOSE    C:\windows\AppPatch\sysmain.sdb    SUCCESS       
5210    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\Documents and Settings\cxq\13.tmp    SUCCESS    FileNameInformation   
5211    12:33:00    USERINIT.EXE:528    OPEN    C:\Documents and Settings\CXQ\13.tmp    SUCCESS    Options: Open  Access: All   
5212    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\Documents and Settings\CXQ\13.tmp    SUCCESS    Attributes: A   
5213    12:33:00    USERINIT.EXE:528    CLOSE    C:\Documents and Settings\CXQ\13.tmp    SUCCESS       
5214    12:33:00    USERINIT.EXE:528    OPEN    C:\Documents and Settings\    SUCCESS    Options: Open Directory  Access: All   
5215    12:33:00    USERINIT.EXE:528    DIRECTORY    C:\Documents and Settings\    SUCCESS    FileBothDirectoryInformation: CXQ   
5216    12:33:C:\windows\System32    SUCCESS    Change Notify   
5294    12:33:00    C.tmp:372    CLOSE    C:\windows\system32\avwldmn.dll    SUCCESS       
5295    12:33:00    C.tmp:372    OPEN    C:\windows\system32\avwldmn.dll    SUCCESS    Options: Open  Access: All   
5296    12:33:00    C.tmp:372    SET INFORMATION     C:\windows\system32\avwldmn.dll    SUCCESS    FileBasicInformation   
5297    12:33:00    C.tmp:372    CLOSE    C:\windows\system32\avwldmn.dll    SUCCESS       
5298    12:33:00    C.tmp:372    OPEN    C:\windows\system32\avwldst.exe    NOT FOUND    Options: Open  Access: All   
5299    12:33:00    C.tmp:372    OPEN    C:\windows\system32\avwldst.exe    NOT FOUND    Options: Open  Access: All   
5300    12:33:00    C.tmp:372    OPEN    C:\windows\system32\    SUCCESS    Options: Open Directory  Access: All   
5301    12:33:00    C.tmp:372    DIRECTORY    C:\windows\system32\    NO SUCH FILE    FileBothDirectoryInformation: avwldst.exe   
5302    12:33:00    C.tmp:372    CLOSE    C:\windows\system32\    SUCCESS       
5303    12:33:00    C.tmp:372    OPEN    C:\Documents and Settings\cxq\C.tmp    SUCCESS    Options: Open Sequential  Access: All   
5304    12:33:00    C.tmp:372    QUERY INFORMATION    C:\Documents and Settings\cxq\C.tmp    INVALID PARAMETER    FileAttributeTagInformation   
5305    12:33:00    C.tmp:372    QUERY INFORMATION    C:\Documents and Settings\cxq\C.tmp    SUCCESS    Length: 15281   
5306    12:33:00    C.tmp:372    QUERY INFORMATION    C:\Documents and Settings\cxq\C.tmp    SUCCESS    Attributes: A   
5307    12:33:00    C.tmp:372    QUERY INFORMATION    C:\Documents and Settings\cxq\C.tmp    INVALID PARAMETER    FileStreamInformation   
5308    12:33:00    C.tmp:372    QUERY INFORMATION    C:\Documents and Settings\cxq\C.tmp    SUCCESS    Attributes: A   
5309    12:33:\System32    SUCCESS    Change Notify   
5317    12:33:00    C.tmp:372    QUERY INFORMATION    C:\Documents and Settings\cxq\C.tmp    SUCCESS    Length: 15281   
5318    12:33:00    C.tmp:372    WRITE     C:\windows\system32\avwldst.exe    SUCCESS    Offset: 0 Length: 15281   
5319    12:33:00    C.tmp:372    SET INFORMATION     C:\windows\system32\avwldst.exe    SUCCESS    FileBasicInformation   
5320    12:33:00    WINLOGON.EXE:672    DIRECTORY    C:\windows\System32    SUCCESS    Change Notify   
5321    12:33:00    C.tmp:372    CLOSE    C:\Documents and Settings\cxq\C.tmp    SUCCESS       
5322    12:33:00    C.tmp:372    CLOSE    C:\windows\system32\avwldst.exe    SUCCESS       
5323    12:33:00    C.tmp:372    OPEN    C:\windows\system32\avwldin.dll    NOT FOUND    Options: Open  Access: All   
5324    12:33:00    C.tmp:372    OPEN    C:\windows\system32\avwldin.dll    SUCCESS    Options: OpenIf  Access: All   
5325    12:33:00    C.tmp:372    LOCK    C:\windows\system32\avwldin.dll    SUCCESS    Excl: Yes Offset: 0 Length: -1   
5326    12:33:00    C.tmp:372    QUERY INFORMATION    C:\windows\system32\avwldin.dll    SUCCESS    Length: 0   
5327    12:33:00    C.tmp:372    READ     C:\windows\system32\avwldin.dll    SUCCESS    Offset: 0 Length: 0   
5328    12:33:00    WINLOGON.EXE:672    DIRECTORY    C:\windows\System32    SUCCESS    Change Notify   
5329    12:33:00    C.tmp:372    WRITE     C:\windows\system32\avwldin.dll    SUCCESS    Offset: 0 Length: 62   
5330    12:33:00    C.tmp:372    SET INFORMATION     C:\windows\system32\avwldin.dll    SUCCESS    Length: 62   
5331    12:33:00    C.tmp:372    UNLOCK    C:\windows\system32\avwldin.dll    RANGE NOT LOCKED    Offset: 0 Length: -1   
5332    12:33:00    C.tmp:372    CLOSE    C:\windows\system32\avwldin.dll    SUCCESS       
5333    12:33:00    WINLOGON.EXE:672    DIRECTORY    C:\windows\System32    SUCCESS    Change Notify   
5334    12:33:00    USERINIT.EXE:528    OPEN    C:\Documents and Settings\cxq\\2.tmp    SUCCESS    Options: Open  Access: All   
5335    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\Documents and Settings\cxq\\2.tmp    SUCCESS    Attributes: A   
5336    12:33:00    USERINIT.EXE:528    CLOSE    C:\Documents and Settings\cxq\\2.tmp    SUCCESS       
5337    12:33:00    USERINIT.EXE:528    OPEN    C:\Documents and Settings\cxq\2.tmp    SUCCESS    Options: Open  Access: All   
5338    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\Documents and Settings\cxq\2.tmp    SUCCESS    Attributes: A   
5339    12:33:00    USERINIT.EXE:528    CLOSE    C:\Documents and Settings\cxq\2.tmp    SUCCESS       
5340    12:33:00    USERINIT.EXE:528    OPEN    C:\Documents and Settings\cxq\2.tmp    SUCCESS    Options: Open  Access: All   
5341    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\Documents and Settings\cxq\2.tmp    SUCCESS    Length: 6656   
5342    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\Documents and Settings\cxq\14.tmp    SUCCESS    Attributes: A   
5343    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\Documents and Settings\cxq\14.tmp    SUCCESS    Length: 13714   
5344    12:33:00    USERINIT.EXE:528    CLOSE    C:\windows\AppPatch\sysmain.sdb    SUCCESS       
5345    12:33:00    E.tmp:420    READ     C:\Documents and Settings\cxq\E.tmp    SUCCESS    Offset: 11264 Length: 512   
5346    12:33:00    E.tmp:420    READ     C:\Documents and Settings\cxq\E.tmp    SUCCESS    Offset: 11776 Length: 1024   
5347    12:33:00    E.tmp:420    READ     C:\Documents and Settings\cxq\E.tmp    SUCCESS    Offset: 29696 Length: 6656   
5348    12:33:00    EXPLORER.EXE:572    OPEN    C:\windows\system32\ucjpyejoua.dll    SUCCESS    Options: Open  Access: All   
5349    12:33:00    EXPLORER.EXE:572    QUERY INFORMATION    C:\windows\system32\ucjpyejoua.dll    SUCCESS    Attributes: A   
5350    12:33:00    EXPLORER.EXE:572    CLOSE    C:\windows\system32\ucjpyejoua.dll    SUCCESS       
5351    12:33:00    F.tmp:404    OPEN    C:\windows\system32\IMM32.DLL    SUCCESS    Options: Open  Access: All   
5352    12:33:00    F.tmp:404    QUERY INFORMATION    C:\windows\system32\IMM32.DLL    SUCCESS    Attributes: A   
5353    12:33:00    F.tmp\IMM32.DLL    SUCCESS       
5366    12:33:00    F.tmp:404    OPEN    C:\windows\system32\IMM32.DLL    SUCCESS    Options: Open  Access: Execute   
5367    12:33:00    USERINIT.EXE:528    CLOSE    C:\Documents and Settings\cxq\13.tmp    SUCCESS       
5368    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Offset: 12800 Length: 512   
5369    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\12.tmp    SUCCESS    Offset: 12800 Length: 512   
5370    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Offset: 13312 Length: 512   
5371    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\12.tmp    SUCCESS    Offset: 13312 Length: 512   
5372    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Offset: 13824 Length: 512   
5373    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\12.tmp    SUCCESS    Offset: 13824 Length: 512   
5374    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Offset: 14336 Length: 512   
5375    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\12.tmp    SUCCESS    Offset: 14336 Length: 512   
5376    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Offset: 14848 Length: 512   
5377    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\12.tmp    SUCCESS    Offset: 14848 Length: 512   
5378    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Offset: 15360 Length: 512   
5379    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\12.tmp    SUCCESS    Offset: 15360 Length: 512   
5380    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Offset: 15872 Length: 87   
5381    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\12.tmp    SUCCESS    Offset: 15872 Length: 87   
5382    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS    Attributes: A   
5383    12:33:00    USERINIT.EXE:528    CLOSE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a17[1].exe    SUCCESS       
5384    12:33:00    USERINIT.EXE:528    QUERY INFORMATION    C:\NET TEMP\Temporary Internet Files\Content.IE5\INDEX.DAT    SUCCESS    Length: 147456   
5385    12:33:00    Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 7168 Length: 512   
5415    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 7168 Length: 512   
5416    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 7680 Length: 512   
5417    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 7680 Length: 512   
5418    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 8192 Length: 512   
5419    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 8192 Length: 512   
5420    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 8704 Length: 512   
5421    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 8704 Length: 512   
5422    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 9216 Length: 512   
5423    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 9216 Length: 512   
5424    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 9728 Length: 512   
5425    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 9728 Length: 512   
5426    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 10240 Length: 512   
5427    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 10240 Length: 512   
5428    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 10752 Length: 512   
5429    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 10752 Length: 512   
5430    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 11264 Length: 512   
5431    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 11264 Length: 512   
5432    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 11776 Length: 512   
5433    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 11776 Length: 512   
5434    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 12288 Length: 512   
5435    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 12288 Length: 512   
5436    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 13824 Length: 512   
5437    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 13824 Length: 512   
5438    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 16896 Length: 512   
5449    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 16896 Length: 512   
5450    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 17408 Length: 512   
5451    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 17408 Length: 512   
5452    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 17920 Length: 512   
5453    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 17920 Length: 512   
5454    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 18432 Length: 512   
5455    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 18432 Length: 512   
5456    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 18944 Length: 512   
5457    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 18944 Length: 512   
5458    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 19456 Length: 512   
5459    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 19456 Length: 512   
5460    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 19968 Length: 512   
5461    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 19968 Length: 512   
5462    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 20480 Length: 512   
5463    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 20480 Length: 512   
5464    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 20992 Length: 512   
5465    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 20992 Length: 512   
5466    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 21504 Length: 512   
5467    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 21504 Length: 512   
5468    12:33:00    5478    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 24576 Length: 512   
5479    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 24576 Length: 512   
5480    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 25088 Length: 512   
5481    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 25088 Length: 512   
5482    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 25600 Length: 512   
5483    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 25600 Length: 512   
5484    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 26112 Length: 512   
5485    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 26112 Length: 512   
5486    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 26624 Length: 512   
5487    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 26624 Length: 512   
5488    12:33:00    C.tmp:372    READ     C:    SUCCESS    Offset: 394240 Length: 8192   
5489    12:33:00    F.tmp:404    CLOSE    C:\windows\system32\IMM32.DLL    SUCCESS       
5490    12:33:00    F.tmp:404    OPEN    C:\windows\system32\IMM32.DLL    SUCCESS    Options: Open  Access: All   
5491    12:33:00    F.tmp:404    QUERY INFORMATION    C:\windows\system32\IMM32.DLL    SUCCESS    Attributes: A   
5492    12:33:00    F.tmp:404    CLOSE    C:\windows\system32\IMM32.DLL    SUCCESS       
5493    12:33:00    F.tmp:404    OPEN    C:\windows\system32\IMM32.DLL    SUCCESS    Options: Open  Access: All   
5494    12:33:00    F.tmp:404    QUERY INFORMATION    C:\windows\system32\IMM32.DLL    SUCCESS    Attributes: A   
5495    12:33:00    F.tmp:404    CLOSE    C:\windows\system32\IMM32.DLL    SUCCESS       
5496    12:33:00    F.tmp:404    OPEN    C:\Documents and Settings\cxq\LPK.DLL    NOT FOUND    Options: Open  Access: All   
5497    12:33:00    F.tmp:404    OPEN    C:\windows\system32\LPK.DLL    SUCCESS    Options: Open  Access: All   
5498    12:33:00    F.tmp:404    QUERY INFORMATION    C:\windows\system32\LPK.DLL    SUCCESS    Attributes: A   
5499    12:33:00    F.tmp:404    CLOSE    C:\windows\system32\LPK.DLL    SUCCESS       
5500    12:33:00    F.tmp:404    OPEN    C:\windows\system32\LPK.DLL    SUCCESS    Options: Open  Access: Execute   
5501    12:33:00    F.tmp:404    CLOSE    C:\windows\system32\LPK.DLL    SUCCESS       
5502    12:33:Settings\    SUCCESS    Options: Open Directory  Access: All   
5524    12:33:00    USERINIT.EXE:528    DIRECTORY    C:\Documents and Settings\    SUCCESS    FileBothDirectoryInformation: cxq   
5525    12:       
5544    12:33:00    10.tmp:412    OPEN    C:\windows\system32\IMM32.DLL    SUCCESS    Options: Open  Access: All   
5545    12:33:00    10.tmp:412    QUERY INFORMATION    C:\windows\system32\IMM32.DLL    SUCCESS    Attributes: A   
5546    12:33:00    10.tmp:412    CLOSE    C:\windows\system32\IMM32.DLL    SUCCESS        : Open  Access: All   
5573    12:33:00    C.tmp:372    QUERY INFORMATION    C:\windows\system32\avwldst.exe    SUCCESS    Attributes: A   
5574    12:33:00    C.tmp:372    CLOSE    C:\windows\system32\avwldst.exe    SUCCESS       
5575    12:33:00    C.tmp:372    OPEN    C:\windows\system32\avwldst.exe    SUCCESS    Options: Open ngth: 512   
5582    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 13312 Length: 512   
5583    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 13824 Length: 512   
5584    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 13824 Length: 512   
5585    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 14336 Length: 512   
5586    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 14336 Length: 512   
5587    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 14848 Length: 512   
5588    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 14848 Length: 512   
5589    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 15360 Length: 512   
5590    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 15360 Length: 512   
5591    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 15872 Length: 512   
5592    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 15872 Length: 512   
5593    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 16384 Length: 512   
5594    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 16384 Length: 512   
5595    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 16896 Length: 512   
5596    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 16896 Length: 512   
5597    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 17408 Length: 512   
5598    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 17408 Length: 512   
5599    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 17920 Length: 512   
56005616    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 13312 Length: 512   
5617    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 13312 Length: 512   
5618    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 13824 Length: 512   
5619    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    5659    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    SUCCESS    Offset: 19968 Length: 512   
5660    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a22[1].exe    SUCCESS    Offset: 20480 Length: 512   
5661    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\17.tmp    5718    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 34304 Length: 512   
5719    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 34304 Length: 512   
5720    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 34816 Length: 512   
5721    12:33:00\\15.tmp    SUCCESS    Offset: 38400 Length: 512   
5736    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 38912 Length: 512   
5737    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 38912 Length: 512   
5738    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 45056 Length: 512   
5761    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 45056 Length: 512   
5762    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 45568 Length: 512   
5763    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 45568 Length: 512   
5764    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 46080 Length: 512   
5765    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 46080 Length: 512   
5766    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 46592 Length: 512   
5767    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 46592 Length: 512   
5768    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 47104 Length: 512   
5769    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 47104 Length: 512   
5770    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 47616 Length: 512   
5771    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 47616 Length: 512   
5772    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 48128 Length: 512   
5773    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 48128 Length: 512   
5774    12:33:00    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a20[1].exe    SUCCESS    Offset: 48640 Length: 512   
5775    12:33:00    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\15.tmp    SUCCESS    Offset: 48640 Length: 512   
5776    12:33:01    F.tmp:404    OPEN    C:\windows\system32\    SUCCESS    Options: Open Directory  Access: All   
5777    12:33:01    F.tmp:404    DIRECTORY    C:\windows\system32\    NO SUCH FILE    FileBothDirectoryInformation: avwgcmn.dll   
5778    12:33:01    F.tmp:404    CLOSE    C:\windows\system32\    SUCCESS       
5779    12:33:01    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 25600 Length: 512   
5780    12:33:01    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 25600 Length: 512   
5781    12:33:01    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 26112 Length: 512   
5782    12:33:01    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 26112 Length: 512   
5783    12:33:01    USERINIT.EXE:528    WRITE    C:\NET TEMP\Temporary Internet Files\Content.IE5\8HEBG9EF\a21[1].exe    SUCCESS    Offset: 26624 Length: 512   
5784    12:33:01    USERINIT.EXE:528    WRITE    C:\Documents and Settings\cxq\\16.tmp    SUCCESS    Offset: 26624 Length: 512   
5785    7795    12:45:46    SERVICES.EXE:340    SET INFORMATION     C:\windows\System32\CONFIG\SYSTEM.LOG    SUCCESS    Length: 106496   
7796    12:45:46    SERVICES.EXE:340    SET INFORMATION     C:\windows\System32\CONFIG\SYSTEM.LOG    SUCCESS    Length: 110592   
7797    12:45:46    SERVICES.EXE:340    WRITE     C:\windows\System32\CONFIG\SYSTEM.LOG    SUCCESS    Offset: 0 Length: 512   
7798    12:45:46    avzxest.exe:908    READ     C:\windows\system32\avzxest.exe    SUCCESS    Offset: 512 Length: 15360   
7799    12:45:46    SERVICES.EXE:340    FLUSH    C:\windows\System32\CONFIG\SYSTEM.LOG    SUCCESS       
7800    12:45:46    SERVICES.EXE:340    WRITE     C:    SUCCESS    Offset: 0 Length: 4096   
7801    12:45:46    3.tmp:1948    OPEN    C:\Documents and Settings\cxq\\wdmaud.drv    NOT FOUND    Options: Open  Access: All   





可以看出读写了index.dat


下面是SREngLOG.log:

[CODE]

2007-11-01,17:42:54

System Repair Engineer 2.4.12.806
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\windows\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RunShadowTip><C:\windows\system32\Shadow\ShadowTip.exe>  [PowerShadow]
    <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>  [NVIDIA Corporation]
    <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>  [NVIDIA Corporation]
    <DU Meter><C:\Program Files\DU Meter V3\DUMeter.exe>  [Hagel Technologies Ltd]
    <AntiARPStandalone><C:\Program Files\AntiARP Stand-alone Edition\AntiArp.exe>  []
    <upxdnd><C:\windows\upxdnd.exe>  []
    <GenProtect><C:\windows\GenProtect.exe>  []
    <KVP><C:\windows\system32\drivers\svchost.exe>  []
    <WinSysM><C:\windows\IGM.exe>  []
    <DbgHlp32><C:\windows\DbgHlp32.exe>  []
    <cmdbcs><C:\windows\cmdbcs.exe>  []
    <WinSysW><C:\windows\swchost.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><avwgemn.dll>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{4960356A-458E-DE24-BD50-268F589A56A4}><C:\windows\system32\avwldmn.dll>  []
    <{7C87A354-ABC3-DEDE-FF33-3213FD7447C7}><C:\windows\system32\kvdxgma.dll>  []
    <{5A1247C1-53DA-FF43-ABD3-345F323A48D5}><C:\windows\system32\avwgemn.dll>  []
    <{383D0D27-789F-4543-9760-D4E199623476}><C:\windows\system32\lsyfouagms.dll>  [Microsoft Corporation]
    <{38907901-1416-3389-9981-372178569983}><C:\windows\system32\kawdczy.dll>  []
    <{5859245F-345D-BC13-AC4F-145D47DA34F5}><C:\windows\system32\avzxemn.dll>  []
    <{25799B4A-E35A-4A34-BFE5-07C0784C37C7}><C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys>  []
    <{28847374-8323-FADC-B443-4732ABCD3782}><C:\windows\system32\sidjbzy.dll>  []
    <{66650011-3344-6688-4899-345FABCD1566}><C:\windows\system32\ratbfpi.dll>  []
    <{397DC049-1607-4EBE-ACA5-230937F4D526}><C:\windows\system32\chnudintydin.dll>  [Microsoft Corporation]

==================================
启动文件夹
[安全警告]
  <C:\Documents and Settings\ddsddddddd\「开始」菜单\程序\启动\安全警告.txt -->  [N/A]><N>
[关闭默认共享]
  <C:\Documents and Settings\ddsddddddd\「开始」菜单\程序\启动\关闭默认共享.bat -->  [N/A]><N>

==================================
服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
  <C:\windows\system32\nvsvc32.exe><NVIDIA Corporation>
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
  <"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>
[Shadow System Service / ShadowSystemService][Running/Auto Start]
  <C:\WINDOWS\system32\shadow\ShadowService.exe><N/A>

==================================
驱动程序
[360TimeProt / 360TimeProt][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\360TimeProt.sys><N/A>
[Aureal Game Port Enumerator / admjoy][Running/Manual Start]
  <system32\DRIVERS\admjoy.sys><Aureal, Inc.>
[AEGIS Protocol (IEEE 802.1x) v3.4.3.0 / AegisP][Running/Auto Start]
  <system32\DRIVERS\AegisP.sys><Meetinghouse Data Communications>
[ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter / AN983][Stopped/Manual Start]
  <system32\DRIVERS\AN983.sys><ADMtek Incorporated.>
[AntiARP NDIS Protocol Driver / AntiArpNdisProt][Running/Auto Start]
  <system32\DRIVERS\AntiArpNdisProt.sys><Windows (R) 2000 DDK provider>
[ISO CD-ROM Device Driver / ISODrive][Stopped/Manual Start]
  <\??\C:\Program Files\UltraISO PE 8.6.3.2056\drivers\ISODrive.sys><EZB Systems, Inc.>
[NetGroup Packet Filter Driver / NPF][Stopped/Manual Start]
  <system32\drivers\npf.sys><Politecnico di Torino>
[nv / nv][Running/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Stopped/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[TL-WN321G/WN321G+ Wireless USB Adapter / RT73][Running/Manual Start]
  <system32\DRIVERS\rt73.sys><Ralink Technology, Corp.>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[Aureal Vortex 8830 Audio Driver (WDM) / wdm_au8830][Running/Manual Start]
  <system32\drivers\adm8830.sys><Aureal, Inc.>
[xAntiArpSpoof Service / xAntiArp][Running/Manual Start]
  <system32\DRIVERS\xAntiArp.sys><Windows (R) 2000 DDK provider>

==================================
浏览器加载项
[ThunderAtOnce Class]
  {01443AEC-0FD1-40fd-9C87-E93D1494C233} <C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking

Technologies,LTD>
[Thunder Browser Helper]
  {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll, Thunder Networking

Technologies,LTD>
[Adobe PDF Reader Link Helper]
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[QQMain Class]
  {2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE7.DLL, Microsoft Corporation>
[启动迅雷5]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <C:\Program Files\Thunder Network\Thunder\Thunder.exe, Thunder Networking Technologies,LTD>
[QQ]
  {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT>
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[ThunderAtOnce Class]
  {01443AEC-0FD1-40FD-9C87-E93D1494C233} <C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking

Technologies,LTD>
[Adobe PDF Reader Link Helper]
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[QQMain Class]
  {2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE7.DLL, Microsoft Corporation>
[Thunder Agent Class]
  {485463B7-8FB2-4B3B-B29B-8B919B0EACCE} <C:\Program Files\Thunder Network\Thunder\ComDlls\ThunderAgent_Now.dll, Thunder Networking

Technologies,LTD>
[XMP Class]
  {6483F145-A768-4C41-AACC-52D4D7845851} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\xplayer.dll_1_work, >
[XDRM]
  {693571CB-54A3-4E90-9D52-EEAE1334E2D3} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\xdrm.dll_1_work, >
[Active Desktop Mover]
  {72267F6A-A6F9-11D0-BC94-00C04FB67863} <%SystemRoot%\system32\SHELL32.dll, N/A>
[MediaComm Class]
  {7670648D-461B-42AF-BDFE-46D26AF5EFF2} <C:\Program Files\Thunder Network\Thunder\Components\InMedia\MediaAddin13.dll, Thunder Networking

Technologies,LTD>
[Microsoft Web 浏览器]
  {8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll, Thunder Networking

Technologies,LTD>
[RMGetLicense Class]
  {A9FC132B-096D-460B-B7D5-1DB0FAE0C062} <C:\WINDOWS\system32\msnetobj.dll, Microsoft Corporation>
[Thunder DapPlayer]
  {EEDD6FF9-13DE-496B-9A1C-D78B3215E266} <C:\Program Files\Thunder Network\Thunder\Components\DownAndPlay\DapPlayer3.0.11.17.dll, ShenZhen

Thunder Networking Technologies Ltd.>
[XPPlayer Class]
  {F3E70CEA-956E-49CC-B444-73AFE593AD7F} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\pplayer.dll_1_work,

Thunder>
[使用迅雷下载]
  <C:\Program Files\Thunder Network\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
  <C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
  <C:\Program Files\Tencent\QQ\AddPanel.htm, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
  <C:\Program Files\Tencent\QQ\SendMMS.htm, N/A>

==================================
正在运行的进程
[PID: 220][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 648][\??\C:\windows\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 672][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 716][C:\windows\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\LYMANGR.DLL]  [N/A, ]
[PID: 728][C:\windows\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 880][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 924][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 960][C:\windows\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1016][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1204][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1512][C:\windows\system32\nvsvc32.exe]  [NVIDIA Corporation, 6.14.10.8466]
[PID: 1616][C:\WINDOWS\system32\shadow\ShadowService.exe]  [N/A, ]
[PID: 2040][C:\windows\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1096][C:\windows\Explorer.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\Shadow\pDeskTop.dll]  [N/A, ]
    [C:\windows\system32\lsyfouagms.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys]  [N/A, ]
    [C:\windows\system32\upxdnd.dll]  [N/A, ]
    [C:\windows\system32\GenProtect.dll]  [N/A, ]
    [C:\windows\system32\chnudintydin.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\sqmapi32.dll]  [N/A, ]
    [C:\windows\system32\kawdczy.dll]  [N/A, ]
    [C:\windows\system32\sidjbzy.dll]  [N/A, ]
    [C:\windows\system32\avwgemn.dll]  [N/A, ]
    [C:\windows\system32\kvdxgma.dll]  [N/A, ]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
    [C:\windows\system32\ratbfpi.dll]  [N/A, ]
    [C:\windows\system32\avzxemn.dll]  [N/A, ]
    [C:\windows\system32\qqsgatl.dll]  [N/A, ]
    [C:\windows\system32\DbgHlp32.dll]  [N/A, ]
    [C:\windows\system32\cmdbcs.dll]  [N/A, ]
    [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll]  [Adobe Systems, Inc., 8.0.0.0]
    [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.CHS]  [Adobe Systems, Inc., 8.0.0.0]
    [C:\WINDOWS\system32\nvcpl.dll]  [NVIDIA Corporation, 6.14.10.8466]
    [C:\windows\system32\NVRSZHC.DLL]  [NVIDIA Corporation, 6.14.10.8466]
    [C:\Program Files\FastCopy\fastext1.dll]  [SHIROUZU Hiroaki, 1, 3, 0, 0]
    [C:\windows\system32\nvshell.dll]  [, ]
[PID: 1052][C:\windows\system32\Shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]
    [C:\windows\system32\Shadow\pDeskTop.dll]  [N/A, ]
    [C:\windows\system32\lsyfouagms.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\upxdnd.dll]  [N/A, ]
    [C:\windows\system32\chnudintydin.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\GenProtect.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys]  [N/A, ]
    [C:\windows\system32\DbgHlp32.dll]  [N/A, ]
    [C:\windows\system32\cmdbcs.dll]  [N/A, ]
    [C:\windows\system32\kvdxgma.dll]  [N/A, ]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
    [C:\windows\system32\ratbfpi.dll]  [N/A, ]
    [C:\windows\system32\kawdczy.dll]  [N/A, ]
    [C:\windows\system32\avzxemn.dll]  [N/A, ]
    [C:\windows\system32\avwgemn.dll]  [N/A, ]
    [C:\windows\system32\sidjbzy.dll]  [N/A, ]
    [C:\windows\system32\qqsgatl.dll]  [N/A, ]
[PID: 1260][C:\windows\system32\RUNDLL32.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\NvMcTray.dll]  [NVIDIA Corporation, 6.14.10.8466]
    [C:\windows\system32\NVRSZHC.DLL]  [NVIDIA Corporation, 6.14.10.8466]
    [C:\windows\system32\DbgHlp32.dll]  [N/A, ]
    [C:\windows\system32\cmdbcs.dll]  [N/A, ]
    [C:\windows\system32\chnudintydin.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\GenProtect.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys]  [N/A, ]
    [C:\windows\system32\upxdnd.dll]  [N/A, ]
    [C:\windows\system32\lsyfouagms.dll]  [Microsoft Corporation, 5.1.2600.3099]
[PID: 1296][C:\Program Files\DU Meter V3\DUMeter.exe]  [Hagel Technologies Ltd, 3.50 Build R2822]
    [C:\Program Files\DU Meter V3\DUData.dll]  [Hagel Technologies Ltd, 3.50 Build R2822]
    [C:\windows\system32\lsyfouagms.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\upxdnd.dll]  [N/A, ]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys]  [N/A, ]
    [C:\windows\system32\kvdxgma.dll]  [N/A, ]
    [C:\windows\system32\GenProtect.dll]  [N/A, ]
    [C:\windows\system32\chnudintydin.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\qqsgatl.dll]  [N/A, ]
    [C:\windows\system32\DbgHlp32.dll]  [N/A, ]
    [C:\windows\system32\cmdbcs.dll]  [N/A, ]
    [C:\windows\system32\kawdczy.dll]  [N/A, ]
    [C:\windows\system32\avzxemn.dll]  [N/A, ]
    [C:\windows\system32\avwgemn.dll]  [N/A, ]
    [C:\windows\system32\sidjbzy.dll]  [N/A, ]
    [C:\windows\system32\ratbfpi.dll]  [N/A, ]
[PID: 1344][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\upxdnd.dll]  [N/A, ]
    [C:\windows\system32\lsyfouagms.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\chnudintydin.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\GenProtect.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys]  [N/A, ]
    [C:\windows\system32\DbgHlp32.dll]  [N/A, ]
    [C:\windows\system32\cmdbcs.dll]  [N/A, ]
[PID: 1404][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\lsyfouagms.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys]  [N/A, ]
    [C:\windows\system32\chnudintydin.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\DbgHlp32.dll]  [N/A, ]
    [C:\windows\system32\cmdbcs.dll]  [N/A, ]
    [C:\windows\system32\GenProtect.dll]  [N/A, ]
    [C:\windows\system32\upxdnd.dll]  [N/A, ]
[PID: 720][C:\windows\system32\avwldst.exe]  [N/A, ]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
[PID: 284][C:\windows\system32\kawdcaz.exe]  [N/A, ]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
    [C:\windows\system32\kawdczy.dll]  [N/A, ]
[PID: 1180][C:\windows\system32\sidjbaz.exe]  [N/A, ]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
    [C:\windows\system32\sidjbzy.dll]  [N/A, ]
[PID: 2920][C:\windows\swchost.exe]  [N/A, ]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
[PID: 3300][C:\Program Files\安全检测工具\(SREng)\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
    [C:\windows\system32\avwldmn.dll]  [N/A, ]
    [C:\windows\system32\qqsgatl.dll]  [N/A, ]
    [C:\windows\system32\chnudintydin.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\windows\system32\lsyfouagms.dll]  [Microsoft Corporation, 5.1.2600.3099]
    [C:\Program Files\Internet Explorer\PLUGINS\WinSys8x.Sys]  [N/A, ]
    [C:\windows\system32\DbgHlp32.dll]  [N/A, ]
    [C:\windows\system32\cmdbcs.dll]  [N/A, ]
    [C:\windows\system32\GenProtect.dll]  [N/A, ]
    [C:\windows\system32\upxdnd.dll]  [N/A, ]
    [C:\windows\system32\ratbfpi.dll]  [N/A, ]
    [C:\windows\system32\kawdczy.dll]  [N/A, ]
    [C:\windows\system32\avzxemn.dll]  [N/A, ]
    [C:\windows\system32\avwgemn.dll]  [N/A, ]
    [C:\windows\system32\sidjbzy.dll]  [N/A, ]
    [C:\windows\system32\kvdxgma.dll]  [N/A, ]
    [C:\windows\system32\sqmapi32.dll]  [N/A, ]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\windows\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\windows\system32\sqmapi32.dll(, N/A)

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


[/CODE]


病毒样本见下。
修改userinit.exe文件,大小不变,但是版权消失。


在本站查看更多关于userinit.exe病毒的软件

磁碟机最新变种样本 
eqafwlg病毒新变种,真
IGM.exe病毒样本 
九月的雪病毒样本 
禽兽 病毒样本 
没有相关软件
栏目导航
病毒样本软件排行榜
最近更新的软件
版权所有:山东.临沂 2007-2009 未经授权禁止复制或建立镜像,违法必究!
\\ QQ:344461263 Tel:015853924520 文章投递:Pc539@vip.qq.com  临沂电脑网 //
copyright © 2007-2009 www.pc539.com online services. all rights reserved. 鲁ICP备 06009634
Template designed by 山东.临沂 Optimized for 1024x768 to Firefox, MS-IE6 IE7.