fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等1

 fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等1

endurer 原创
2008-07-23 第1版

一位朋友说他的电脑昨晚中了病毒，系统曾提示系统文件被替换，要求插入windows安装光盘；打开IE时系统失去响应……用瑞星查杀病毒后，输入法图标不见了，请偶帮忙检修。

用 pe_xscan 扫描 log 并分析，发现如下可疑项： 

pe_xscan 08-07-02 by Purple Endurer
2008-7-23 12:40:48
Windows XP Service Pack 2(5.1.2600)
MSIE:7.0.5730.13
管理员用户组
正常模式

O2 - BHO BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} =C:/WINDOWS/DOWNLO~1/BDHelper.dll | 2003-2-20 8:24:58
O2 - BHO - {D47A61B8-0EAB-417F-8DF4-5C949982A2AF} =C:/Program Files/Internet Explorer/PLUGINS/Windows64.Sys

O10 - LSP: MSAFD Tcpip [TCP/IP] =c:/windows/fontsapcum.dll |

O11 - IE扩展选项组：!CNS () =

O23 - 服务: aaudstum (aaudstum) -C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/aaudstum.sys (手动)
O23 - 服务: cxaab (cxaab) -C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/_tmp.bat (手动)
O23 - 服务: HBKernel (HBKernel Driver) - system32/DRIVERS/HBKernel.sys (引导)
O23 - 服务: Hdv32 (Hdv32) -C:/WINDOWS/system32/drivers/Hdv32_c.sys (手动)
O23 - 服务: Hev32 (Hev32) -C:/WINDOWS/system32/drivers/Hev32_c.sys (手动)
O23 - 服务: LBQFVKA (JCWQMH) -C:/WINDOWS/system32/svchost.exe -k RUXBKNQUX | 2004-8-11 16:0:0 -> C:/Windows/system32/OUAHOVAG.DLL(自动)
O23 - 服务: msiffei () - System32/Drivers/msiffei.sys | 2008-7-22 12:17:13(手动)
O23 - 服务: NUBKRZH (HNUDM) -C:/WINDOWS/system32/svchost.exe -k VBJRYGPXHPW | 2004-8-11 16:0:0 -> C:/Windows/system32/wbem/FLRXFLSYFLSYFLS.DLL(自动)
O23 - 服务: Relations (COM+ Error Report) -C:/WINDOWS/System32/svchost.exe -k netsvcs | 2004-8-11 16:0:0 -> C:/WINDOWS/system32/spted.dll(自动)
O24 - ShlExecHook: [MICROSOFT] - {259BF3CF-194D-4FE6-9ADB-DE6544B098B6} =C:/WINDOWS/system32/dndsaf.dll
O24 - ShlExecHook: [MICROSOFT] - {A9895933-6636-4281-BC58-EE6DE2AF96E3} =C:/WINDOWS/system32/ddserh.dll
O24 - ShlExecHook: [MICROSOFT] - {EB71E0B3-E97D-4D30-8733-E28266467617} =C:/WINDOWS/system32/wyhesm.dll
O24 - ShlExecHook: [MICROSOFT] - {841529CB-7F77-4B99-A895-B5441E0D302F} =C:/WINDOWS/system32/jfrwdh.dll
O24 - ShlExecHook: [MICROSOFT] - {45AADFAA-DD36-42AB-83AD-0521BBF58C24} =C:/WINDOWS/system32/zycdex.dll
O24 - ShlExecHook: [] - {D47A61B8-0EAB-417F-8DF4-5C949982A2AF} =C:/Program Files/Internet Explorer/PLUGINS/Windows64.Sys
O24 - ShlExecHook: [MICROSOFT] - {F99DEFDD-200B-4410-B572-E90883D527D2} =C:/WINDOWS/system32/wrqszl.dll
O24 - ShlExecHook: [c] - {11dd57d5-32bb-4790-83cf-6b421fb4e7ec} =C:/WINDOWS/system32/MMBAIKOK1101.dll
O24 - ShlExecHook: [MICROSOFT] - {E8A3B193-77E3-4FB3-986D-F4FA4828BAFC} =C:/WINDOWS/system32/wklsdd.dll
O24 - ShlExecHook: [MICROSOFT] - {1E51C0FD-EE36-434B-AD2A-FD1FF3731C38} =C:/WINDOWS/system32/wyrsdj.dll
O24 - ShlExecHook: [MICROSOFT] - {8C41B7F7-3168-400D-A702-0E7EFE0BA304} =C:/WINDOWS/system32/sgdewg.dll
O24 - ShlExecHook: [MICROSOFT] - {84143967-B645-4BFF-B873-DA1DC886E9A7} =C:/WINDOWS/system32/cedafb.dll
O24 - ShlExecHook: [MICROSOFT] - {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6} =C:/WINDOWS/system32/fsrgeb.dll
O24 - ShlExecHook: [MICROSOFT] - {50A8A8C4-EDC9-4ABD-A0A2-2E2418982189} =C:/WINDOWS/system32/kgfghd.dll
O24 - ShlExecHook: [5] - {00010001-0001-0001-0001-00010001BB15} =C:/WINDOWS/system32/adsntzt.dll
O24 - ShlExecHook: [MICROSOFT] - {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} =C:/WINDOWS/system32/hhrdxd.dll
O24 - ShlExecHook: [MICROSOFT] - {53D44DB6-E22B-4B17-97D3-572C96CCA6E1} =C:/WINDOWS/system32/zsdgff.dll
O24 - ShlExecHook: [MICROSOFT] - {04ED0F3B-D53B-4DBF-BB20-8DFBC3176068} =C:/WINDOWS/system32/jbgyer.dll
O24 - ShlExecHook: [MICROSOFT] - {0B846B26-BFE6-4E8E-A948-1DB17B77B483} =C:/WINDOWS/system32/tdfhex.dll
O24 - ShlExecHook: [MICROSOFT] - {73AE86E6-7F03-4C3B-8980-FB1DA157D3C7} =C:/WINDOWS/system32/fmcvxy.dll
O24 - ShlExecHook: [7] - {1c0f1519-297a-4c5c-a27b-f2d43e8c6597} =C:/WINDOWS/system32/MMHADPQG1100.dll
O24 - ShlExecHook: [MICROSOFT] - {7914E0AA-ECCB-4311-B584-C49538227824} =C:/WINDOWS/system32/jhfrxz.dll

O26 - IFEO: 360Loader.exe -> svchost.exe
O26 - IFEO: 360rpt.exe -> ntsd -d
O26 - IFEO: 360Safe.exe -> ntsd -d
O26 - IFEO: 360tray.exe -> ntsd -d
O26 - IFEO: adam.exe -> ntsd -d
O26 - IFEO: AgentSvr.exe -> ntsd -d
O26 - IFEO: AntiArp.exe -> ntsd -d
O26 - IFEO: AppSvc32.exe -> ntsd -d
O26 - IFEO: autoruns.exe -> ntsd -d
O26 - IFEO: avconsol.exe -> ntsd -d
O26 - IFEO: avgrssvc.exe -> ntsd -d
O26 - IFEO: AvMonitor.exe -> ntsd -d
O26 - IFEO: avp.com -> ntsd -d
O26 - IFEO: avp.exe -> ntsd -d
O26 - IFEO: ccSvcHst.exe -> ntsd -d
O26 - IFEO: ctfmon.exe -> SoundMan.exe
O26 - IFEO: DrvAnti.exe -> ntsd -d
O26 - IFEO: drwadins.exe -> ntsd -d
O26 - IFEO: drwebscd.exe -> ntsd -d
O26 - IFEO: drwebupw.exe -> ntsd -d
O26 - IFEO: EGHOST.exe -> ntsd -d
O26 - IFEO: filemon.exe -> ntsd -d
O26 - IFEO: FTCleanerShell.exe -> ntsd -d
O26 - IFEO: FYFireWall.exe -> ntsd -d
O26 - IFEO: GFRing3.exe -> ntsd -d
O26 - IFEO: GFUpd.exe -> ntsd -d
O26 - IFEO: GuardField.exe -> ntsd -d
O26 - IFEO: HijackThis.exe -> ntsd -d
O26 - IFEO: IceSword -> svchost.exe
O26 - IFEO: IceSword.exe -> ntsd -d
O26 - IFEO: iparmo.exe -> ntsd -d
O26 - IFEO: Iparmor.exe -> ntsd -d
O26 - IFEO: isPwdSvc.exe -> ntsd -d
O26 - IFEO: kabaload.exe -> ntsd -d
O26 - IFEO: KaScrScn.SCR -> ntsd -d
O26 - IFEO: KASMain.exe -> ntsd -d
O26 - IFEO: KASTask.exe -> ntsd -d
O26 - IFEO: KAV32.exe -> ntsd -d
O26 - IFEO: KAVDX.exe -> ntsd -d
O26 - IFEO: KAVPF.exe -> ntsd -d
O26 - IFEO: KAVPFW.exe -> ntsd -d
O26 - IFEO: KAVSetup.exe -> ntsd -d
O26 - IFEO: KAVStart.exe -> ntsd -d
O26 - IFEO: KISLnchr.exe -> ntsd -d
O26 - IFEO: KMailMon.exe -> ntsd -d
O26 - IFEO: KMFilter.exe -> ntsd -d
O26 - IFEO: KPFW32.exe -> ntsd -d
O26 - IFEO: KPFW32X.exe -> ntsd -d
O26 - IFEO: KPfwSvc.exe -> ntsd -d
O26 - IFEO: KRegEx.exe -> ntsd -d
O26 - IFEO: KRepair.com -> ntsd -d
O26 - IFEO: KsLoader.exe -> ntsd -d
O26 - IFEO: KVCenter.kxp -> ntsd -d
O26 - IFEO: KvDetect.exe -> ntsd -d
O26 - IFEO: KvfwMcl.exe -> ntsd -d
O26 - IFEO: KVMonXP.kxp -> ntsd -d
O26 - IFEO: KVMonXP_1.kxp -> ntsd -d
O26 - IFEO: kvol.exe -> ntsd -d
O26 - IFEO: kvolself.exe -> ntsd -d
O26 - IFEO: KvReport.kxp -> ntsd -d
O26 - IFEO: KVScan.kxp -> ntsd -d
O26 - IFEO: KVSrvXP.exe -> ntsd -d
O26 - IFEO: KVStub.kxp -> ntsd -d
O26 - IFEO: kvupload.exe -> ntsd -d
O26 - IFEO: kvwsc.exe -> ntsd -d
O26 - IFEO: KvXP.kxp -> ntsd -d
O26 - IFEO: KvXP_1.kxp -> ntsd -d
O26 - IFEO: KWatch.exe -> ntsd -d
O26 - IFEO: KWatch9x.exe -> ntsd -d
O26 - IFEO: KWatchX.exe -> ntsd -d
O26 - IFEO: MagicSet.exe -> ntsd -d
O26 - IFEO: mcconsol.exe -> ntsd -d
O26 - IFEO: mmqczj.exe -> ntsd -d
O26 - IFEO: mmsk.exe -> ntsd -d
O26 - IFEO: Navapsvc.exe -> ntsd -d
O26 - IFEO: Navapw32.exe -> ntsd -d
O26 - IFEO: nod32.exe -> ntsd -d
O26 - IFEO: nod32krn.exe -> ntsd -d
O26 - IFEO: nod32kui.exe -> ntsd -d
O26 - IFEO: NPFMntor.exe -> ntsd -d
O26 - IFEO: OllyDBG.EXE -> ntsd -d
O26 - IFEO: OllyICE.EXE -> ntsd -d
O26 - IFEO: PFW.exe -> ntsd -d
O26 - IFEO: PFWLiveUpdate.exe -> ntsd -d
O26 - IFEO: procexp.exe -> ntsd -d
O26 - IFEO: QHSET.exe -> ntsd -d
O26 - IFEO: QQKav.exe -> ntsd -d
O26 - IFEO: ras -> svchost.exe
O26 - IFEO: RavXP.exe -> ntsd -d
O26 - IFEO: RawCopy.exe -> ntsd -d
O26 - IFEO: regmon.exe -> ntsd -d
O26 - IFEO: RegTool.exe -> ntsd -d
O26 - IFEO: rfwProxy.exe -> ntsd -d
O26 - IFEO: rfwstub.exe -> ntsd -d
O26 - IFEO: runiep -> svchost.exe
O26 - IFEO: safelive.exe -> ntsd -d
O26 - IFEO: scan32.exe -> ntsd -d
O26 - IFEO: shcfg32.exe -> ntsd -d
O26 - IFEO: spiderml.exe -> ntsd -d
O26 - IFEO: spidernt.exe -> ntsd -d
O26 - IFEO: spiderui.exe -> ntsd -d
O26 - IFEO: spml_set.exe -> ntsd -d
O26 - IFEO: SREng.EXE -> ntsd -d
O26 - IFEO: symlcsvc.exe -> ntsd -d
O26 - IFEO: SysSafe.exe -> ntsd -d
O26 - IFEO: taskmgr.exe -> ntsd -d
O26 - IFEO: TrojanDetector.exe -> ntsd -d
O26 - IFEO: Trojanwall.exe -> ntsd -d
O26 - IFEO: TrojDie.kxp -> ntsd -d
O26 - IFEO: UIHost.exe -> ntsd -d
O26 - IFEO: UmxAgent.exe -> ntsd -d
O26 - IFEO: UmxAttachment.exe -> ntsd -d
O26 - IFEO: UmxCfg.exe -> ntsd -d
O26 - IFEO: UmxFwHlp.exe -> ntsd -d
O26 - IFEO: UmxPol.exe -> ntsd -d
O26 - IFEO: UpLive.exe -> ntsd -d
O26 - IFEO: vsstat.exe -> ntsd -d
O26 - IFEO: webscanx.exe -> ntsd -d
O26 - IFEO: WoptiClean.exe -> ntsd -d

O29 - HKLM-Start Page = hxxp://VeryCD.265.com