==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 1576, D:\一般文件\瑞星\RISING\RAV\RAVMOND.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1656, D:\一般文件\瑞星\RISING\RFW\RFWSRV.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2004, D:\一般文件\瑞星\RISING\RFW\RFWMAIN.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 188, D:\一般文件\360SAFE\SAFEMON\360TRAY.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 188, D:\一般文件\360SAFE\SAFEMON\360TRAY.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 204, D:\一般文件\瑞星\RISING\RAV\RAVTASK.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 284, D:\一般文件\瑞星\RISING\RAV\RAVMON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 364, D:\一般文件\瑞星\RISING\RAV\RAVSTUB.EXE]

==================================
API HOOK
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

==================================
隐藏进程
N/A

==================================


[/CODE]

完毕！

下载ICEWORD1。22和SRENG2.5
打开SRENG2.5
删除服务
[Windows User Mode Driver Framework / UMWdf][Stopped/Auto Start]
<C:\WINDOWS\system32\wdfmgr.exe><N/A>

到安全模式，打开ICEWORD
删除
\SystemRoot\System32\BIRD\3WAREDRV.SYS
\SystemRoot\System32\BIRD\3waregsm.sys
\SystemRoot\System32\BIRD\3WDRV100.SYS
C:\WINDOWS\system32\wdfmgr.exe

全盘杀毒

引用:

【有毒必问的贴子】下载ICEWORD1。22和SRENG2.5 打开SRENG2.5 删除服务 [Windows User Mode Driver Framework / UMWdf][Stopped/Auto Start] <C:\WINDOWS\system32\wdfmgr.exe><N/A> 到安全模式，打开ICEWORD 删除 \SystemRoot\System32\BIRD\3WAREDRV.SYS \SystemRoot\System32\BIRD\3waregsm.sys \SystemRoot\System32\BIRD\3WDRV100.SYS C:\WINDOWS\system32\wdfmgr.exe 全盘杀毒 ………………

对以上答复持保留意见。
个人认为以上文件和对应的服务、驱动均为正常文件（C:\WINDOWS\system32\wdfmgr.exe是WMP10的相关文件；C:\WINDOWS\System32\BIRD\3waregsm.sys、C:\WINDOWS\System32\BIRD\3WDRV100.SYS、C:\WINDOWS\System32\BIRD\3WAREDRV.SYS则是笔记本电脑的相关驱动文件）。
欢迎交流，拒绝拍砖。

郁闷呀。。。。
只做了 下载ICEWORD1。22和SRENG2.5
打开SRENG2.5
删除服务
[Windows User Mode Driver Framework / UMWdf][Stopped/Auto Start]
<C:\WINDOWS\system32\wdfmgr.exe><N/A>
处理，
冰刃的不会用。。。。

另C:\WINDOWS\system32\wdfmgr.exe
因为已经删除了 在安全模式里干脆找不到，3WAREDRV.SYS等还可以搜索到 但不知道在哪里删除 郁闷·！·

建议您咨询瑞星客服　请他们协助解决问题 
瑞星客户服务中心：http://csc.rising.com.cn 
瑞星邮件服务中心：http://up.rising.com.cn/webmail/index.htm 
瑞星在线专家门诊：http://help.rising.com.cn/help/RSZX.html  瑞星在线专家门诊很方便

建议您咨询瑞星客服　请他们协助解决问题  瑞星客户服务中心：http://csc.rising.com.cn  瑞星邮件服务中心：http://up.rising.com.cn/webmail/index.htm  瑞星在线专家门诊：http://help.rising.com.cn/help/RSZX.html  瑞星在线专家门诊很方便