瑞星卡卡安全论坛

今天突然发现瑞星无法加载桌面图标和任务栏、快速启动栏中的瑞星主程序和帐号保险柜，但是系统托盘还加载了程序，我在根目录下的Update下强行启动，启动的同时结果报出“触发文件类规则”，结果到主动防御中把自我保护停止，一切恢复正常。
    请诸位高手详细说一下原因，个人感觉是升级的文件造成的这个问题。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)

========Content========
重新启动出现过这种现象吗？
直接到rav安装目录下运行rav.exe看能不能运行起来

自我保护开启后,重新启动还是不能运行,安装目录下也不能运行。

不要运行update下面的文件，运行rav下面的rav.exe试试
另外看看你的杀毒软件自我保护的历史纪录，是什么触犯了自我保护规则

"不要运行update下面的文件，运行rav下面的rav.exe试试
另外看看你的杀毒软件自我保护的历史纪录，是什么触犯了自我保护规则"

回复:
1、直接运行rav.exe,报出"指定路径不存在,请检查路径然后在试一次"
2、自我保护历史记录
试图写目标程序内存    2008-01-12 19:46:35    C:\WINDOWS\EXPLORER.EXE    C:\PROGRAM FILES\RISING\RAV\ULIBCFG.EXE                                                                                                                      试图改写目标程序内存    2008-01-12 19:47:29    C:\WINDOWS\EXPLORER.EXE    C:\PROGRAM FILES\RISING\RAV\RAV.EXE                                                                                                                      试图改写目标程序内存    2008-01-12 20:54:06    C:\WINDOWS\EXPLORER.EXE    C:\PROGRAM FILES\RISING\RAV\RAV.EXE                                                                                                                      试图改写目标程序内存    2008-01-12 20:54:19    C:\WINDOWS\EXPLORER.EXE    C:\PROGRAM FILES\RISING\RAV\ULIBCFG.EXE

现在只要把瑞星主动防御自我保护关上,就正常了。

开着“自我保护”，双击小伞应该可以启动rav.exe。
explorer可能被某些软件挂钩了，所以“自我保护”拒绝它启动瑞星的进程

恩学会了

请教一下怎样查与Explorer挂钩软件,你所指的是否是浏览器加载项?

不是浏览器加载项，如果用sreng扫描的话，可以看看正在运行的进程explorer.exe下面挂的dll，一般都有公司名称，没有的就要注意了……

我导出来,请帮我看看

[C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\wxvault.dll]  [, 05.06.00.003]
    [C:\WINDOWS\system32\detoured.dll]  [N/A, ]
    [c:\program files\rising\rfw\ijt_base.dll]  [Beijing Rising Technology Co., Ltd., 7.0.0.10]
    [c:\program files\rising\rfw\olemon.dll]  [Beijing Rising Technology Co., Ltd., 7.0.0.4]
    [C:\Program Files\Roxio\Drag-to-Disc\Shellex.dll]  [Roxio, 9.0.0.53]
    [C:\WINDOWS\system32\DLAAPI_W.DLL]  [N/A, ]
    [C:\WINDOWS\system32\CDRTC.DLL]  [Sonic Solutions, 9.0.1.6]
    [C:\Program Files\Roxio\Drag-to-Disc\ShellRes.dll]  [Roxio, 9.0.0.53]
    [C:\Program Files\Google\Google Desktop Search\GoogleDesktopDeskbar2.dll]  [Google, 5.1.707.23222]
    [C:\Program Files\Google\Google Desktop Search\GoogleDesktopResources_zh_cn.dll]  [Google, 5.1.707.23222]
    [C:\Program Files\Google\Google Desktop Search\GoogleDesktopHyper.dll]  [Google, 5.1.707.23222]
    [C:\Program Files\Google\Google Desktop Search\GoogleDesktopCommon.dll]  [Google, 5.1.707.23222]
    [C:\Program Files\Dell\QuickSet\dadkeyb.dll]  [N/A, ]
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll]  [Adobe Systems, Inc., 7.0.0.0]
    [C:\WINDOWS\system32\nvcpl.dll]  [NVIDIA Corporation, 6.14.11.0119]
    [C:\WINDOWS\system32\NVRSZHC.DLL]  [NVIDIA Corporation, 6.14.11.0119]
    [C:\WINDOWS\system32\nvapi.dll]  [NVIDIA Corporation, 6.14.11.0119]
    [C:\WINDOWS\system32\nvshell.dll]  [, ]
    [C:\WINDOWS\system32\RavExt.dll]  [Beijing Rising Technology Co., Ltd., 20.0.0.17]
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll]  [Adobe Systems Incorporated, 7.0.9.2006121800]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
    [C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\ContextMenuItem.dll]  [Wave Systems Corp., 05.06.00.003]
    [C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\VaultServer.dll]  [N/A, ]
    [C:\WINDOWS\system32\MFC71.DLL]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\Program Files\Rising\Rav\RSCOMMON.DLL]  [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]

以上为导出内容,请帮助分析.

API HOOK
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x010E212D)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x010E2215)

查出一个问题,入口点被挂钩,但是不知道是什么挂的,请帮分析一下

引用:

【白头雕的贴子】API HOOK 入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x010E212D) 入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x010E2215) 查出一个问题,入口点被挂钩,但是不知道是什么挂的,请帮分析一下 ………………

这是什么记录？

【回复“scarf”的帖子】
这是System Repair Engineer（系统扫描工具）日志中的内容。

但是光看0x010E212D、0x010E2215也看不出来是什么模块

有没有别的工具可以显示这两个地址是什么模块
或者把“正在运行的进程”这一项的日志传上来，前面帖的日志不能提供有用的信息

其实此帖http://forum.ikaka.com/topic.asp?board=112&artid=8414968&page=3的32楼我已经提过，卸载瑞星墙以后，日志中的这两个入口点错误即消失。

文件实在是太大,帖不上来所以我才节选了相关的日志内容,我一直认为是瑞星本身的问题造成的,昨晚我测试了文件联接、病毒检测，结果发现什么都没有，不过在瑞星历史记录中我查到这一项：
历史记录--主动防御记录--系统函数控制
操作：试图改写目标程序内存
时间：XXXXXXX
进程名称：C:\windows\system32\userinit.exe
操作数据：C:\windows\explorer.exe

从时间上看这个记录与主动防御启动自我保护后再启动瑞星主程序所报的Explorer触发API类规则时间一致,结果就造成启动桌面快捷方式报错路径不对无发启动.

谢谢各位给予的指导,收益非浅,希望各位高手多给指点.

我才发现在任务管理器中居然有7个Rav.exe,这是怎么回事?

我的电脑也出现了同样的问题，但是我怎么没看明白你们说的是什么啊？我没明白是怎么解决的，能简单教下我吗　？

[C:\WINDOWS\system32\wxvault.dll] [, 05.06.00.003]
[C:\WINDOWS\system32\detoured.dll] [N/A, ]

注意以上两个DLL，是不是安装了 Dell 的某些程序

这些 DLL 加载在 Explorer 中，当通过 Explorer 启动其他进程时，会对被启动的进程做写内存的操作（以达到这个软件的某些目的），如果启动的程序是瑞星程序，并且自我保护开启，就会拦截到这个写内存的动作，并直接拒绝，由于这些 DLL 的写内存动作被拒绝，它的内部运行流程就被中断了，就会出现错误，体现在宏观表面上，就是被启动程序不能启动，并且报错找不到路径或路径不存在等，与瑞星的程序无关

[PID: 1420 / SYSTEM][c:\program files\rising\rfw\rfwsrv.exe]  [Beijing Rising Technology Co., Ltd., 7.0.0.65]
    [C:\WINDOWS\system32\MFC71.DLL]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\WINDOWS\system32\wxvault.dll]  [, 05.06.00.003]
    [C:\WINDOWS\system32\detoured.dll]  [N/A, ]

21楼的朋友,真是高人那，谢谢,真是这个问题,但不知道能否停了这两个Dall,我还得看看,谢谢指点!!!

[PID: 1324 / XX][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 7.00.6000.16574 (vista_gdr.071008-1500)]
    [C:\WINDOWS\system32\wxvault.dll]  [, 05.06.00.003]
    [C:\WINDOWS\system32\detoured.dll]  [N/A, ]