瑞星卡卡安全论坛

不知道上次怎么回事的，7月份开始每次开机都会出现一个框，那个框是在弹出输入用户名和密码之前，是这个样子的（无法截图，只能画）

点击关闭没用，只能点击确定，标题栏上就一个正方形，内容也一样就一个正方形，点确定后才弹出用户名和密码的输入框，然后就正常的……
瑞星查过，没病毒

操作系统：win2000 pro，内存：512M

大哥  画得不错  但是到底是什么东西

用autoruns查看在加载什么东东!

autoruns下载：http://anding.ys168.com/ 常用软件中找哦！

删掉,太多占位子

删除……

删……

删！

隐藏系统进程——刷新——再发上来！

太多不好查看！


附件: 293892006818205726.JPG

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run           

+ HP Software Update    Hewlett-Packard Product Assistant    Hewlett-Packard Co.    c:\program files\hp\hp software update\hpwuschd2.exe

+ NvCplDaemon    NVIDIA Display Properties Extension    NVIDIA Corporation    c:\winnt.0\system32\nvcpl.dll

+ nwiz    NVIDIA nView Wizard, Version 66.93     NVIDIA Corporation    c:\winnt.0\system32\nwiz.exe

+ RavTask    RavTimer    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rav\ravtask.exe

+ RfwMain    Rising Personal FireWall Main Program    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rfw\rfwmain.exe

+ SoundMan    Realtek Sound Manager    Realtek Semiconductor Corp.    c:\winnt.0\soundman.exe

+ Thunder        Thunder Networking Technologies,LTD    d:\program files\thunder network\thunder\thunder.exe

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动           

+ ADSL拨号王.lnk    ADSL Shell    HelloNet    d:\program files\hellonet\hellonet.exe

HKLM\SOFTWARE\Classes\Protocols\Handler           

+ ic32pp            c:\winnt.0\wc98pp.dll

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components           

+ 0            文件未找到:    About:Home

+ 1            文件未找到:    http://www.fjgb.com/line/index.asp

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks           

+ Rising Execute File Exts hook    Rising Shell Ext Module    Beijing Rising Technology Co., Ltd.    c:\winnt.0\system32\ravext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ RISING    Rising Shell Ext Module    Beijing Rising Technology Co., Ltd.    c:\winnt.0\system32\ravext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ 金山毒霸            文件未找到:    CLSID\{f154d460-3584-11d3-a8b8-5254ab111f56}\InprocServer32

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects           

+ Thunder Browser Helper    XunLeiBHO    Thunder Networking Technologies,LTD    d:\program files\thunder network\thunder\comdlls\xunleibho_002.dll

+ ThunderIEHelper Class    xunleibho BHO    Thunder Networking Technologies,LTD    c:\winnt.0\system32\xunleibho_v13.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions           

+ 启动迅雷        Thunder Networking Technologies,LTD    d:\program files\thunder network\thunder\thunder.exe

+ 相关站点            c:\winnt.0\web\related.htm

HKLM\System\CurrentControlSet\Services           

+ NVSvc    NVIDIA Driver Helper Service, Version 66.93    NVIDIA Corporation    c:\winnt.0\system32\nvsvc32.exe

+ RfwService    Rising Personal FireWall Service    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rfw\rfwsrv.exe

+ RsCCenter    CCenter    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rav\ccenter.exe

+ RsRavMon    RavMond    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rav\ravmond.exe

+ StarWindService    StarWind iSCSI Target (Alcohol Edition)    Rocket Division Software    d:\program files\alcohol soft\alcohol 120\starwind\starwindservice.exe

HKLM\System\CurrentControlSet\Services           

+ ALCXWDM    Realtek AC'97 Audio Driver (WDM)    Realtek Semiconductor Corp.    c:\winnt.0\system32\drivers\alcxwdm.sys

+ BaseTDI    basetdi    Beijing Rising Technology Co., Ltd.    c:\winnt.0\system32\drivers\basetdi.sys

+ bbcap    Mirror Miniport Driver    Windows (R) 2000 DDK provider    c:\winnt.0\system32\drivers\bbcap.sys

+ BRPPPOE            c:\winnt.0\system32\drivers\brpppoe.sys

+ cdnprot            文件未找到:    system32\drivers\cdnprot.sys

+ dmio    NT Disk Manager I/O Driver    VERITAS Software Corp.    c:\winnt.0\system32\drivers\dmio.sys

+ dmload    NT Disk Manager Startup Driver    VERITAS Software Corp.    c:\winnt.0\system32\drivers\dmload.sys

+ ExpScaner    ExpScan.sys        d:\program files\rising\rav\expscan.sys

+ HookCont    TDI HOOK Driver    Rising tech Co. ltd    d:\program files\rising\rav\hookcont.sys

+ HookReg            d:\program files\rising\rav\hookreg.sys

+ HookSys    Hooksys    Rising    d:\program files\rising\rav\hooksys.sys

+ HookUrl    HookUrl    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rfw\hookurl.sys

+ kmsinput            c:\winnt.0\system32\drivers\kmsinput.sys

+ MEMSCAN    MemScan Driver    瑞星软件有限公司    d:\program files\rising\rav\memscan.sys

+ mProcRs    Rising Personal FireWall  mprocrs.sys    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rfw\mprocrs.sys

+ npkcrypt    nProtect KeyCrypt Driver    INCA Internet Co., Ltd.    d:\program files\tencent\qq\npkcrypt.sys

+ NPPTNT2    nProtect NPSC Kernel Mode Driver for NT    INCA Internet Co., Ltd.    c:\winnt.0\system32\npptnt2.sys

+ nv    NVIDIA Compatible Windows 2000 Miniport Driver, Version 66.93     NVIDIA Corporation    c:\winnt.0\system32\drivers\nv4_mini.sys

+ prodrv06    StarForce Protection Environment Driver    Protection Technology    c:\winnt.0\system32\drivers\prodrv06.sys

+ prohlp02    StarForce Protection Helper Driver    Protection Technology    c:\winnt.0\system32\drivers\prohlp02.sys

+ prosync1    StarForce Protection Synchronization Driver    Protection Technology    c:\winnt.0\system32\drivers\prosync1.sys

+ Ptilink    Parallel Technologies DirectParallel IO Library    Parallel Technologies, Inc.    c:\winnt.0\system32\drivers\ptilink.sys

+ QuakeDRV            文件未找到:    system32\DRIVERS\quakedrv.sys

+ RsFwDrv    nt_fwdrv    Beijing Rising Technology Co., Ltd.    d:\program files\rising\rfw\rsfwdrv.sys

+ sfhlp01    StarForce Protection Helper Driver    Protection Technology    c:\winnt.0\system32\drivers\sfhlp01.sys

+ sptd            c:\winnt.0\system32\drivers\sptd.sys

+ TSP            文件未找到:    C:\WINNT.0\system32\drivers\klif.sys

+ vaxscsi            c:\winnt.0\system32\drivers\vaxscsi.sys

+ xinstall            c:\winnt.0\system32\drivers\xinstall.sys

+ yukonw2k    NDIS5 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter    Marvell Semiconductor Inc.    c:\winnt.0\system32\drivers\yukonw2k.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost           

+ %windir%\Resources\PalTheme\logonui.exe    Windows Logon UI    极限主题    c:\winnt.0\resources\paltheme\logonui.exe

HKCU\Control Panel\Desktop\Scrnsave.exe           

+ C:\WINNT.0\cd2a.scr            c:\winnt.0\cd2a.scr

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors           

+ LIDIL Language Monitor    LanguageMonitor    Hewlett-Packard Company    c:\winnt.0\system32\hpzll3xu.dll

哇靠

勾选了那个没按更新，怪不得还是这么长……白白多发了几个帖子

斑竹对不起！

哥哥请帮忙看看
每次开机都要点击确定，很是麻烦

其它论坛斑竹说可以是我的优化大师里  系统性能优化、系统安全优化 中
系统启动时显示的警告窗口标题  和  系统启动时显示的警告内容  ？？

但是不行啊！！重起多少次都是老样子！我怎么打勾去掉都没用！

操作删除前请备份注册表！
-------------------------
怎么那么多的winnt.0？？？
http://www.baidu.com/s?cl=3&wd=winnt%2E0

http://zhidao.baidu.com/q?ct=17&pn=0&tn=ikaslist&rn=10&word=winnt%2E0&fr=wwwt

---------------------
删除：
+ 金山毒霸文件未找到: CLSID\{f154d460-3584-11d3-a8b8-5254ab111f56}\InprocServer32

winnt.0？
win2000盗版的……可能安装2000时装在这个文件夹里了吧

待我删除看看

引用:

【444255361的贴子】winnt.0？ win2000盗版的……可能安装2000时装在这个文件夹里了吧 待我删除看看 ………………

注意做注册表备份或先给系统盘做个ghost备份，就可以放心的弄了！

上面的两个链接，有关winnt.0的相关内容！多数提到病毒！

不行！！！

删除了那个 金山毒霸 后，开机仍然有那个框！！

问题严重的是那个框每次开机都出现！

引用:

【444255361的贴子】不行！！！ 删除了那个 金山毒霸 后，开机仍然有那个框！！ 问题严重的是那个框每次开机都出现！ ………………

“事件查看器” 中有什么记录！

还有就是瑞星的未登录保护取消了吗？

太多了,看不清,怎么办?

今晚已经没时间了,明天我再来


嗯……瑞星的那个取消了

引用:

【444255361的贴子】太多了,看不清,怎么办? 今晚已经没时间了,明天我再来 嗯……瑞星的那个取消了 ………………

删除所有日志！

再开机就只有最后一次开机的记录了，就好看多了！

附件: 293892006818215116.JPG

系统日志:

1.
事件类型:    信息
事件来源:    RemoteAccess
事件种类:    无
事件 ID:    20158
日期:        2006-8-19
事件:        15:24:35
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
用户 K9016479@fztt2 用设备 ISDN8-0 与 PPPoE_Marvell Yukon Gigabit Ethernet 10_100_1000Base-T Adapter, Copper RJ-45 成功地建立了连接。 

2.事件类型:    警告
事件来源:    Dhcp
事件种类:    无
事件 ID:    1007
日期:        2006-8-19
事件:        15:24:17
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
计算机已自动配置网络地址为 0014854BF719 的 网卡的 IP 地址。被使用的 IP 地址是 169.254.204.187。
数据:
0000: 00 00 00 00              ....   


3.事件类型:    信息
事件来源:    EventLog
事件种类:    无
事件 ID:    6005
日期:        2006-8-19
事件:        15:23:14
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
事件日志服务已启动。

4.事件类型:    信息
事件来源:    EventLog
事件种类:    无
事件 ID:    6009
日期:        2006-8-19
事件:        15:23:14
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
Microsoft (R) Windows 2000 (R) 5.0 2195 Service Pack 4 Uniprocessor Free。



5.事件类型:    信息
事件来源:    EventLog
事件种类:    无
事件 ID:    6006
日期:        2006-8-19
事件:        15:22:08
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
事件日志服务已停止。
数据:
0000: 05 00 00 00              ....   


6.事件类型:    信息
事件来源:    RemoteAccess
事件种类:    无
事件 ID:    20159
日期:        2006-8-19
事件:        15:21:54
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
用户 K9016479@fztt2 用设备 ISDN8-0 与 PPPoE_Marvell Yukon Gigabit Ethernet 10_100_1000Base-T Adapter, Copper RJ-45 建立的连接被中断。 



安全日志:无


应用程序日志:

1.事件类型:    警告
事件来源:    SceCli
事件种类:    无
事件 ID:    1202
日期:        2006-8-19
事件:        15:23:41
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
安全策略已传播，但有警告信息。 0x4b8 : 发生扩展错误。

解决此事件的最佳方案，请用非系统管理员账户登录并在 http://support.microsoft.com 上查找“Troubleshooting 1202 Events”。

2.事件类型:    信息
事件来源:    WMDM PMSP Service
事件种类:    无
事件 ID:    105
日期:        2006-8-19
事件:        15:23:36
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
The service was started.


3.事件类型:    错误
事件来源:    nview_info
事件种类:    无
事件 ID:    1
日期:        2006-8-19
事件:        15:21:56
用户:        N/A
计算机:    COMMONOR-3D2979
描述:
事件 ID ( 1 )的描述(在资源( nview_info )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。部分事件包含了下列信息: NVIEW :  QQ: WAIT_TIMEOUT, while waiting for a read to clear - resetting read event
.