瑞星卡卡安全论坛

由于机子中了病毒，特征是开机后，想打开桌面上的一个文件夹是，那可是费劲啦。光标是恋土不易，总是固定在我的电脑图标时，即使偶尔光标不恋土了，却又是打开的还是我的电脑文件夹，真是苦笑不得！不过，运用Tab键来配合光标使用，会是效果好些！但是，过一小阵子，它又会再次发作了。而且，打开了一个文件后，比如是一个WORD文件，右边的滑块也是这么一个毛病，总是固定在开始，好不容易滑到下面，它立即又回到了开始。
使用了瑞星杀软无效，把文件拷贝重装系统XP家庭版（SP2）后，竟然根本没有改变这个现象，查看了硬盘，没有什么问题。
由于装系统运行到格式化完，机子再次重启时，机子出现了报警声，一开时是两响，后来是五响，也有七响的时候，但通常是两响的时候为多。
查看了事件日志本，系统（暂时记不清了）里面有两个错误事件，一个警告事件，我还记得ID号大概是2006、60、3001。
机子暂不在手边。
机子是DELL的1300.
我是先装了XP，再联网升级，安装瑞星杀软、防火墙、卡卡的。
昨天装KAKA时，突然发现KAKA的大小成了500多KB大小了。
各位大侠，先帮我看看，需要我提供什么日志或是样本。
多多谢谢了！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

既然装系统运行到格式化完，机子再次重启时，机子出现了报警声，一开时是两响，后来是五响，也有七响的时候，但通常是两响的时候为多。

建议送修，可能硬件异常

因为你还没进系统，就有这类现象，说明系统问题是次要的，硬件本身已经有异常了。

也有偶然不响的时候。
送到维修站后，人家帮我检查后说是硬件没有问题。
刚才进入到了安全模式后，发现瑞星杀软监控自动消失了，请教这又是怎么一回事呢？

该用户帖子内容已被屏蔽

如同楼上这位兄弟所说，安全模式下系统托盘应该只有系统时间这一个图标，但瑞星的监控实际上是开启的。如果要检验，可在安全模式下运行瑞星杀软，点“监控”标签，如果各监控项显示状态为“保护中”，那就对了……

谢谢楼上讲解的非常细致。
我还想请教一下，我开启了瑞星杀软，可是没有过一秒钟，它又自动关闭了，这是怎么一回事呢？
看到坛子里，有一个帖子说是，对硬盘进行低格，都不能清除病毒，我的重装系统，可只不过是小菜一碟的高格了。
还有，打开过的文件有时会自动发生变异，有时是文件变小了。我装卡卡时，下载的好好的，但到了安装时，出了一个说是该运行程序已经染了病毒或是已经被病毒变异了，无法完成安装。一查看卡卡的属性，不是6.51M了，而是500多KB大小了。这能说是我的硬件出了问题了吗？

该用户帖子内容已被屏蔽

不会是BIOS病毒吧:default3:

1.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

2.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

3.为了最大程度减少对病毒的误判，和对病毒准确定位，最好同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

（4.如都以上软件无法正常运行
尝试该版本SRENG
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527）
如2.6的能用，还是用2.6的,2.4的就免了

5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒区.已发帖请跟贴，勿另开新帖。

谢谢楼上的两位，我再好好检查一番。
顺便把扫描的日志贴上来。
多谢多谢！

最近发现了与报警声，有十分的对应的三个系统日志记录的事件。我现把这三个日志事件资料发上，请大家帮忙看看，这到底是怎么一回事？


事件详细信息
日期（A）：2008-9-3 来源（S）：LoadPerf
时间（M）:21:48:31  类别（R）: 无
类型（E）:错误      事件ID(I):3001
用户（U）:N/A
计算机（O）:AIMANTIA-456D01
----------------------------------------------------------------------
描述（D）:
注册表中的性能技术其名称字符串数值的格式不正确。不正确的字符串是2238，不正确的索引值是数据节中的第二个和第三个DWORD值。

有关更多信息，请参阅在
http://go.microsoft.com/fwlink/events.asp的帮助和支持中心。
----------------------------------------------------------------------
数据（T）:字节（B） 0000: be 08 00 00 bc 08 00 00    1/4...1/4...
          字（W）  0008: bd 08 00 00 97 02 00 00    1/2...I...



事件详细信息
日期（A）：2008-9-3 来源（S）：LoadPerf
时间（M）:21:48:31  类别（R）: 无
类型（E）:警告    事件ID(I):2006
用户（U）:N/A
计算机（O）:AIMANTIA-456D01
----------------------------------------------------------------------
描述（D）:
性能注册表中的LastCounter和LastHelp值不正确，需要更新。数据段中的第一个和第二个DWORDS是原始值，第三个和第四个DWORDs是经过更新注册表的新值。

有关更多信息，请参阅在
http://go.microsoft.com/fwlink/events.asp的帮助和支持中心。
----------------------------------------------------------------------
数据（T）:字节（B） 0000: bc 08 00 00 bd 08 00 00    1/4...1/2...
          字（W）  0008: c2 08 00 00 c3 08 A...A(A上有一横线) 1/2...I...

事件详细信息
日期（A）：2008-9-3 来源（S）：WinMgmt
时间（M）:21:48:40  类别（R）: 无
类型（E）:警告    事件ID(I):63
用户（U）:NT AUTHORITY\SYSTEM
计算机（O）:AIMANTIA-456D01
----------------------------------------------------------------------
描述（D）:
提供程序，HiPerfCooker_v1,已在WMI namespace,Root\WMI,里注册以使用LocalSystem帐户。该帐户享有特权，并且该提供程序可能违反安全，如果它不正确地模拟用户请求。
有关更多信息，请参阅在
http://go.microsoft.com/fwlink/events.asp的帮助和支持中心。
----------------------------------------------------------------------

.....


现上传SRENG 和金山清理工具生成的日志,因为卡卡工具初始下载时发生了异化,我也把它给压缩了，一并上传,请大家帮忙分析一下.
拜托各位大大了。

跪谢.

附件: SREngLOG.log

附件: Report.txt

附件: 卡卡异化样本.rar

没看出什么

建议彻底卸载所有的安全软件、杀毒软件、清理工具。

全部卸载。

然后断网，观察一段时间看看

硬件异常，可能是软故障，不易被那些维修人员发现

硬件诊断工具,也不能信过?
我看到了你的U盘病毒的帖子,我的机子就是中了那个病毒的啊.
中毒时间是8月26号.

截个图，按PRINTSCREEN键，打开画图粘贴

天月版版,卡卡异化样本也看不出什么来么?

日志看不出什么

至于硬件诊断工具？？？？？？什么玩意？？？

你自己的？？？

还是维修人员的？？？？？

如果你自己的，就不可信

如果维修人员的，或许可信吧

我至少看日志看不出什么了

卡卡的我看看去

看了文件损坏

你所谓的异化是执什么个情况？？

再去重新下载去

可能下载未完全

光标总是停留在第一个文件夹上,死活不能被移动.我只能借助键盘上的TAB键辅助使光标移动到左边的多个选择项上,再快速选中文件打开,可打开后,又是不能拖动翻页的滑块>

你去换个鼠标试试

还不行建议你去系统软件区向“稳得起”版主求助

可能系统不行了

硬件问题了！

上日至看看

用hijackthis 1.99汉化版扫描系统将文件发上来，然后将可疑进程关闭，用杀毒软件查杀