瑞星卡卡安全论坛

主页被不停的被更改 http://www.91878.com/ 输入法切换不正常
已经全盘杀过毒了，卡卡修复没用，一会就又有了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件: rslog.txt

附件: SREngLOG.log

用卡卡修复ie试试，瑞星全盘查杀

已经全盘杀过毒了，卡卡修复没用，一会就又有了

提供SRENG扫描日志，方法为：
1、点击下载 System Repair Engineer
2、解压缩sreng2.zip
3、 运行SREngldr.exe
4、智能扫描=》扫描=》保存报告
5、将日志以附件方式上传（请到http://bbs.ikaka.com/showtopic-8417665.aspx这个帖的6楼自学）。

急的解决办法

该用户帖子内容已被屏蔽

建议:

把C:\WINDOWS\system32\wins\3720\svchost.exe这个文件用WINRAR压缩，把压缩包发上来……

日志中异常项目如下：
==================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <MSConfig><C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto>  [(Verified)Microsoft Windows Component Publisher]
    <CNRNRNHelper.dll><; C:\PROGRA~1\CNRN\RNMain.exe C:\PROGRA~1\CNRN\RNHelper.dll,Rundll32>  [File is missing]
    <stup.exe><; Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>  [File is missing]
    <yassistse><; >  [N/A]
    <YLive.exe><; >  [N/A]
    <zmzy><; E:\down\zmzy\zmzy\zmzy.exe>  [File is missing]
==================================
服务
[dasdf33s2d2 / dd3asdf33sdd2][Stopped/Auto Start]
  <C:\WINDOWS\Fonts\dd1fsd2.exe -r><N/A>
[kaekxwc / kaekxwc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\xaekxwc\xaekxwc.dll,Service><Microsoft Corporation>
[Windows Time / W32Time][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->c:\windows\system32\wins\ohdfjrrey.dll><Microsoft LTD.>
==================================
驱动程序
[sfafix / sfafix][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\sfafix.sys><N/A>
[viv2c3cau / viv2c3caux][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\viv2c3caux.sys><N/A>
==================================
正在运行的进程
C:\WINDOWS\system32\wins\3720\svchost.exe
==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 5856, C:\WINDOWS\SYSTEM32\WINS\3720\SVCHOST.EXE]
==================================
PS：输入法进程c:\windows\system32\ctfmon.exe被多进程调用，个人感觉可能是C:\WINDOWS\system32\wins\3720\svchost.exe这个可疑文件在作祟。