瑞星卡卡安全论坛

我用冰刃检测出的，D:\WINDOWS\system32\drivers\HookHelp.sys
有人说是毒，有人说HookHelp.sys在system32下才是毒？？到底是不是毒啊？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.6))

您的操作系统是否安装在D盘?

不介意的话:
下载System Repair Engineer扫描工具,地址在：http://www.kztechs.com/sreng/download.html
日志扫描的操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、把日志作为附件传上来。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

就是安装在D盘啊~~

瑞星是有这个文件，如果系统安装在c盘则该文件位于c:\windows\system32\drivers目录下，可以通过调查该文件的属性获得一些信息：

谢谢，还有他一个问题。
刚才用您给我的软件扫描，再启动项目里有一个是红的，而且我一点启动项目就出现注册表值被修改。。还有就是一打开SREngPS.EXE，软件就提示入口点错误，修改过后再打开还会提示，这是什么问题？怎么解决？

把以下文件压缩，作为附件上传：
D:\WINDOWS\system32\drivers\svchost.exe
d:\windows\inf\dev03.inf
d:\windows\inf\mscomfix32.exe

上面那个图是卡卡的，正常

还有这个：
c:\ntfs32p.dll

你说的这些文件好像没有

c:\ntfs32p.dll
就这个有

附件: ntfs32p.rar

压缩后做个附件上传，然后把您的日志再发下，我看不见了

明显是瑞星的驱动``不必理会.


hookhelp.sys是瑞星杀毒软件的内核驱动，用于hook一些内核函数，方便杀毒。

安装了卡卡安全助手的话 这个显目也是安全的 卡卡是会修改这个注册表项目.

先下载工具：
windows清理助手下载：http://www.arswp.com/download.html
清理临时文件工具ATF-Cleaner-cn下载：http://www.qispace.com.cn/attachment.php?fid=34
———————————————————————————————————————
打开SREngPS.EXE，选择【启动项目】-【服务】-【WIND32服务应用程序】，将以下项删除：
服务
[Microsoft Application Sectubry Center / Alittef][Stopped/Auto Start]
  <D:\WINDOWS\system32\drivers\svchost.exe><N/A>
———————————————————————————————————————
重启电脑，运行“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击【立即清理】；
———————————————————————————————————————
杀毒软件升级最新版，断网后全盘查杀病毒。
———————————————————————————————————————
最后运行WINDOWS清理助手，执行“快速扫描”，对发现的“可清理对象”及“可卸载软件”，根据实际情况进行清理；不能确定的，把图发上来。

高度怀疑以下两个文件，个人认为可能是病毒模块；如果确认为病毒，请用冰刃从d:\windows\system32\svchost.exe进程中强行卸载该二个模块：
d:\windows\inf\dev03.inf
d:\windows\inf\mscomfix32.exe

不知道怎末确定啊。。。
前些日子为了杀一个瑞星怎末也杀不掉的病毒，下了超级巡警，终于杀掉了，但是下完感觉系统出现很多问题。

这个是病毒把

请用系统搜索命令，输入两个可疑文件的文件名，然后在“更多高级选项”一拦勾选“搜索隐藏的文件和文件夹”，然后执行搜索。
找到后压缩上传。

是两个木马，建议清理掉

压缩好了

附件: dev03.rar

判断是否是瑞星文件，请查看文件属性，带有瑞星数字签名的就是瑞星文件

还再吗，版主大人

传上来的附件没检测到是病毒。。。