正在运行的进程
1.
[C:\WINDOWS\system32\guard32.dll]  [N/A, ]

我的进程里多是这个，guard32.dll是什么啊？


2.
在浏览器加载项中发现了一些之前用过，但已删除的软件的信息，请问那些怎样可以删掉，要是不删掉会不会使系统运行速度变慢


===================以下内容为lqqk7回复==================
1、是进程中的模块，是不是装了comodo，可以按照路径找到文件去看一下版本信息，没记错的话应该是comodo的文件？
2、可以在SREng中删除，见图

启动项目的主要操作是关于下面四个项的编辑，
<shell>
<Userinit>
<AppInit_DLLs>
<UIHost>

我这几个项目在启动项里面咋都找不到呢?


===================以下内容为lqqk7回复==================
日志里肯定会有这几项的，至少要有1、2、4项，否则你的系统会有问题，根本无法登陆的

计划任务下面
是有还是没有好啊

计划任务
[已启用] SogouImeMgr.job
        F:\搜狗拼音\SOGOUI~1\413~1.239\PinyinRepair.exe

能否取消，怎么取消


===================以下内容为lqqk7回复==================
搜狗拼音输入法的相关程序，具体实现什么功能不清楚，肯定是正常的。
如果要删除，可以直接到控制面板的计划任务中删除，也可以在sreng中删除，取消勾选即可（见图）

没记错的话，这是comodo...

看了课件有很多疑问，请老师解答，太感谢了~！

1、启动项课件中写的，“黄框标出来的都是病毒文件”，判断原因是没有公司信息吗？还是别的原因？

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
看了以前的日志，别人的这部分跟我的不一样，这正常么？为什么是[File is missing] ？

2、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub> 
[]
Microsoft Windows Media Player 一般是带有公司信息的吧，是不是被篡改了？

3、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <NvMediaCenter><; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>  [NVIDIA Corporation]
    <nwiz><; nwiz.exe /install>  [N/A]
第二项后面是 [N/A] ，这正常么？

4、
服务项课件里写了，“C:\WINDOWS\SYSTEM32\SVCHOST.exe 是正常的系统文件，但后面加载执行黄框里的rpcadmin.dll就有问题了
”，
那么对于[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
加载的是hidserv.dll，这些怎么判断是否有问题？

5、
驱动程序：
[rfwtdi / rfwtdi][Running/Auto Start]
  <\??\C:\Program Files\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
前面出现的\??\是什么含义？

6、
浏览器加载项：
课件里写到黄框里的可疑项，
[]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <, >
那么这样的是不是可疑的？

7、
为什么txt chm 的文件关联是ERROR，使用没问题啊，这是正常的么？如果是OK，也是正常的么？

进程PID是进程标志符，是特定的？会改变么？

修改这些是不是在注册表中？服务，驱动，浏览器加载项在注册表里是哪个目录？


===================以下内容为lqqk7回复==================
1、公司、版本等信息只是判断因素之一，更多的是靠对系统关键文件的熟悉，也就是经验积累； [File is missing]指的是目标文件已经不存在；
2、这里获取的是C:\WINDOWS\INF\wmp.inf文件的信息，一个inf配置文件实际上就是一个文本文件，不包含版本信息的；
3、正常，nv显卡驱动相关程序，应该是那个文件本身没有版本信息，并非由版本信息就一定正常，没有版本信息也不一定就是病毒；
4、这些其实都是对系统的熟悉程度和分析日志的经验决定的，%SystemRoot%\System32\hidserv.dll是一个正常的文件，是一个系统服务用的文件；
5、\??\的含义暂时我也不清楚，改天请教高手后再来回答。当然这个不影响后面的判断，\??\的后面跟随的就是真实路径
6、前面有人问过了，参考41楼的回复；
7、下一节课会讲这个地方；
8、PID是随机的，进程退出后下次再启动这个程序，它的PID也会改变；
9、系统关键项在SREng中就可以修改，见下图

搞不懂。老师那[N/A]和PID是什么含义呀？


===================以下内容为lqqk7回复==================
PID就是一个进程标识符，当进程启动之后由系统自动分配的

N/A是 空
PID 是 线程ID

System

  - Provider

  [ Name]  Microsoft-Windows-Servicing
  [ Guid]  {bd12f3b8-fc40-4a61-a307-b7a013a069c1}
  [ EventSourceName]  Microsoft-Windows-Servicing

  - EventID 4374

  [ Qualifiers]  32768

  Version 0

  Level 3

  Task 0

  Opcode 0

  Keywords 0x80000000000000

  - TimeCreated

  [ SystemTime]  2009-06-23T01:58:17.000Z

  EventRecordID 14677

  Correlation

  - Execution

  [ ProcessID]  0
  [ ThreadID]  0

  Channel System

  Computer xiaming-PC

  - Security

  [ UserID]  S-1-5-18


- UserData

  - CbsPackageChangeState

  PackageIdentifier KB948610

  ReleaseType Update

  PackageState Absent

  PackageAssembly Package_for_KB948610_server~31bf3856ad364e35~x86~~6.0.6001.2123

  Operation Absent

  OperationCompleted True

  ErrorCode 0x0

  RebootOption False

  MissingElements

VISTA系统下的一段警告系统日志，但是看不出什么原因，给解答下！


===================以下内容为lqqk7回复==================
这个我也看不懂，发给微软工程师看看吧

一个没有，一个，具体什么用不知道，老师说，具体的病毒表现老师能给一个么？


===================以下内容为lqqk7回复==================
[N/A]可以理解为没有版本信息
PID是系统自动分配的进程标识符

老师可不可以发多几份日志来练习看啊？我电脑才重装，没什么毒可以看的！最好有那些病毒的例子！


===================以下内容为lqqk7回复==================
明天开始每天都会发几个日志来给大家讨论的