瑞星卡卡安全论坛

呵呵！！！
是因为注册表被还原的原因吧？？？？？

去重装系统吧。

引用:

【钱夫子的贴子】………………

尊敬的楼主同志,我要疯狂了，因为昨天令一位会员花费人民币35元用于装系统，所以特地通知一下楼主：

对于以下操作，本人不愿负任何责任，请楼主随时做好最坏的准备：重装系统。

当然，凡事，并没有绝对，只有相对，假如楼主能弄到以下几个文件，并且能上报的话，也许可以不承担一点风险。否则，极有可能承担所有的风险。。。。

当然，这也离不开广大茶友们的一块探讨。。。。。。（以将损失机率降到最低。。）

以上是废话兼楼主系统的终言，以下是正文

可疑项目：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon]
    <WinlogonNotify: NavLogon><C:\WINDOWS\system32\NavLogon.dll>  [(Verified)Symantec Corporation]

    <ccApp><"C:\Program Files\Common Files\Symantec Shared\ccApp.exe">  [(Verified)Symantec Corporation]
    <vptray><C:\PROGRA~1\SYMANT~1\VPTray.exe>  [(Verified)Symantec Corporation]
  <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]

服务

[Symantec Event Manager / ccEvtMgr][Running/Auto Start]
  <"C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"><Symantec Corporation>
[Symantec Settings Manager / ccSetMgr][Running/Auto Start]
  <"C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"><Symantec Corporation>

[VRVWatchServer / VRVWatchServer][Running/Auto Start]
  <"C:\WINDOWS\system32\WatchClient.exe" -service><>
[VRVFW / VRVFW][Running/Boot Start]
  <\SystemRoot\system32\VrvFw.sys><北信源>

[SrchHook Class]
  {F08555B0-9CC3-11D2-AA8E-000000000000} <C:\WINDOWS\system32\IEBHO.dll, N/A>
    [C:\WINDOWS\system32\vrvhook.dll]  [edp, 6, 4, 19, 15]
[PID: 220 / SYSTEM][C:\WINDOWS\system32\WatchClient.exe]  [, 6, 6, 16, 21]
[PID: 252 / SYSTEM][C:\WINDOWS\system32\VrvEdp_m.exe]  [, 6, 6, 20, 572]
    [C:\WINDOWS\system32\Cipherop.dll]  [Cipherop, 6, 6, 18, 17]
[PID: 548 / SYSTEM][C:\WINDOWS\system32\vrvsafec.exe]  [edp, 6, 4, 19, 15]
[PID: 640 / SYSTEM][C:\WINDOWS\system32\vrvrf_c.exe]  [, 6, 6, 6, 11]
[PID: 640 / SYSTEM][C:\WINDOWS\system32\vrvrf_c.exe]  [, 6, 6, 6, 11]
    [C:\WINDOWS\system32\vrvpwk.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\VrvKeyBoard.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\vrvfw_c.dll]  [, 1, 0, 0, 2]
    [C:\WINDOWS\system32\vrvrun_c.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\bkfile.dll]  [N/A, ]
    [C:\WINDOWS\system32\edpaudfliter.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\VrvKeyBoard.dll]  [, 1, 0, 0, 1]
特殊特权被允许： SeLoadDriverPrivilege [PID = 252, C:\WINDOWS\SYSTEM32\VRVEDP_M.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 548, C:\WINDOWS\SYSTEM32\VRVSAFEC.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 640, C:\WINDOWS\SYSTEM32\VRVRF_C.EXE]



因为本帖采用的是最下下下的方针政策：宁可错杀三千，也不要放过一个好人。。。。

所以，楼主要小心了。。。。。


PS：貌似发现了一个东东：病毒很有可能是以  vrv  开头的，所以，楼主可以在勾选高级选项的（搜索隐藏文件）的情况下，在文件名中输入  vrv，应该会有很大收获的（创建、修改时间）。假如整体的文件大小不是很大的话，可以上报瑞星。。。。。（再使用瑞星体验版杀。）

楼主好运，。。。

PS:以上系开玩笑

不过，楼主的确可以试着搜索“vrv”应该会有收获的。

解决办法，重装系统。

引用:

【过客2007的贴子】PS:以上系开玩笑 不过，楼主的确可以试着搜索“vrv”应该会有收获的。 ………………

版主可知道这个北信源是什么玩意?网上查不到

引用:

【没有梦想的男人的贴子】 版主可知道这个北信源是什么玩意?网上查不到 ………………

不说不知道,一说吓一跳...

原来是.......(CTRL+A)

http://www.vrv.com.cn/

没见过这个杀软..以为是清除对象.可楼主说没安装过..上次那个也说没安装过..不知道是不是强行安装的...有人用过没有....

楼主好久不来了，进来招呼一下。

引用:

【艾玛的贴子】楼主好久不来了，进来招呼一下。 ………………

版主帮他看一下问题.还有问一下这个北信源是不是他的问题所在.

版主建议我上报三个文件，除了Vrvhook.dll外，我只能找到另两个相近的上报，并得到了回复。

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：VrvEdp_m.rpt
    不是病毒

    2.文件名：Vrvhook.dll
    不是病毒

    3.文件名：VRVRF_IE.EXE
    不是病毒

看来只能重装系统了。

我从来没安过北信源这个软件，而且我的电脑一直不能上外网，只能上单位的内网。

那几个该死的文件在Windows下怎么也找不到，但在DOS下都有，前天在DOS下删除了以下几个文件：

vrvhook.dll
vrvrf_c.exe
vrvfw_c.dll
vrvedp_m.exe
vrvedp_m.rpt
watchc~1.exe（估计就是watchclient.exe）
watchc~1.ini
vrvsafec.exe
vrvrf_ie.exe
vrvsetup.ini
现在在system32文件夹里是再也找不到上述文件了。

但是以前存在的问题都没有解决，还是老样子。
又做了一个SReng日志，显示watchclient.exe还在。


附件: 20703020071025123924.txt

引用:

【钱夫子的贴子】又做了一个SReng日志，显示watchclient.exe还在。 ………………

死马当活马医,楼主登录北信源的网站,下载北信源杀毒软件吧。

安装之后，假如杀不互病毒，就卸载吧

刚才看了同办公室两位同事的电脑，c:\windows\system32\下跟我的一样，都有很多vrv开头的文件，看来是单位内网安的了。

附件: 20703020071025130243.txt

引用:

【钱夫子的贴子】刚才看了同办公室两位同事的电脑，c:\windows\system32\下跟我的一样，都有很多vrv开头的文件，看来是单位内网安的了。 ………………

那恭喜楼主了！

嫌疑很可能是北信源。可能因为他是一个杀毒软件，所以在启动电脑时会执行一些扫描操作。。。。

楼主可以在控制面版中卸载他。
，假如控制面版中没有发现卸载功能，可以上北信源的网站重新下载一个，然后安装完之后，再通过控制面版卸载他。

引用:

【过客2007的贴子】 那恭喜楼主了！ 嫌疑很可能是北信源。可能因为他是一个杀毒软件，所以在启动电脑时会执行一些扫描操作。。。。 楼主可以在控制面版中卸载他。 ，假如控制面版中没有发现卸载功能，可以上北信源的网站重新下载一个，然后安装完之后，再通过控制面版卸载他。 ………………

我们电脑里安的应该是个北信源网络防火墙，在控制面板/程序等地方都找不到它的身影，应该是后台运行的。

我觉得重启时检测硬盘不是北信源的原因，因为我的电脑以前没有这种现象，同事们的电脑也不存在这种现象。还有，老是提示注册表故障恢复，很多设置自动还原这些又是什么原因呢？

北信源的网站不能下载，我的电脑里应该是其内网管理系统的客户端。你的办法好像行不通哟

冒失地提个问题：会不会是硬件的问题？

游戏迷曾说可能是内存条或者硬盘的问题，但因为是单位的电脑，没敢擅自拆开机箱（后面有封条）。

最近单位在搬家，信息中心的人都很忙，一直拖着~~~~~~

不管了，让领导换个电脑吧。

或者送修。

电脑异常的原因很多的。难以判断，大多建议还原系统，或重装系统。

日志里没看到明显的能导致你那系统出那些问题的东西。

别再折腾了。

实在还想折腾，就去控制面板那里卸载能卸载的所有东西试试吧。

天月大大这么说了.照做吧..

男人`~

引用:

【日不懂啊的贴子】男人`~ ………………

怎么？
你想他心思了？？

我叫他就是为引你出来
MM~~来,色一个

引用:

【日不懂啊的贴子】我叫他就是为引你出来 MM~~来,色一个 ………………

想知道为什么你叫"男人"天月大大一定出来....

我知道~~~

引用:

【日不懂啊的贴子】我知道~~~ ………………

你说的你当然知道了..

引用:

【没有梦想的男人的贴子】 版主可知道这个北信源是什么玩意?网上查不到 ………………

不会到现在还不知道吧?北信源是一款自称防毒软件的玩意儿.有部份电脑公司购机前会安装在系统中!