当前位置: 开发笔记 > 编程语言 > 正文

中毒了，求助！！

作者：大姑娘苍之瑜 | 来源：互联网 | 2023-07-20 14:04

我用的是金山的alcmtr，中毒了，病毒是Win32.Adware.WSearch.o.98304帮忙看一下alcmtr

我用的是金山的alcmtr，中毒了，病毒是Win32.Adware.WSearch.o.98304

　　帮忙看一下alcmtr，注册表的情况如下：

　　[CODE]

　　2007-05-10,08:53:37

　　System Repair Engineer 2.3.13.690

　　Smallfrogs ()

　　Windows XP Professional Service Pack 2 (Build 2600)

　　 - 管理权限用户 - 完整功能

　　以下内容被选中：

　　所有的启动项目（包括注册表、启动文件夹、服务等）

　　浏览器加载项

　　正在运行的进程（包括进程模块信息）

　　文件关联

　　 Winsock 提供者

　　 Autorun.inf

　　 HOSTS 文件

　　启动项目

　　注册表

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

　　 <"C:\kav2005\KPFW32.EXE"> [Kingsoft Corporation]

　　 <; C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation]

　　 <; "C:\Program Files\Messenger\msmsgs.exe" /background> [(Verified)Microsoft Corporation]

　　 <; "C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" /Startup> [Cyberlink]

　　 <; C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe> [N/A]

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

　　 <> [N/A]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　 <"C:\kav2005\KAVStart.exe" -startup> [Kingsoft Corporation]

　　 [(Verified)Microsoft Corporation]

　　 [SnowFox Studio.]

　　 <; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload> [(Verified)Microsoft Corporation]

　　 <; ALCMTR.EXE> [(Verified)Realtek Semiconductor Corp.]

　　 <; C:\Program Files\Lenovo\EnergyCut\EnergyCut.exe> [N/A]

　　 <; C:\Program Files\Lenovo\EnergyCut\utilty.exe> [TODO: ]

　　 <; "C:\Program Files\Launch Manager\HotkeyApp.exe"> [Wistron]

　　 <; > [N/A]

　　 <; C:\WINDOWS\system32\hkcmd.exe> [(Verified)Intel Corporation]

　　 <; C:\WINDOWS\system32\igfxpers.exe> [(Verified)Intel Corporation]

　　 <; C:\WINDOWS\system32\igfxtray.exe> [(Verified)Intel Corporation]

　　 <; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]

　　 <; > [N/A]

　　 <; "C:\Program Files\Launch Manager\LaunchAp.exe"> [N/A]

　　 <; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]

　　 <; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]

中毒了，求助！！

　　 <; RTHDCPL.EXE> [(Verified)Realtek Semiconductor Corp.]

　　 <; SkyTel.EXE> [(Verified)Realtek Semiconductor Corp.]

　　 <; C:\WINDOWS\sm56hlpr.exe> [(Verified)Motorola Inc.]

　　 <; C:\PROGRA~1\TENCENT\Adplus\stup.exe> [N/A]

　　 <; C:\Program Files\Uninstall Information\tddhcig.exe> [N/A]

　　 <; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.]

　　 <; C:\Program Files\Thunder Network\WebThunder\WebThunder.exe> [(Verified)深圳市迅雷网络技术有限公司]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　 [(Verified)Microsoft Corporation]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

　　 <> [N/A]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　 [(Verified)Microsoft Corporation]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

　　 [(Verified)Intel Corporation]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

　　 [(Verified)Microsoft Corporation]

　　启动文件夹

　　N/A

中毒了，求助！！

　　服务

　　[ASP.NET State Service / aspnet_state][Stopped/Manual Start]

　　[Autodesk Licensing Service / Autodesk Licensing Service][Stopped/Manual Start]

　　 <"C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe">

　　[Kingsoft Personal Firewall Service / KPfwSvc][Running/Auto Start]

　　 <"C:\kav2005\KPfwSvc.EXE">

　　[Kingsoft Antivirus KWatch Service / KWatchSvc][Running/Auto Start]

　　[Windows pkeb RunThem / pkeb][Stopped/Auto Start]

　　 C:\PROGRA~1\kfzw\upjg.dll>

　　驱动程序

　　[Lenovo Virtual Power Controller Driver / ACPIVPC][Running/Manual Start]

　　[ADProt / ADProt][Stopped/System Start]

　　 <\SystemRoot\system32\drivers\ADProt.sys><腾讯科技（深圳）有限公司>

　　[Broadcom 440x 10/100 Integrated Controller XP Driver / bcm4sbxp][Running/Manual Start]

　　[epqbcam / epqbcam][Running/Boot Start]

　　 <\SystemRoot\system32\drivers\epqbcam.sys><>

　　[Microsoft UAA Bus Driver for High Definition Audio / HDAudBus][Running/Manual Start]

　　[ialm / ialm][Running/Manual Start]

　　[Service for Realtek HD Audio (WDM) / IntcAzAudAddService][Running/Manual Start]

　　[kbdru3 / kbdru3][Running/Boot Start]

　　 <\SystemRoot\System32\DRIVERS\kbdru3.sys>

　　[KNetWch / KNetWch][Running/System Start]

　　 <\??\C:\kav2005\KNetWch.SYS>

　　[KWatch3 / KWatch3][Running/System Start]

　　 <\??\C:\WINDOWS\system32\drivers\KWatch3.SYS>

　　[npkcrypt / npkcrypt][Running/Auto Start]

　　 <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys>

　　[npkcusb / npkcusb][Running/Auto Start]

　　 <\??\C:\Program Files\Tencent\QQ\npkcusb.sys>

　　[Direct Parallel Link Driver / Ptilink][Running/Manual Start]

　　[Secdrv / Secdrv][Stopped/Manual Start]

　　[smserial / smserial][Running/Manual Start]

　　[TCP/IP Protocol Driver / Tcpip][Running/System Start]

　　[tifm21 / tifm21][Running/Manual Start]

　　[Wbutton / Wbutton][Stopped/System Start]

　　 <\SystemRoot\system32\drivers\Wbutton.sys>

　　[zxarmw85 / zxarmw85][Stopped/Boot Start]

　　 <\SystemRoot\system32\\drivers\\system32\\drivers\\%s.sys.sys>

　　浏览器加载项

　　[WebThunder Browser Helper]

　　 {00000AAA-A363-466E-BEF5-9BB68697AA7F}

　　[ThunderAtOnce Class]

　　 {01443AEC-0FD1-40fd-9C87-E93D1494C233}

　　[Adobe PDF Reader Link Helper]

　　 {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

　　[CBrowseStakeout Class]

　　 {55302805-482E-470E-8A57-6795A1487F90}

　　[ExtentIE Class]

　　 {66C2C482-D4EE-42A5-AEF7-0B124F278D47}

　　[Thunder Browser Helper]

　　 {889D2FEB-5411-4565-8998-1DD2C5261283}

　　[启动迅雷5]

　　 {09BA8F6D-CB54-424B-839C-C2A6C8E6B436}

　　[联想]

　　 {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <;

　　[信息检索(&R)]

　　 {92780B25-18CC-41C8-B9BE-3C9C571A8263}

　　[启动Web迅雷]

　　 {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} <;

　　[QQ]

　　 {c95fe080-8f5d-11d2-a20b-00aa003c157b}

　　[Messenger]

　　 {FB5F1910-F110-11d2-BB9E-00C04F795683}

　　[Dr.eye WebPage Translation]

　　 {92B255FE-94E2-4BCA-958D-3926CE38913F}

　　[Shockwave Flash Object]

　　 {D27CDB6E-AE6D-11CF-96B8-444553540000}

　　[WebThunder Browser Helper]

　　 {00000AAA-A363-466E-BEF5-9BB68697AA7F}

　　[ThunderAtOnce Class]

　　 {01443AEC-0FD1-40FD-9C87-E93D1494C233}

　　[Adobe PDF Reader Link Helper]

　　 {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

　　[CBrowseStakeout Class]

　　 {55302805-482E-470E-8A57-6795A1487F90}

　　[ExtentIE Class]

　　 {66C2C482-D4EE-42A5-AEF7-0B124F278D47}

　　[Thunder Browser Helper]

　　 {889D2FEB-5411-4565-8998-1DD2C5261283}

　　[Dr.eye WebPage Translation]

　　 {92B255FE-94E2-4BCA-958D-3926CE38913F}

　　[Shockwave Flash Object]

　　 {D27CDB6E-AE6D-11CF-96B8-444553540000}

　　[上传到QQ网络硬盘]

　　[使用Web迅雷下载]

　　[使用Web迅雷下载全部链接]

　　[使用迅雷下载]

　　[使用迅雷下载全部链接]

　　[导出到 Microsoft Office Excel(&X)]

　　[添加到QQ自定义面板]

　　[添加到QQ表情]

　　[用QQ彩信发送该图片]

　　[金山毒霸反钓鱼...]

　　正在运行的进程

　　[PID: 432][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 676][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 700][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 748][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 760][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 908][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 988][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 1080][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 1132][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 1232][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 1456][C:\kav2005\KWatch.EXE] [Kingsoft Corporation, 2007, 2, 12, 84]

　　 [C:\kav2005\KAVIPC2.DLL] [Kingsoft Corporation, 2007, 1, 15, 30]

　　 [C:\kav2005\KAEPlat.DLL] [Kingsoft Corp., 2007, 2, 4, 61]

　　 [C:\kav2005\KAEMem.DAT] [Kingsoft, 2006, 9, 25, 16]

　　 [C:\kav2005\KAEUnpack.DAT] [Kingsoft Corp., 2007, 4, 12, 116]

　　 [C:\kav2005\KAVQuara.DLL] [Kingsoft Corporation, 2007, 1, 25, 1]

　　[PID: 1520][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]

　　[PID: 1716][C:\kav2005\KPfwSvc.EXE] [Kingsoft Corporation, 2007, 2, 2, 31]

　　[PID: 236][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 1212][C:\WINDOWS\system32\wbem\wmiprvse.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 1660][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[PID: 500][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

　　 [C:\WINDOWS\system32\AcSignIcon.dll] [Autodesk, 16.2.54.0]

　　 [C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll] [Autodesk, 16.2.54.0]

　　 [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll] [Adobe Systems, Inc., 8.0.0.0]

　　 [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.CHS] [Adobe Systems, Inc., 8.0.0.0]

　　 [C:\WINDOWS\system32\igfxpph.dll] [Intel Corporation, 3.0.0.4543]

　　 [C:\WINDOWS\system32\hccutils.DLL] [Intel Corporation, 3.0.0.4543]

　　 [C:\WINDOWS\system32\igfxres.dll] [Intel Corporation, 3.0.0.4543]

　　 [C:\WINDOWS\system32\igfxress.dll] [Intel Corporation, 3.0.0.4543]

　　 [C:\WINDOWS\system32\igfxsrvc.dll] [Intel Corporation, 3.0.0.4543]

　　 [C:\Program Files\Thunder Network\WebThunder\WebThunderBHO_016.dll] [Thunder Networking Technologies,LTD, 6, 0, 0, 5]

　　 [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll] [Adobe Systems Incorporated, 8.0.0.2006102200]

　　 [C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll] [Thunder Networking Technologies,LTD, 5, 0, 1, 4]

　　 [C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll] [, 1, 0, 0, 2]

　　 [C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor_00.dll] [Thunder Networking Technologies,LTD, 1, 0, 0, 4]

　　 [C:\Program Files\WinRAR\rarext.dll] [N/A, N/A]

　　 [C:\kav2005\KAVEXT.DLL] [Kingsoft Corporation, 2005, 8, 5, 16]

　　[PID: 532][C:\WINDOWS\system32\wuauclt.exe] [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)]

　　[PID: 308][D:\sreng2_PConline\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]

　　文件关联

　　.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]

　　.EXE OK. ["%1" %*]

　　.COM OK. ["%1" %*]

　　.PIF OK. ["%1" %*]

　　.REG OK. [regedit.exe "%1"]

　　.BAT OK. ["%1" %*]

　　.SCR Error. [AutoCADScriptFile]

　　.CHM Error. ["hh.exe" %1]

　　.HLP Error. [winhlp32.exe %1]

　　.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]

　　.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]

　　.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

　　.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

　　.LNK OK. [{00021401-0000-0000-C000-000000000046}]

　　Winsock 提供者

　　N/A

　　Autorun.inf

　　N/A

　　HOSTS 文件

　　127.0.0.1 localhost

　　API HOOK

　　N/A

　　[/CODE]

推荐阅读

io
spotify engineering culture part 1

原文，因为原视频说的太快太长，又没有字幕，于是借助youtube，把原文听&打出来了。中文版日后有时间再翻译。oneofthebigsucceessfactorshereatSpo ... [详细]

蜡笔小新 2024-09-30 13:36:17
io
系统保护文件Local Settings拒绝访问的解决方法

WindowsRegistryEditorVersion5.00[HKEY_CLASSES_ROOT\*\shell\runas]添加管理员权限NoWorkingDirect ... [详细]

蜡笔小新 2024-09-30 11:30:34
io
docker是跨平台的?_跨平台构建 Docker 镜像新姿势，x86、arm 一把梭

点击阅读原文可以获得更好的阅读体验。前言在工作和生活中，我们可能经常需要将某个程序跑在不同的CPU架构上，比如让某些不可描述的软件运行在树莓派或嵌入 ... [详细]

蜡笔小新 2024-09-29 15:52:01
io
[软件工具]最新最好最全的软件大全一起打包下载了[永远留种]

软件下载列表：　　安全防毒/QQ病毒专杀工具XPQQKav2006新春版.exe805.14KB　　安全防毒/SymantecAntiVirus10. ... [详细]

蜡笔小新 2024-09-29 15:50:37
io
nvmw安装，用于控制node版本;

之前一直使用的是nodev2.2.0版本，挺说新版本的node解决了npm安装插件产生文件夹结构过深的问题，所以就想更新试试；上网一看才发现，尼玛的node已经到了6.+版本了，好 ... [详细]

蜡笔小新 2024-09-29 12:25:49
io
记一次ssh免密登录踩坑and Debug之路

突然觉得服务器ssh密码登录总是浪费一定量的时间，就想试试用sshKey进行登录。生成服务器sshkey和本地sshkey$ssh-keygen在服务器上生成一个authorize ... [详细]

蜡笔小新 2024-09-28 16:45:48
io
activiti拿取当前任务的下一个节点

在实际的工作流业务开发中,当用户完成当前用户任务时,需要指定下一个用户任务的审核人。此时我们需要获取下一个节点的一些信息,来确定下一个用户任务的审核人有哪些。在实际工 ... [详细]

蜡笔小新 2024-09-28 13:14:19
io
Linux命令Dig

一、域名解析记录说明记录类型A：用来指定域名的IPv4地址（如：8.8.8.8），如果需要将域名指向一个IP ... [详细]

蜡笔小新 2024-09-28 10:52:03
io
开发笔记:(源码开放) React + webpack3 多页面应用及常见问题解答

本文由编程笔记#小编为大家整理，主要介绍了(源码开放)React+webpack3多页面应用及常见问题解答相关的知识，希望对你有一定的参考价值。 ... [详细]

蜡笔小新 2024-09-30 18:22:40
io
【转】JNI技术实践小结

JNI技术实践小结转自http:sett ... [详细]

蜡笔小新 2024-09-30 17:47:13
io
【SSH网上商城项目实战15】线程、定时器同步首页数据（类似于博客定期更新排名）...

转自：https:blog.csdn.neteson_15articledetails51387378上一节我们做完了首页UI界面，但是有个问题 ... [详细]

蜡笔小新 2024-09-29 14:28:03
export
mongoose schemaType的get:方法 , 再取数据时,方法没有起到作用

domain.js代码如下 ... [详细]

蜡笔小新 2024-09-29 11:52:52
export
apk简单介绍(组成以及打包安装流程)

apk简单介绍APK的组成apk安装流程app的启动过程apk打包流程AIDLAIDL介绍为什么要设计这门语言它有哪些语法？默认支持的数据类型包括什么是apk打包流程 ... [详细]

蜡笔小新 2024-09-28 19:10:59
export
Ubuntu16.0464位安装armlinuxgcc交叉编译器以及samba服务器

交叉编译器是嵌入式开发的必要工具，但是由于目前大多数人使用64位ubuntu，在照着很多教程做的时候，就会失败，失败原因是64位ubuntu需要额外安装32位的兼容包。以arm-l ... [详细]

蜡笔小新 2024-09-28 18:16:39
io
让SQL Server 2008默认使用Report Builder 2.0做报表设计器

由于SQLServer2008比ReportBuilder2.0先发布，所以默认情况下，在SSRS2008中的报表管理器中单击“报表生成器”，打开的是ReportBuilder1.0版本 ... [详细]

蜡笔小新 2024-09-28 13:27:24

大姑娘苍之瑜

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章