瑞星卡卡安全论坛

运行SREng2（最新版） ，使用“智能扫描”，按下“扫描”按钮进行扫描，
扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告.
可以粘贴上来或你自己来分析。
http://www.kztechs.com/sreng/sreng2.zip
下面的是我SREng.LOG中的数据：

.....
==================================
正在运行的进程
.....
[PID: 1448][C:\WINNT\system32\rundll32.exe]  [Microsoft Corporation, 5.00.2134.1]
    [C:\WINNT\system32\xk7uh.dll]  [N/A, N/A]
    [C:\WINNT\system32\drivers\nmprt.sys]  [N/A, N/A]
[PID: 1512][E:\tools\msconfig.exe]  [Microsoft Corporation, 5.2.3790.0 (srv03_rtm.030324-2048)]
    [C:\WINNT\system32\xk7uh.dll]  [N/A, N/A]
    [C:\WINNT\system32\drivers\nmprt.sys]  [N/A, N/A]
[PID: 1524][C:\WINNT\System32\svchost.exe]  [Microsoft Corporation, 5.00.2134.1]
[PID: 1556][C:\WINNT\system32\l8vi5wj6.exe]  [Microsoft Corporation, 5.00.2134.1]
    [C:\WINNT\system32\drivers\nmprt.sys]  [N/A, N/A]
    [C:\WINNT\system32\xk7uh.dll]  [N/A, N/A]
[PID: 1592][C:\WINNT\system32\ctfmon.exe]  [Microsoft Corporation, 1.00.2409.34 built by: Lab06_N]
    [C:\WINNT\system32\drivers\nmprt.sys]  [N/A, N/A]
    [C:\WINNT\system32\xk7uh.dll]  [N/A, N/A]
[PID: 1616][C:\Program Files\Java\j2re1.5.0\bin\jusched.exe]  [N/A, N/A]
    [C:\WINNT\system32\drivers\nmprt.sys]  [N/A, N/A]
    [C:\WINNT\system32\xk7uh.dll]  [N/A, N/A]
[PID: 936][C:\Documents and Settings\Administrator\桌面\sreng2\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]
    [C:\WINNT\system32\drivers\nmprt.sys]  [N/A, N/A]
    [C:\WINNT\system32\xk7uh.dll]  [N/A, N/A]


xk7uh.dll就是有问题的进程。这个每一台机器是不同的。
然后你进行系统%systemroot%system32下面看一下它的时间。然后到安全模式（如不能进入安全模式用其他的方法　如用一些工具盘我用的是的逍遥茶系统维护光盘。 因为我也不能进入安全模式了，蓝屏）把与xk7uh.dll时间相同的都删除掉，但保留winsrv.dll usr32.dll。
如果你没有SREng.exe你可以看winsrv.dll usr32.dll的时间，然后查找与它们时间相同的，然后全部删除。

C:\WINNT\system32\drivers\nmprt.sys
C:\WINNT\system32\xk7uh.dll
删除

nmprt.sys这个与xk7uh.dll时间相同的都删除掉

对了要把
C:\WINNT\system32\drivers\etc
下的hosts文件中修改为
127.0.0.1 localhost

其他的都删除。

删除
C:\WINNT\system32\drivers\nmprt.sys
C:\WINNT\system32\xk7uh.dll
C:\WINNT\system32\l8vi5wj6.exe