瑞星卡卡安全论坛

C:\Windows\System32\resaenh.exe
C:\Windows\serveraget.exe
两个文件开机后仍然存在

一开机就显示 两个未知启动项要装入

再扫最新SRENG日志我看

附件: SREngLOG.log (2009-3-5 17:01:37, 50.02 K)
该附件被下载次数 101

刚刚扫描的

在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[Security Analyzer 微软标准数据连接程序 / resaenh][Stopped/Auto Start]
  <C:\Windows\System32\resaenh.exe><(File is missing)>

[Microsoft Serveraget 微软安全检测程序 / serveraget][Stopped/Auto Start]
  <C:\Windows\serveraget.exe><(File is missing)>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[lsaermr / lsaermr][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\qhwnc.sys><N/A>

[osjcrp / osjcrp][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osjcrp.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[IEFXZTool]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <C:\PROGRA~1\IEfxz\iefxz.dll, N/A>
[IEFXZHelper]
  {6A49F431-2A2E-41a5-9080-0F41D1A3AEC1} <C:\PROGRA~1\IEfxz\iefxz.dll, N/A>
[IEFXZ]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, N/A>
————————————————————————————————
SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

然后重启电脑再看怎样。

在扫日志的SRENG工具》系统修复》文件关联》修复文件关联

任然存在，那两个还在！
新的日志，刚才让删除的都又存在了

附件: SREngLOG.log (2009-3-5 17:31:16, 48.58 K)
该附件被下载次数 86

我按着你说的步骤做了2遍  结果都是一样，每次开机后还会有那两个未知程序的装入 
刚才打开sRENG就出现了

38楼的两个提示和你无关

任何安全软件都会导致那样

日志看

你操作SRENG工具时，没去细看它的提示和操作

那时否定加否定的逻辑顺序

你看清楚了么？？

我不是右相关操作贴的么？

你没去细看

我是点的否  然后我的APPINIT哪个选项是红色的，您让我删除的几样有一半删除了  这两个没有删除

去安全模式下操作一遍

可能你的其他什么安全软件阻止了你的操作

美女  告诉你个好消息，安全模式下删除了，重启后仍然有。。。。。。

其他的都没了  就哪两个海存在

置顶工具贴内下载Wsyscheck工具

然后点击“服务管理”项里，依据路径显示的文件信息，看准了，选择下面各项，选择右键菜单的“删除选中的服务和文件”

[Security Analyzer 微软标准数据连接程序 / resaenh][Stopped/Auto Start]
  <C:\Windows\System32\resaenh.exe><(File is missing)>

[Microsoft Serveraget 微软安全检测程序 / serveraget][Stopped/Auto Start]
  <C:\Windows\serveraget.exe><(File is missing)>

[lsaermr / lsaermr][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\qhwnc.sys><N/A>

[osjcrp / osjcrp][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osjcrp.sys><N/A>

然后重启电脑看情况怎样？

可能这两文件没删除成功
C:\Windows\system32\drivers\qhwnc.sys
C:\WINDOWS\system32\drivers\osjcrp.sys

C:\Windows\system32\drivers\qhwnc.sys
C:\WINDOWS\system32\drivers\osjcrp.sys
这两个删除了，
[Security Analyzer 微软标准数据连接程序 / resaenh][Stopped/Auto Start]
  <C:\Windows\System32\resaenh.exe><(File is missing)>

[Microsoft Serveraget 微软安全检测程序 / serveraget][Stopped/Auto Start]
  <C:\Windows\serveraget.exe><(File is missing)>
这两个任然没删除

美女  ， 用Wsyscheck了  结果任然存在，
这是这次的日志

附件: SREngLOG.log (2009-3-5 18:52:41, 44.22 K)
该附件被下载次数 116

用SRENG扫描工具删除驱动程序时，最后一步应该选“否”，你做对了么？

现在你的机上又多了两个临时文件加载的驱动程序，汗……

服务

[Security Analyzer 微软标准数据连接程序 / resaenh][Stopped/Auto Start]
  <C:\Windows\System32\resaenh.exe><(File is missing)>
[Microsoft Serveraget 微软安全检测程序 / serveraget][Stopped/Auto Start]
  <C:\Windows\serveraget.exe><(File is missing)>
建议删除……

[Sandboxie Service / SbieSvc][Stopped/Auto Start]
  <><(File is missing)>
沙盘？自己看着办……


驱动程序

[ddsxeiservice2 / ddsxeiservice][Stopped/Manual Start]
  <\??\C:\Program Files\sXe Injected\ddsxei.sys><N/A>
装了CS反作弊软件？

[kqjgpnoxmhrp / kqjgpnoxmhrp][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\okprptaimpal><N/A>
[talcdnrwyhcw / talcdnrwyhcw][Running/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tehsfxkazrwu><N/A>
不明驱动，建议直接删除。

[XDva219 / XDva219][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XDva219.sys><N/A>
这类驱动一直没搞明白，有说是网游的，有说是病毒的，不玩网游不清楚，可以禁用。

难道你是在沙盘状态下杀毒？:default3:

[Security Analyzer 微软标准数据连接程序 / resaenh][Stopped/Auto Start]
  <C:\Windows\System32\resaenh.exe><(File is missing)>
[Microsoft Serveraget 微软安全检测程序 / serveraget][Stopped/Auto Start]
  <C:\Windows\serveraget.exe><(File is missing)>
就这两个总删除不了

这是我重启后搜索出来的这个serveraget.exe文件  两个

用http://bbs.ikaka.com/attachment.aspx?attachmentid=491090这里的工具继续搜索resaenh.exe
之后把C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.766\sreng2.7.0.1210\SuspiciousFiles\里的文件忽视掉，到IceSword122cn.rar 里的文件里删除其他目录下的resaenh.exe与serveraget.exe，然后继续删除C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下的tehsfxkazrwu与okprptaimpal
再到icesword里的注册表里展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在下面的分支里找到resaenh与serveraget，都右键删除。之后立即重启电脑，看情况。

为什么还不行啊？？？？？始终就是[Security Analyzer 微软标准数据连接程序 / resaenh][Stopped/Auto Start]
  <C:\Windows\System32\resaenh.exe><(File is missing)>
[Microsoft Serveraget 微软安全检测程序 / serveraget][Stopped/Auto Start]
  <C:\Windows\serveraget.exe><(File is missing)>

那你去打开注册表，搜索到这两项，看对应项的权限是否没了

我做了两遍，在SRENG里删除
[Security Analyzer 微软标准数据连接程序 / resaenh][Stopped/Auto Start]
  <C:\Windows\System32\resaenh.exe><(File is missing)>
[Microsoft Serveraget 微软安全检测程序 / serveraget][Stopped/Auto Start]
  <C:\Windows\serveraget.exe><(File is missing)>
同时把注册表里的 serveraget. 和 resaenh的文件夹删除了，但仍然启动后还存在！

用瑞星监控一下，看那到底是什么再次创建那注册表项

除此外，我也没法了

系统无其他异常，就先用着吧，以后有机会再重装个新系统用吧

反正那两项对应的文件已没了

现在我的机器打开金山清理以后出现了

刚才扫的日志 ， 你们看看

附件: SREngLOG.log (2009-3-6 11:48:33, 50.36 K)
该附件被下载次数 96

去杀毒软件区向那里的版主询问如何用瑞星监控那两注册表项吧

靠日志已经解决不了什么了

至于金山的东西，你卸载后重装吧，或利用QQ医生打补丁吧