瑞星卡卡安全论坛

这可怎么办呀？

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS; QQDownload 1.7; .NET CLR 1.1.4322)

附件: SREngLOG.log

修改注册表键值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <SystemCheck><%SystemRoot%\system32\syschk.exe>  [File is missing]
为<>
删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下注册表项目及<>内DLL文件
    <rasdlgcq.dll><C:\WINDOWS\system32\rasdlgcq.dll>  [File is missing]
    <cryptuiwlqx.dll><C:\WINDOWS\system32\cryptuiwlqx.dll>  [File is missing]
    <slbiopfs2.dll><C:\WINDOWS\system32\slbiopfs2.dll>  [File is missing]
删除服务及对应文件

[Nandra / Nandra][Stopped/Auto Start]
  <C:\WINDOWS\system32\Nandra.com -service><(File is missing)>

可疑文件，自己测
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
C:\WINDOWS\secsvr.exe
C:\WINDOWS\usblogon.exe
C:\WINDOWS\secsvr.exe

搜索这个文件
1adac.dll ，压缩为RAR上传到可疑文件交流区

[jfbgt / jfbgtd][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\jfbgtd.sys><N/A>
[ntptdb / ntptdb][Stopped/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys><N/A>
[tcpsr / tcpsr][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\drivers\tcpsr.sys><N/A>
[Uaf16 / Uaf16][Running/Boot Start]
  <\SystemRoot\System32\Drivers\Uaf16.sys><N/A>
[yskwbkxt / yskwbkxt][Running/Boot Start]
  <\SystemRoot\system32\drivers\yskwbkxt.sys><N/A>
上面这些驱动，建议备份后删除！具体删除方法请见置顶帖子中的SRE使用方法！

C:\WINDOWS\Downlo~1\1adac.dll（恶意插件）

PS：楼主用的联想的品牌机？如果是的话，那C:\WINDOWS\usblogon.exe
C:\WINDOWS\secsvr.exe 就是正常的！