安全检查，希望大家帮忙。 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛安全检查，希望大家帮忙。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] 安全检查，希望大家帮忙。

超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:	发表于： 2010-01-29 17:05 \| 只看楼主短消息资料字号：小中大 1楼安全检查，希望大家帮忙。最近觉得我的电脑怪怪的，发个报告给大家，看看是不是有问题，另外SREng老是检测出我用于打开.txt和.chm的打开方法有误，这是为什么，按修复后重启就还是变回老样子，请各位帮忙解决一下。用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6 附件: 文件名:SREngLOG.log 下载次数:151 文件类型:application/octet-stream 文件大小: 上传时间:2010-1-29 17:04:34 描述:log
超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:	分享到：

Kaisir 拙长孩提狮帖子:153 注册: 2010-01-08 来自:山东济南	发表于： 2010-01-29 17:23 \| 短消息资料字号：小中大 2楼回复 1F 超级电脑的背后的帖子--------------- 你好超级电脑的背后我看了你发的日志文件~ API HOOK RVA 错误： LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) 这些都是卡巴斯基的正常文件还有你的日志里显示的txt跟CHM的打开方式都是正确的。你能说说你觉得奇怪的地方在哪里么 ------------------------------------------------------- 防护建议: 1. 建议通过Windows Update或的漏洞扫描工具安装好系统补丁程序 2. 给系统管理员帐户设置足够复杂的管理员密码，最好是10位以上，字母+数字+其它符号 3. 安装使用网络防火墙软件，可以有效地阻挡病毒的入侵。 4. 关闭没有必要的共享目录 5. 禁用自动播放，用U盘时候，不要双击打开，用右键打开在遇到系统中太多病毒流氓时候，建议先用流氓清理工具清理重启后再扫描日志 Kaisir 最后编辑于 2010-01-29 17:30:10 Kaisir.Wang的部落格 http://kaisir.cn
Kaisir 拙长孩提狮帖子:153 注册: 2010-01-08 来自:山东济南

leo108 反毒学员帖子:648 注册: 2010-01-11 来自:	发表于： 2010-01-29 17:24 \| 短消息资料字号：小中大 3楼回复：安全检查，希望大家帮忙。根据报告，你的文件关联没有问题驱动有的问题，可能是病毒，参考这里 http://baike.baidu.com/view/902811.html?fromTaglist 不过你的启动项里没有百科里所说的Launcher.exe，有可能是变种 leo108 最后编辑于 2010-01-29 17:42:26
leo108 反毒学员帖子:648 注册: 2010-01-11 来自:

随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:	发表于： 2010-01-29 17:40 \| 短消息资料字号：小中大 4楼回复: 安全检查，希望大家帮忙。个人认为这些驱动有问题，有点像Trojan/PSW.Agent.cxh症状楼主现在电脑还有什么明显的异常现象么？ 0.jpg (435.49 K) 2010-1-29 17:40:04 开始我认为这个是声卡驱动文件，后来百度查了下发现不是 [2310_00 / 2310_00][Stopped/Boot Start] 　　<\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.> 也请其他老师、同学看看
随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:

TwinstarHzj 健康舞勺狮帖子:482 注册: 2010-01-29 来自:	发表于： 2010-01-29 19:03 \| 短消息资料字号：小中大 5楼回复：安全检查，希望大家帮忙。至于打开.txt和.chm的打开方法有误， LZ用的是QQ2009或者TM2009对吗？他们会自动改这两个项的，可以忽略
TwinstarHzj 健康舞勺狮帖子:482 注册: 2010-01-29 来自:

超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:	发表于： 2010-01-29 23:40 \| 只看楼主短消息资料字号：小中大 6楼回复：安全检查，希望大家帮忙。我的确在用QQ2009，但是我扫这个报告之前到现在机子还是好好的，没有任何奇异症状。
超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:

超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:	发表于： 2010-01-29 23:42 \| 只看楼主短消息资料字号：小中大 7楼回复: 安全检查，希望大家帮忙。引用: 原帖由 leo108 于 2010-1-29 17:24:00 发表根据报告，你的文件关联没有问题驱动有的问题，可能是病毒，参考这里 http://baike.baidu.com/view/902811.html?fromTaglist 不过你的启动...... 关于这个，我的机子没有被修改IE首页。所以应该可以排除。另外请教我怎样进行清除那些驱动超级电脑的背后最后编辑于 2010-01-29 23:51:32
超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:

随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:	发表于： 2010-01-30 01:00 \| 短消息资料字号：小中大 8楼回复: 安全检查，希望大家帮忙。使用SRENG删除注册表启动项之 <bgswitch><C:\WINDOWS\system32\bgswitch.exe> [] <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [File is missing] （已被指向其他链接，同时丢失文件） <PPHIDPAD><C:\WINPENJR\win32\pphidpad.exe> [File is missing] <WMBstart><> [N/A] <nwiz><nwiz.exe /install> [NVIDIA Corporation] <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> [(Verified)Microsoft Windows Hardware Compatibility Publisher] 使用SRENG删除如下驱动 [2310_00 / 2310_00][Stopped/Boot Start] <\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.> [3WAREDRV / 3WAREDRV][Stopped/Boot Start] <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A> [3WAREGSM / 3WAREGSM][Stopped/Boot Start] <\SystemRoot\System32\BIRD\3waregsm.sys><N/A> [3WDRV100 / 3WDRV100][Stopped/Boot Start] <\SystemRoot\System32\BIRD\3WDRV100.SYS><N/A> [sptd / sptd][Running/Boot Start] <\SystemRoot\System32\Drivers\sptd.sys><N/A> [WINIO / WINIO][Stopped/Manual Start] <\??\G:\winio.sys><N/A> 下载XDELLBOX或者超级巡警暴力删除工具删除如下驱动文件 System32\BIRD\2310_00.sys System32\BIRD\3WAREDRV.SYS System32\BIRD\3waregsm.sys System32\BIRD\3WDRV100.SYS System32\Drivers\sptd.sys G:\winio.sys 使用PCONPOINT清理下注册表（先导入KEY，然后运行程序，可以清理沉余键值，整理注册表），并且用WYWZ清理系统垃圾最后重启下，如果还觉得有异常情况，建议再扫描一份日志上传如果没有问题，建议断网全盘杀毒，保险起见应做好资料备份的准备
随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2010-01-30 01:10 \| 短消息资料字号：小中大 9楼回复：安全检查，希望大家帮忙。楼上发烧了不认识我没关系，因为我也不认识你。
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:	发表于： 2010-01-30 21:26 \| 只看楼主短消息资料字号：小中大 10楼回复：安全检查，希望大家帮忙。现在都不敢动，请各位明确一点教我怎么做，谢谢。
超级电脑的背后初生襁褓狮帖子:47 注册: 2007-11-01 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT