瑞星卡卡安全论坛

在启动某个软件的时候提示感染病毒RootKit.Win32.Undef.sm。但是文件路径是C:\WINDOWS\system32\drivers\oreans32.sys。网上也有这方面的一些信息，据说难搞，我今天就重新做了系统。但是还是这样，不知道怎么解决。各位大大帮下忙。昨天搞了一天，今天也搞了一天。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

貌似是APR防火墙的驱动....

楼主上传到这里检查下

http://www.virscan.org/

文件发上来看看

偶对电脑不算熟悉，文件发上来只指哪个文件？

lz上传一下听诊器信息吧：
下载瑞星听诊器

下载地址：http://download.rising.com.cn/for_down/RsDetect.exe

运行扫描后会生成一个“瑞星听诊信息.htm”的文件

C:\WINDOWS\system32\drivers\oreans32.sys

压缩之后传上来


（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了）
贴到反病毒区，已发帖请跟贴，勿另开新帖。)

该驱动通常是正常，请发份SREng 日志 上传上来 看下。

附件: oreans32.rar

应该是正常文件
去可疑文件交流区发个文件
标明疑似误报

补充下我家里有两台电脑，使用同条宽带，刚试下那一台也是同样问题。那台是启动讯雷就提示感染病毒RootKit.Win32.Undef.sm，文件路径还是C:\WINDOWS\system32\drivers\oreans32.sys。

瑞星杀出病毒..

http://www.virscan.org/report/e6e8089f28aa30ae00f0e69a3e3927f1.html
只有5%防毒软件发现病毒

我重启试试看看会不会回写

扫描后结果无可疑文件。但是启动个别软件就报毒，比如启动讯雷。

晕哥照你方法，这个附件是日志。

附件: SREngLOG.log

启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[BdGuard / BdGuard][Running/Boot Start]
  <\SystemRoot\system32\drivers\BDGuard.SYS><>

[WINIO / WINIO][Stopped/Manual Start]
  <\??\H:\winio.sys><N/A>

使用XDELBOX 1.8删除以下文件（勾选抑压再生，从剪贴板导入而不检查路径）：
C:\WINDOWS\system32\drivers\BDGuard.SYS
H:\winio.sys

按晕哥的方法处理了，问题依然存在。下面的附件是重新扫描的SREngLOG.日志。

附件: SREngLOG.log

你到底有没有将那文件发到可疑文件交流区？？

只管不行不行的

如果确实误报

那你自然弄什么都不行了

放了，哪个工程师估计是官方的人吧。给我的回答是


（我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

1、文件名：oreans32.sys

病毒名：RootKit.Win32.Undef.sm ）

我也知道这个文件也知道病毒名，问题是重装系统也没用。:default11:

你去用瑞星的主动防御禁止这文件的访问、读取、运行、删除、和创建

然后重启电脑看情况如何

瑞星帮助文件里有设置说明

靠日志已经帮不了你了

你得自己观察，重装系统后到底做什么事会导致它又出现

该用户帖子内容已被屏蔽

这样的东西，考虑换系统盘

该用户帖子内容已被屏蔽