瑞星卡卡安全论坛

刚才在aaccbbdd的帮助之下，查杀了病毒，心想安装瑞星安全一点，安装之后，扫描日志里显示有危险，大家帮忙看一下：

安装前：

附件: SREngLOG-2008-08-20.log (2008-8-20 2:55:40, 47.47 K)
该附件被下载次数 104

安装后：

附件: SREngLOG-2008-08-20-1.log (2008-8-20 2:55:40, 48.99 K)
该附件被下载次数 113

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

用xdelbox删除以下 （:default6: 楼主的进程，好多)
c:\windows\System32\DRIVERS\edk2.sys
C:\DOCUME~1\david\LOCALS~1\Temp\tmp29D.tmp
C:\DOCUME~1\david\LOCALS~1\Temp\tmp2BB.tmp

安装后日志分析

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\docume~1\david\locals~1\temp\tmp29d.tmp
c:\windows\system32\drivers\protectora.sys
c:\windows\system32\drivers\protector.sys  （此二项，先备份再删除）
c:\windows\system32\drivers\edk2.sys
c:\docume~1\david\locals~1\temp\tmp2bb.tmp

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[TL / TL]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp29D.tmp>
[ProtectorA / ProtectorA]    <\??\C:\WINDOWS\system32\drivers\ProtectorA.sys>
[Protector / Protector]    <system32\drivers\Protector.sys>
[edk / edk2]    <\SystemRoot\System32\DRIVERS\edk2.sys>
[CQSJ / CQSJ]    <\??\C:\DOCUME~1\david\LOCALS~1\Temp\tmp2BB.tmp>

下载windows清理助手清理恶意软件
http://www.arswp.com/download.html

SREng扫描日志里显示有危险（入口点错误），是瑞星修改了API Hook，正常的:default5:

c:\windows\system32\drivers\protectora.sys
c:\windows\system32\drivers\protector.sys
这两个不一定有问题，有可能是网银的东西

原来是瑞星和网银，放心了。