mokotw


W32.Bagle.AT@mm

Posted in virus 由 mokotw 於 六月 28, 2006

別名
WORM_BAGLE.AT, Bagle.AT, I-Worm.Bagle.at, W32.Bagle.AT@mm, w32/bagle.bb@mm
內容
W32.Bagle.AT@mm 是一種大量傳送電子郵件和利用點對點方式傳播的蠕蟲。傳播 W32.Bagle.AT@mm 蠕蟲的電郵會利用不同的主旨、內文和附件。附件檔案是下列其中一個可執行的延伸檔案類型: .EXE .SCR .COM .CPL。詳細電郵特徵,請參考 附錄
當蠕蟲檔案被執行,它會複制自己到視窗的系統資料夾並命名為 wingo.exe ,同時為這個檔案建立一個登錄索引值:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]"wingo" = “%SystemDir%\wingo.exe"
若蠕蟲是利用 Windows Control Panel Applet (CPL) 檔案進行感染,它會預先藏下一個細小的二位元檔在自己的執行檔內。當 CPL 檔案被啟動時,它會複制自己到視窗的系統資料夾並命名為 cjector.exe 檔案,然後遺下蠕蟲檔案到視窗的系統資料夾。
蠕蟲會開啟了一個後門,監聽連接埠 81。這個後門的程式碼是利用密碼加密,知道密碼的蠕蟲作者可以連接到這部電腦和執行任意的程式。受感染的電腦會連接到預先設定的數個網址向作者報告。
破壞力
1. W32.Bagle.AT@mm 掃瞄硬碟來收集電郵地址向其他受害者進行傳播。以下的延伸檔案類型會被檢查:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
2. 它會略過含有下列字串的電郵地址:
@hotmail@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
3. 它可以透過點對點客戶端的共享資料夾進行傳播。它掃瞄所有可用的磁碟機,若找到資料夾名稱包含了 ‘shar’ 字串,蠕蟲會複制自己到那個資料夾並以下列名稱命名:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
4. 它會終止保安、防毒軟件和某些程式的程序。以下程序的程式會被終止:
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
5. 它會刪除與 W32.Netsky 變種蠕蟲相關的數個登錄索引值。
解決方案
1. 偵測及清除蠕蟲
電腦病毒防護軟件供應商已提供了新病毒清單去偵察及清除此病毒。
如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下清除病毒的工具程式進行清除。
Symantechttp://securityresponse.symantec.com/avcenter/FxBeagle.exe
注意:請根據防毒軟件公司的指引來清除病毒和修復系統。
2. 防止防毒閘門產生大量的通告電郵
要防止防毒閘門產生大量的址通告電郵信息,你可以考慮暫時停止發出通告信息給寄件者。這個設定可以在病毒散播的高峰期過後恢復執行。詳情請參閱 因蠕蟲引致電郵汛濫的處理方法>>。
相關連結
詳情請參考以下連結:
Computer Associates 提供的資料
F-Secure 提供的資料 McAfee 提供的資料 –>Norman 提供的資料 Sophos 提供的資料 Symantec 提供的資料 Trend Micro 提供的資料
附錄
傳播 W32.Bagle.AT@mm 蠕蟲的電郵會具備以下特徵:
寄件者
偽冒的電郵地址
主旨
隨機抽選 (可能是以下的其中一個主旨):
Re:Re: HelloRe: Thank you!Re: Thanks :)Re: Hi
內文
隨機抽選 (可能是以下的其中一個):
:):))
附件
附件名稱可能是以下的其中一個附有 EXE, SCR, COM和CPL 延伸類型檔案:
PricepriceJoke

http://www.hkcert.org/valert/chi_vinfo/w32.bagle.at@mm.html

廣告

Worm@W32.Beagle.35

Posted in virus 由 mokotw 於 六月 28, 2006

Worm@W32.Beagle.35 駭蟲會終止其他病毒或防毒軟體,也會防止寄送含有某些字串的email addresses
Beagle.35 會開啟後門 TCP port 81 並透過自己的SMTP大量發送病毒信件,此隻駭蟲也會刪除登錄檔中,包含某些字串的值,使其無法常駐,如 Antivirus、service、ICQ Net 等。 基本介紹
病毒名稱
Worm@W32.Beagle.35
病毒別名
Win32.Bagle.AR [Computer Associates], W32/Bagle.bd@MM [McAfee]
病毒型態
Worm , E-Mail
病毒發現日期
2004/11/01
影響平台
Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估
散播程度:中
破壞程度:低
Worm@W32.Beagle.35信件格式:
發信者:
主旨: Re: Re: Hello Re: Hi Re: Thank you! Re: Thanks 🙂
內文: :))
附加檔案: Price price Joke副檔名可能是.com,.cpl,.exe,or .scr。 
Worm@W32.Beagle.35 行為描述:
註:在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
駭蟲通常會終止下列的程序,通常和其他病毒或防毒軟體有關:
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
駭蟲會從下列其中一個下載檔案,儲存在%System%\re_file.exe,並且執行它:
http://www.bottombouncer.com
http://www.anthonyflanagan.com
http://www.bradster.com
http://www.traverse.com
http://www.ims-i.com
http://www.realgps.com
http://www.aviation-center.de
http://www.gci-bln.de
http://www.pankration.com
http://www.jansenboiler.com
http://www.corpsite.com
http://www.everett.wednet.edu
http://www.onepositiveplace.org
http://www.raecoinc.com
http://www.wwwebad.com
http://www.corpsite.com
http://www.wwwebmaster.com
http://www.dragcar.com
http://www.oohlala-kirkland.com
http://www.calderwoodinn.com
http://www.buddyboymusic.com
http://www.smacgreetings.com
http://www.tkd2xcell.com
http://www.curtmarsh.com
http://www.dontbeaweekendparent.com
http://www.soloconsulting.com
http://www.lasermach.com
http://www.generationnow.net
http://www.flashcorp.com
http://www.kencorbett.com
http://www.FritoPie.NET
http://www.leonhendrix.com
http://www.transportation.gov.bh
http://www.jhaforpresident.7p.com
http://www.DarrkSydebaby.com
http://www.cntv.info
http://www.sugardas.lt
http://www.adhdtests.com
http://www.argontech.net
http://www.customloyal.com
http://www.ohiolimo.com
http://www.topko.sk
http://www.alupass.lu
http://www.sigi.lu
http://www.redlightpictures.com
http://www.irinaswelt.de
http://www.bueroservice-it.de
http://www.kranenberg.de
http://www.the-fabulous-lions.de
http://www.mongolische-renner.de
http://www.capri-frames.de
http://www.aimcenter.net
http://www.boneheadmusic.com
http://www.fludir.is
http://www.sljinc.com
http://www.tivogoddess.com
http://www.fcpages.com
http://www.andara.com
http://www.freeservers.com
http://www.programmierung2000.de
http://www.asianfestival.nl
http://www.aviation-center.de
http://www.gci-bln.de
http://www.mass-i.kiev.ua
http://www.jasnet.pl
http://www.atlantisteste.hpg.com.br
http://www.fludir.is
http://www.rieraquadros.com.br
http://www.metal.pl
http://www.handsforhealth.com
http://www.angelartsanctuary.com
http://www.firstnightoceancounty.org
http://www.chinasenfa.com
http://www.ulpiano.org
http://www.gamp.pl
http://www.vikingpc.pl
http://www.woundedshepherds.com
http://www.cpc.adv.br
http://www.velocityprint.com
http://www.esperanzaparalafamilia.com
http://www.celula.com.mx
http://www.mexis.com
http://www.wecompete.com
http://www.vbw.info
http://www.gfn.org
http://www.aegee.org
http://www.deadrobot.com
http://www.cscliberec.cz
http://www.ecofotos.com.br
http://www.amanit.ru
http://www.bga-gsm.ru
http://www.innnewport.com
http://www.knicks.nl
http://www.srg-neuburg.de
http://www.mepmh.de
http://www.mepbisu.de
http://www.kradtraining.de
http://www.polizeimotorrad.de
http://www.sea.bz.it
http://www.uslungiarue.it
http://www.gcnet.ru
http://www.aimcenter.net
http://www.vandermost.de
http://www.szantomierz.art.pl
http://www.immonaut.sk
http://www.eurostavba.sk
http://www.spadochron.pl
http://www.pyrlandia-boogie.pl
http://www.kps4parents.com
http://www.pipni.cz
http://www.selu.edu
http://www.travelchronic.de
http://www.fleigutaetscher.ch
http://www.irakli.org
http://www.oboe-online.com
http://www.pe-sh.com
http://www.idb-group.net
http://www.ceskyhosting.cz
http://www.hartacorporation.com
http://www.glass.la
http://www.24-7-transportation.com
http://www.fepese.ufsc.br
http://www.ellarouge.com.au
http://www.bbsh.org
http://www.boneheadmusic.com
http://www.sljinc.com
http://www.tivogoddess.com
http://www.fcpages.com
http://www.szantomierz.art.pl
http://www.elenalazar.com
http://www.ssmifc.ca
http://www.reliance-yachts.com
http://www.worest.com.ar
http://www.kps4parents.com
http://www.coolfreepages.com
http://www.scanex-medical.fi
http://www.jimvann.com
http://www.orari.net
http://www.himpsi.org
http://www.mtfdesign.com
http://www.jldr.ca
http://www.relocationflorida.com
http://www.rentalstation.com
http://www.approved1stmortgage.com
http://www.velezcourtesymanagement.com
http://www.sunassetholdings.com
http://www.compsolutionstore.com
http://www.uhcc.com
http://www.justrepublicans.com
http://www.pfadfinder-leobersdorf.com
http://www.featech.com
http://www.vinirforge.com
http://www.magicbottle.com.tw
http://www.giantrevenue.com
http://www.couponcapital.net
http://www.crystalrose.ca
駭蟲會用下列名稱,複製自己到包含有"shar"字串的資料夾裡:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
駭蟲會停止和使下列services失效:
“SharedAccess" – Internet Connection Sharing
“wscsvc" – MS security center
駭蟲會開啟後門 TCP port 81。
駭蟲會搜尋下列副檔名裡的email addresses:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
駭蟲會防止寄送,包含下列字串的email addresses:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
透過自己的SMTP大量發送病毒信件。
透過病毒執行後,將駭蟲本身複製到%System%
wingo.exewingo.exeopen wingo.exeopenopen wingo.exeopenopenopen wingo.exeopenopenopenopen
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
名稱=wingo 值=%System%\wingo.exe
刪除下列登錄檔中的值,使其無法常駐。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
My AV Zone Labs Client Ex 9XHtProtect Antivirus Special Firewall Service service Tiny AV ICQNet HtProtect NetDy Jammer2nd FirewallSvr MsInfo SysMonXP EasyAV PandaAVEngine Norton Antivirus AV KasperskyAVEng SkynetsRevenge ICQ Net
駭蟲會刪除登錄檔中,包含下列字串的值,使其無法常駐。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net


http://web.nutn.edu.tw/608/virus/virus-128.htm

Panda ActiveScan http://www.pandasoftware.com.tw/…

Posted in virus 由 mokotw 於 六月 4, 2006

Panda ActiveScan

http://www.pandasoftware.com.tw/freescan/activescan.htm

現在,使用線上掃毒服務─Panda ActiveScan,讓清除您電腦中病毒的工作更容易了:

因為您不需要安裝任何程式,只需在您想掃瞄您電腦的時候,連結到網際網路並簡單的敲擊滑鼠即可。
因為您可以掃瞄、解毒、清除您整個電腦系統內的病毒,包含硬碟、壓縮檔、以及您所有的電子郵件。
因為它內建了性能強大的啟發式系統以偵測新的或未知病毒。
因為它每天至少更新一次病毒碼定義檔,所以每次的掃瞄都能偵測出最新出現的病毒與其他惡意程式。

請記住:Panda ActiveScan只能讓您手動執行掃瞄與解毒。Panda Software提供您完整的解決方案,而能根據您自己的需求提供理想的永久防護。想進一步瞭解Panda Software的病毒防護解決方案,請敲擊這裡

免費線上掃毒服務注意事項
第一、Panda Software所提供的線上病毒掃描服務是完全免費且每日更新,請放心使用。第二、第一次使用Panda ActiveScan時,會先下載大約3.2MB的執行元件,以後使用時便不再需要下載這些元件。第三、如果您是使用56K數據機撥接上網,您可以在選擇掃描項目並開始掃描後切斷與網際網路的連線。而只要在掃描結束並想察看掃描報告時,才需再與網際網路連線。如此,將可省下您可觀的網路連線費用。第四、如果您不想訂閱Panda Software的電子報,請在第三個步驟中不要勾選「Subscribe to Oxygen3」選項。第五、在選擇掃描項目時,如果需要一併掃描未知病毒,請在第六個步驟時勾選「Detect unknown viruses (heuristic)」選項。第六、如果在掃描時您不想自動解毒(發現病毒時),請在第六個步驟時不要勾選「Disinfect automatically」選項。
免費線上掃毒服務執行程序
第一步點選上方「Online Virus Check」連結圖示。第二步在服務簡介網頁上點選「Next」按鍵。第三步在開啟的網頁上輸入您的電子郵件信箱並按下「Send」按鍵。第四步在開啟的網頁上選擇您的所在區域並按下「Start」按鍵。第五步按下「Start」按鍵後會開始下載掃描元件,並詢問您是否接受Panda Software的數位簽章認證,請點選「Yes」。第六步元件下載完畢後,會開啟掃描項目網頁,請點選您想掃描的項目即可。

Logfile of HijackThis v1.99.1 Scan saved at PM 05:…

Posted in virus 由 mokotw 於 六月 4, 2006

Logfile of HijackThis v1.99.1
Scan saved at PM 05:02:31, on 2006/5/25
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER1.03.0000.1005\ZH-TW\MSNAPPAU.EXE
C:\PROGRAM FILES\SWT2000\HCM.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\SYSTEM\KERNE0223.EXE
C:\PROGRAM FILES\ACARD\ONNOW.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

O2 – BHO: AcroIEHlprObj Class – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 – BHO: MSNToolBandBHO – {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} – C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR1.02.5000.1021\ZH-TW\MSNTB.DLL
O2 – BHO: ST – {9394EDE7-C8B5-483E-8773-474BF36AF6E4} – C:\PROGRAM FILES\MSN APPS\ST1.03.0000.1005\EN-XU\STMAIN.DLL
O2 – BHO: PCTools Site Guard – {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} – C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
O2 – BHO: PCTools Browser Monitor – {B56A7D7D-6927-48C8-A975-17DF180C71AC} – C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O3 – Toolbar: MSN – {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} – C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR1.02.5000.1021\ZH-TW\MSNTB.DLL
O3 – Toolbar: @msdxmLC.dll,-1@1028,收音機[&R] – {8E718888-423F-11D2-876E-00A0C9082467} – C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 – HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 – HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 – HKLM\..\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 – HKLM\..\Run: [LoadQM] loadqm.exe
O4 – HKLM\..\Run: [msnappau] “C:\Program Files\MSN Apps\Updater1.03.0000.1005\zh-tw\msnappau.exe"
O4 – HKLM\..\Run: [SDM4500P] C:\Program Files\SWT2000\HCM.exe
O4 – HKLM\..\Run: [internat.exe] internat.exe
O4 – HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 – HKLM\..\Run: [SystemTray] SysTray.Exe
O4 – HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 – HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 – HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 – HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 – HKCU\..\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\Run: [Spyware Doctor] “C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 – HKCU\..\Run: [Kerne0223] C:\WINDOWS\SYSTEM\Kerne0223.exe
O4 – HKCU\..\RunServices: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\RunServices: [Spyware Doctor] “C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 – HKCU\..\RunServices: [Kerne0223] C:\WINDOWS\SYSTEM\Kerne0223.exe
O4 – Startup: OnNow.lnk = C:\Program Files\ACARD\OnNow.EXE
O4 – Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 – Extra button: Related – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra ‘Tools’ menuitem: Show &Related Links – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra button: Spyware Doctor – {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} – C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O16 – DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) – http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 – DPF: Yahoo! Reversi – http://download.games.yahoo.com/games/clients/y/rt0_x.cab
O16 – DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) – http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab

移除 kerne0223.dll

重新啓動電腦. 之後用 HijackThis、Panda ActiveScan 掃描電腦,然後貼上 HijackThis、Panda ActiveScan 掃描記錄.