附件: Report3.txt (2008-8-17 23:31:18, 155.95 K)
该附件被下载次数 125

附件: Report1.txt (2008-8-17 23:31:18, 155.95 K)
该附件被下载次数 119

附件: Report2.txt (2008-8-17 23:31:18, 155.95 K)
该附件被下载次数 118

附件: SREngLOG.log (2008-8-17 23:31:18, 13.60 K)
该附件被下载次数 143

==============================================================
        金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间:            2008-08-17, 23:12
诊断平台:            Windows XP [5.1.2600] Service Pack 2
IE版本:              Internet Explorer V6.0.2180.2900
计算机物理内存:      2047(MB)
当前可用内存:        2047(MB)
硬盘总大小:          74(GB)
硬盘可用空间:        56(GB)
清理专家版本:        2008.06.13.404
恶意软件库版本:      2008.06.03.1
漏洞库版本:          2008.05.27.1


==============================================================
        映像劫持
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
        <Your Image File Name Here without a path>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [安全] [5.1.2600.0 (XPClient.010817-1148)]

==============================================================
        常规启动项
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        [360Safetray]        <C:\Program Files\360safe\safemon\360tray.exe /start>
        文件路径: C:\Program Files\360safe\safemon\360tray.exe  [安全]
--------------------------------------------------------------
该项来源: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        [ctfmon.exe]          <C:\WINDOWS\system32\ctfmon.exe>
        文件路径: C:\WINDOWS\system32\ctfmon.exe [安全]

==============================================================
        登陆加载项
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
          [Userinit]            <C:\WINDOWS\system32\UserInit.exe >
          文件路径: C:\WINDOWS\system32\UserInit.exe  [安全]
--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
          [Shell]            <Explorer.exe>
          文件路径: C:\WINDOWS\Explorer.exe  [安全]
--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
          [UIHost]            <hh.exe>
          文件路径: C:\WINDOWS\hh.exe  [安全]
--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
          [ComPlusSetup]        <C:\WINDOWS\system32\catsrvut.dll>
          文件路径: C:\WINDOWS\system32\catsrvut.dll  [安全]
          [crypt32chain]        <crypt32.dll>
          文件路径: C:\WINDOWS\system32\crypt32.dll  [安全]
          [cryptnet]            <cryptnet.dll>
          文件路径: C:\WINDOWS\system32\cryptnet.dll  [安全]
          [cscdll]              <cscdll.dll>
          文件路径: C:\WINDOWS\system32\cscdll.dll  [安全]
          [ScCertProp]          <wlnotify.dll>
          文件路径: C:\WINDOWS\system32\wlnotify.dll  [安全]
          [Schedule]            <wlnotify.dll>
          文件路径: C:\WINDOWS\system32\wlnotify.dll  [安全]
          [sclgntfy]            <sclgntfy.dll>
          文件路径: C:\WINDOWS\system32\sclgntfy.dll  [安全]
          [SensLogn]            <WlNotify.dll>
          文件路径: C:\WINDOWS\system32\WlNotify.dll  [安全]
          [termsrv]            <wlnotify.dll>
          文件路径: C:\WINDOWS\system32\wlnotify.dll  [安全]
          [wlballoon]          <wlnotify.dll>
          文件路径: C:\WINDOWS\system32\wlnotify.dll  [安全]

==============================================================
        延迟加载
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
        [PostBootReminder]    <C:\WINDOWS\system32\SHELL32.dll>
        文件路径: C:\WINDOWS\system32\SHELL32.dll [安全]
        [CDBurn]              <C:\WINDOWS\system32\SHELL32.dll>
        文件路径: C:\WINDOWS\system32\SHELL32.dll [安全]
        [WebCheck]            <C:\WINDOWS\system32\webcheck.dll>
        文件路径: C:\WINDOWS\system32\webcheck.dll [安全]
        [SysTray]            <C:\WINDOWS\system32\stobject.dll>
        文件路径: C:\WINDOWS\system32\stobject.dll [安全]

==============================================================
        执行挂钩
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
        <{AEB6717E-7E19-11d0-97EE-00C04FD91972}>            <shell32.dll>
        文件路径: C:\WINDOWS\system32\shell32.dll [安全]

==============================================================
        启动文件夹位置
==============================================================
Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:            C:\Documents and Settings\BBADO.BTXIAOTO-AA4EC7\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动
==============================================================
        安全模式启动项
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
        [AlternateShell]        <cmd.exe>
        文件路径: C:\WINDOWS\system32\cmd.exe [安全]
--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
        [AlternateShell]        <cmd.exe>
        文件路径: C:\WINDOWS\system32\cmd.exe [安全]

==============================================================
        调试相关项
==============================================================
该项来源: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AEDebug
        [Debugger]            <drwtsn32 -p %ld -e %ld -g>
        文件路径: C:\WINDOWS\system32\drwtsn32.exe [安全]

==============================================================
        文件扩展名关联
==============================================================
.TXT            <C:\WINDOWS\system32\NOTEPAD.EXE %1>
文件路径: C:\WINDOWS\system32\NOTEPAD.EXE [安全]
.ASF            <"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:7 /Open "%L">
文件路径: C:\Program Files\Windows Media Player\wmplayer.exe [安全]
.AVI            <"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:8 /Open "%L">
文件路径: C:\Program Files\Windows Media Player\wmplayer.exe [安全]
.CHM            <"C:\WINDOWS\hh.exe" %1>
文件路径: C:\WINDOWS\hh.exe [安全]
.GIF            <rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen %1>
文件路径: C:\WINDOWS\system32\shimgvw.dll [安全]
HELPFILE        <winhlp32.exe %1>
文件路径: C:\WINDOWS\system32\winhlp32.exe [安全]
.HLP            <C:\WINDOWS\system32\winhlp32.exe %1>
文件路径: C:\WINDOWS\system32\winhlp32.exe [安全]
.HTA            <C:\WINDOWS\system32\mshta.exe "%1" %*>
文件路径: C:\WINDOWS\system32\mshta.exe [安全]
.HTML(.HTM)    <"C:\Program Files\Internet Explorer\iexplore.exe" -nohome>
文件路径: C:\Program Files\Internet Explorer\iexplore.exe [安全]
.INF            <C:\WINDOWS\System32\NOTEPAD.EXE %1>
文件路径: C:\WINDOWS\System32\NOTEPAD.EXE [安全]
.INI            <C:\WINDOWS\System32\NOTEPAD.EXE %1>
文件路径: C:\WINDOWS\System32\NOTEPAD.EXE [安全]
.JPG(.JPEG)    <rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen %1>
文件路径: C:\WINDOWS\system32\shimgvw.dll [安全]
.M3U            <"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:6 /Open "%L">
文件路径: C:\Program Files\Windows Media Player\wmplayer.exe [安全]
.REG            <regedit.exe "%1">
文件路径: C:\WINDOWS\regedit.exe [安全]
.WMA            <"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:5 /Open "%L">
文件路径: C:\Program Files\Windows Media Player\wmplayer.exe [安全]
.MP3            <"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:6 /Open "%L">
文件路径: C:\Program Files\Windows Media Player\wmplayer.exe [安全]
.MPG(.MPEG)    <"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:9 /Open "%L">
文件路径: C:\Program Files\Windows Media Player\wmplayer.exe [安全]
.VBS            <C:\WINDOWS\System32\WScript.exe "%1" %*>
文件路径: C:\WINDOWS\System32\WScript.exe [安全]
.JS            <C:\WINDOWS\System32\WScript.exe "%1" %*>
文件路径: C:\WINDOWS\System32\WScript.exe [安全]

==============================================================
        Host File
==============================================================
127.0.0.1      localhost
==============================================================
        系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds
        [StartupPrograms] [已启用]    <rdpclip>
        文件路径: C:\WINDOWS\system32\rdpclip.exe [安全]
--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [ALG] [已禁用]                <%SystemRoot%\System32\alg.exe>
        文件路径: C:\WINDOWS\System32\alg.exe [安全]
        [AppMgmt] [已启用]            <%SystemRoot%\System32\appmgmts.dll>
        文件路径: C:\WINDOWS\System32\appmgmts.dll [安全]
        [AudioSrv] [已启用]            <%SystemRoot%\System32\audiosrv.dll>
        文件路径: C:\WINDOWS\System32\audiosrv.dll [安全]
        [BITS] [已禁用]                <%SystemRoot%\System32\qmgr.dll>
        文件路径: C:\WINDOWS\System32\qmgr.dll [安全]
        [CiSvc] [已禁用]              <%SystemRoot%\system32\cisvc.exe>
        文件路径: C:\WINDOWS\system32\cisvc.exe [安全]
        [ClipSrv] [已禁用]            <%SystemRoot%\system32\clipsrv.exe>
        文件路径: C:\WINDOWS\system32\clipsrv.exe [安全]
        [COMSysApp] [已启用]          <C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}>
        文件路径: C:\WINDOWS\system32\dllhost.exe [安全]
        [CryptSvc] [已启用]            <%SystemRoot%\System32\cryptsvc.dll>
        文件路径: C:\WINDOWS\System32\cryptsvc.dll [安全]
        [DcomLaunch] [已启用]          <%SystemRoot%\system32\rpcss.dll>
        文件路径: C:\WINDOWS\system32\rpcss.dll [安全]
        [Dhcp] [已启用]                <%SystemRoot%\System32\dhcpcsvc.dll>
        文件路径: C:\WINDOWS\System32\dhcpcsvc.dll [安全]
        [dmadmin] [已启用]            <%SystemRoot%\System32\dmadmin.exe /com>
        文件路径: C:\WINDOWS\System32\dmadmin.exe [安全]
        [dmserver] [已禁用]            <%SystemRoot%\System32\dmserver.dll>
        文件路径: C:\WINDOWS\System32\dmserver.dll [安全]
        [Dnscache] [已启用]            <%SystemRoot%\System32\dnsrslvr.dll>
        文件路径: C:\WINDOWS\System32\dnsrslvr.dll [安全]
        [ERSvc] [已启用]              <%SystemRoot%\System32\ersvc.dll>
        文件路径: C:\WINDOWS\System32\ersvc.dll [安全]
        [Eventlog] [已禁用]            <%SystemRoot%\system32\services.exe>
        文件路径: C:\WINDOWS\system32\services.exe [安全]
        [EventSystem] [已启用]        <C:\WINDOWS\system32\es.dll>
        文件路径: C:\WINDOWS\system32\es.dll [安全]
        [FastUserSwitchingCompatibility] [已启用] <%SystemRoot%\System32\shsvcs.dll>
        文件路径: C:\WINDOWS\System32\shsvcs.dll [安全]
        [helpsvc] [已禁用]            <%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll>
        文件路径: C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll [安全]
        [HidServ] [已禁用]            <%SystemRoot%\System32\hidserv.dll>
        [HTTPFilter] [已启用]          <%SystemRoot%\System32\w3ssl.dll>
        文件路径: C:\WINDOWS\System32\w3ssl.dll [安全]
        [ImapiService] [已禁用]        <C:\WINDOWS\system32\imapi.exe>
        文件路径: C:\WINDOWS\system32\imapi.exe [安全]
        [KPfwSvc] [已启用]            <"C:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KPfwSvc.EXE">
        文件路径: C:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KPfwSvc.EXE [安全]
        [LmHosts] [已禁用]            <%SystemRoot%\System32\lmhsvc.dll/TCP/IP NetBIOS Helper>
        文件路径: C:\WINDOWS\System32\lmhsvc.dll [安全]
        [mnmsrvc] [已禁用]            <C:\WINDOWS\system32\mnmsrvc.exe>
        文件路径: C:\WINDOWS\system32\mnmsrvc.exe [安全]
        [MSDTC] [已启用]              <C:\WINDOWS\system32\msdtc.exe>
        文件路径: C:\WINDOWS\system32\msdtc.exe [安全]
        [MSIServer] [已启用]          <C:\WINDOWS\system32\msiexec.exe /V>
        文件路径: C:\WINDOWS\system32\msiexec.exe [安全]
        [NetDDE] [已禁用]              <%SystemRoot%\system32\netdde.exe>
        文件路径: C:\WINDOWS\system32\netdde.exe [安全]
        [NetDDEdsdm] [已禁用]          <%SystemRoot%\system32\netdde.exe>
        文件路径: C:\WINDOWS\system32\netdde.exe [安全]
        [Netman] [已启用]              <%SystemRoot%\System32\netman.dll>
        文件路径: C:\WINDOWS\System32\netman.dll [安全]
        [Nla] [已启用]                <%SystemRoot%\System32\mswsock.dll>
        文件路径: C:\WINDOWS\System32\mswsock.dll [安全]
        [NtmsSvc] [已启用]            <%SystemRoot%\system32\ntmssvc.dll>
        文件路径: C:\WINDOWS\system32\ntmssvc.dll [安全]
        [NVSvc] [已启用]              <%SystemRoot%\system32\nvsvc32.exe>
        文件路径: C:\WINDOWS\system32\nvsvc32.exe [安全]
        [PlugPlay] [已启用]            <%SystemRoot%\system32\services.exe>
        文件路径: C:\WINDOWS\system32\services.exe [安全]
        [PolicyAgent] [已启用]        <%SystemRoot%\system32\lsass.exe/IPSEC Services>
        文件路径: C:\WINDOWS\system32\lsass.exe [安全]
        [ProtectedStorage] [已启用]    <%SystemRoot%\system32\lsass.exe>
        文件路径: C:\WINDOWS\system32\lsass.exe [安全]
        [RasAuto] [已启用]            <%SystemRoot%\System32\rasauto.dll>
        文件路径: C:\WINDOWS\System32\rasauto.dll [安全]
        [RasMan] [已启用]              <%SystemRoot%\System32\rasmans.dll>
        文件路径: C:\WINDOWS\System32\rasmans.dll [安全]
        [RDSessMgr] [已禁用]          <C:\WINDOWS\system32\sessmgr.exe>
        文件路径: C:\WINDOWS\system32\sessmgr.exe [安全]
        [RemoteAccess] [已禁用]        <%SystemRoot%\System32\mprdim.dll>
        文件路径: C:\WINDOWS\System32\mprdim.dll [安全]
        [RemoteRegistry] [已禁用]      <%SystemRoot%\system32\regsvc.dll>
        文件路径: C:\WINDOWS\system32\regsvc.dll [安全]
        [RpcSs] [已启用]              <%SystemRoot%\system32\rpcss.dll>
        文件路径: C:\WINDOWS\system32\rpcss.dll [安全]
        [RSVP] [已启用]                <%SystemRoot%\system32\rsvp.exe>
        文件路径: C:\WINDOWS\system32\rsvp.exe [安全]
        [SamSs] [已启用]              <%SystemRoot%\system32\lsass.exe>
        文件路径: C:\WINDOWS\system32\lsass.exe [安全]
        [SCardSvr] [已禁用]            <%SystemRoot%\System32\SCardSvr.exe>
        文件路径: C:\WINDOWS\System32\SCardSvr.exe [安全]
        [Schedule] [已禁用]            <%SystemRoot%\system32\schedsvc.dll>
        文件路径: C:\WINDOWS\system32\schedsvc.dll [安全]
        [seclogon] [已禁用]            <%SystemRoot%\System32\seclogon.dll>
        文件路径: C:\WINDOWS\System32\seclogon.dll [安全]
        [SENS] [已禁用]                <%SystemRoot%\system32\sens.dll>
        文件路径: C:\WINDOWS\system32\sens.dll [安全]
        [SharedAccess] [已启用]        <%SystemRoot%\System32\ipnathlp.dll/Windows Firewall/Internet Connection Sharing (ICS)>
        文件路径: C:\WINDOWS\System32\ipnathlp.dll [安全]
        [ShellHWDetection] [已禁用]    <%SystemRoot%\System32\shsvcs.dll>
        文件路径: C:\WINDOWS\System32\shsvcs.dll [安全]
        [Spooler] [已禁用]            <%SystemRoot%\system32\spoolsv.exe>
        文件路径: C:\WINDOWS\system32\spoolsv.exe [安全]
        [srservice] [已禁用]          <C:\WINDOWS\system32\srsvc.dll>
        文件路径: C:\WINDOWS\system32\srsvc.dll [安全]
        [SSDPSRV] [已启用]            <%SystemRoot%\System32\ssdpsrv.dll>
        文件路径: C:\WINDOWS\System32\ssdpsrv.dll [安全]
        [stisvc] [已启用]              <%SystemRoot%\system32\wiaservc.dll>
        文件路径: C:\WINDOWS\system32\wiaservc.dll [安全]
        [SwPrv] [已禁用]              <C:\WINDOWS\system32\dllhost.exe /Processid:{EE68A495-65E3-47D6-9572-D5CA2CBAC3B7}>
        文件路径: C:\WINDOWS\system32\dllhost.exe [安全]
        [SysmonLog] [已禁用]          <%SystemRoot%\system32\smlogsvc.exe>
        文件路径: C:\WINDOWS\system32\smlogsvc.exe [安全]
        [TapiSrv] [已启用]            <%SystemRoot%\System32\tapisrv.dll>
        文件路径: C:\WINDOWS\System32\tapisrv.dll [安全]
        [TermService] [已禁用]        <%SystemRoot%\System32\termsrv.dll>
        文件路径: C:\WINDOWS\System32\termsrv.dll [安全]
        [Themes] [已启用]              <%SystemRoot%\System32\shsvcs.dll>
        文件路径: C:\WINDOWS\System32\shsvcs.dll [安全]
        [TlntSvr] [已禁用]            <C:\WINDOWS\system32\tlntsvr.exe/Telnet>
        文件路径: C:\WINDOWS\system32\tlntsvr.exe [安全]
        [TrkWks] [已禁用]              <%SystemRoot%\system32\trkwks.dll>
        文件路径: C:\WINDOWS\system32\trkwks.dll [安全]
        [upnphost] [已启用]            <%SystemRoot%\System32\upnphost.dll>
        文件路径: C:\WINDOWS\System32\upnphost.dll [安全]
        [UPS] [已启用]                <%SystemRoot%\System32\ups.exe>
        文件路径: C:\WINDOWS\System32\ups.exe [安全]
        [VSS] [已启用]                <%SystemRoot%\System32\vssvc.exe>

日志已经看不出什么了，你发现你机子出现什么问题描述下

硬盘每个区都有一个隐藏文档:System Volume Information

电脑莫名其妙设置被修改

不能显示隐藏文件,隐藏扩展名不能通过设置文件夹选项修改
电脑有时很卡,拔掉网线再连,会好很多
隐藏文档:System Volume Information无法删除,重分区后再做好系统还是有,文档中有一个文件叫:chang里面的内容由于做好系统一进,就有CMD进程运行,我就禁止命令执行.所以chang.log文件不再出现。今天莫名系统崩溃,我用安装盘修复,进系统发现
共享的那个服务service(拼写忘记了好象是sever,还是service)被隐藏了,找不到,加进了新的服务
User Privilege Service,

System Volume Information
系统还原文件夹

User Privilege Service, 文件路径是C:\WINDOWS\System32\svchost.exe -k netsvcs

扫描后的报告要开新贴才能传,帖下自己觉得可疑的
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <RTHDCPL><; RTHDCPL.EXE>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]

正在运行的进程
[PID: 788 / BBADO][C:\WINDOWS\system32\RUNDLL32.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\NvMcTray.dll]  [NVIDIA Corporation, 6.14.10.9371]
    [C:\WINDOWS\system32\nvapi.dll]  [N/A, ]
    [C:\Program Files\360safe\safemon\safemon.dll]  [360.CN, 4, 2, 0, 1005]
    [C:\WINDOWS\system32\NVRSZHC.DLL]  [NVIDIA Corporation, 6.14.10.9371]

[PID: 1896 / SYSTEM][\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

这个系统还原的System Volume Information你先不要反复折腾它了

系统自身的东西

至于新系统还有异常

自己观察一下做什么出现异常的。

还有不要弄太多东西

就要2.6版的SRENG就可以了

有时系统的不稳定，不是靠日志能帮你解决的。

=======================================================
        映像劫持
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

        <Your Image File Name Here without a path>        <ntsd -d>
        文件路径: C:\WINDOWS\system32\ntsd.exe [安全] [5.1.2600.0 (XPClient.010817-1148)]
昨天扫描的时候扫出的,看了论坛的帖子,按上面说的设置了权限,今天修复系统后就没再扫出这个来,问下,  映像劫持
有问题么?

没问题

[PID: 788 / BBADO][C:\WINDOWS\system32\RUNDLL32.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

[PID: 1896 / SYSTEM][\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

这2个进程有问题么?