瑞星卡卡安全论坛

wo de zhuo mian shang de tu biao quan mei le

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件: SREngLOG.log

在桌面上右键-排列图标，勾选“显示桌面图标"

日志进程里没见你的桌面程序和输入法程序工作哟，怎么了？？去看看实际文件是否还在呢？
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\system32\ctfmon.exe
如果他俩不在了，需要你自己找相同系统的文件放原位置了。


这下面去我置顶工具贴找费尔抑制再生删除下面文件吧：
C:\WINDOWS\run.vbs
C:\WINDOWS\system32\Phbh.dll,
c:\windows\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\cmss.exe
C:\WINDOWS\system32\9vtan.dll
C:\WINDOWS\system32\efc0c52cc1.dll
C:\WINDOWS\system32\aBuH8MAyRRuJ.dll
C:\WINDOWS\system32\56BC86C7.dll
C:\WINDOWS\system32\RvmuthC.dll
C:\WINDOWS\system32\RqmftqC.dll
C:\WINDOWS\system32\ntext\Winspool
C:\WINDOWS\system32\drivers\kamvs.sys

不论删除结果如何，重启电脑看情况如何。
尤其是注意此驱动是否删除成功C:\WINDOWS\system32\drivers\kamvs.sys

至于下面这个，老大没用好，呵呵！！不明程序还是运行了
==================================
启动文件夹
[SuperMonitor.exe]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\SuperMonitor.exe.lnk --> F:\超级进~1\SUPERM~1.EXE [http://www.superkill.cn]><N>

你也真够戗

你没看桌面注册表项异常？？？你没看进程中已经没了桌面进程？？？:kaka6:

你的这两个系统重要进程不知道情况如何，有相同系统的文件，也一并去复制个放原位置恢复下吧
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe

用PowerRmv删除以下文件

这下面去我置顶工具贴找费尔抑制再生删除下面文件吧：
C:\WINDOWS\run.vbs
C:\WINDOWS\system32\Phbh.dll,
c:\windows\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\cmss.exe
C:\WINDOWS\system32\9vtan.dll
C:\WINDOWS\system32\efc0c52cc1.dll
C:\WINDOWS\system32\aBuH8MAyRRuJ.dll
C:\WINDOWS\system32\56BC86C7.dll
C:\WINDOWS\system32\RvmuthC.dll
C:\WINDOWS\system32\RqmftqC.dll
C:\WINDOWS\system32\ntext\Winspool
C:\WINDOWS\system32\drivers\kamvs.sys


修复<shell> <——注意这项是修复，不是删除！

用SREng删除以下【驱动程序】项
[CH000003 / CH000003]
[gnzapey / gnzapey]


试试

版主大人，教教我怎么看日志吧

例如这贴：

首先看系统时间是否正确
2009-05-22,14:32:14

接下来看SRENG版本是否最新
System Repair Engineer 2.7.1.1261
Smallfrogs (http://www.KZTechs.com)

再下来看系统环境
Windows XP Professional Service Pack 3 (Build 2600) - 管理权限用户 - 完整功能

然后是看这个了：部分内容可见异常不认识的
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <pop><C:\WINDOWS\run.vbs>  []
    <dbghelp><C:\Program Files\Common Files\system\Amc.exe>  [File is missing]
    <XdYC><%systemroot%\system32\rundll32.exe %systemroot%\system32\Phbh.dll,DllRegisterServer>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <xzad><c:\windows\svchost.exe>  [File is missing]
    <cmss><C:\Documents and Settings\Administrator\Local Settings\Temp\cmss.exe>  [File is missing]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{ACADABAE-1101-0010-8001-00AA006D2EA8}><C:\WINDOWS\system32\9vtan.dll>  [File is missing]
    <{028A997C-4262-4107-BD46-2ABBC6143E8C}><C:\WINDOWS\system32\efc0c52cc1.dll>  [File is missing]
    <{8D10FD9A-5715-48BE-9835-EA19947D281E}><C:\WINDOWS\system32\aBuH8MAyRRuJ.dll>  [File is missing]
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><C:\WINDOWS\system32\56BC86C7.dll>  [File is missing]

其中重要的是根据他的求助关注这两项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><EXPLORER.EXE>  [N/A]

一个是输入法，看后面是(Verified)通过系统文件验证了。
而另一个    <shell><EXPLORER.EXE>  [N/A]项目后面是[N/A]，所以我们要记住它的变化，然后再看下面部分：
==================================
服务
[MS Media Control Center / MediaCenter][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\RvmuthC.dll><N/A>

[Portableel Media Number / MedianSerial][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k  krnlsrvc-->C:\WINDOWS\system32\RqmftqC.dll><N/A>

[System Network And Printer Manager / Winspool][Others/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\ntext\Winspool><N/A>
这三项服务项是系统里从来没见过的文件

再继续看下面：
==================================
驱动程序
[gnzapey / gnzapey][Running/Boot Start]
  <\SystemRoot\system32\drivers\kamvs.sys><N/A>
此kamvs.sys驱动文件百度不到任何信息，我个人依靠经验，采取删除处理，但是属于高度危险的，一般新手不建议随意删除驱动，我自己随意删除这样的Boot Start启动类型的驱动，已经搞死过不少求助者的系统了，你以后要慎重。呵呵！！

再看下面：
==================================
浏览器加载项没什么异常

再看下面：
==================================
正在运行的进程中没有上面一开始启动项内的那两个进程：
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\EXPLORER.EXE

这个一个是输入法，一个是桌面进程，所以他求助桌面什么都看不到，输入法不能打字了

而验证来看似乎ctfmon.exe文件无异常，但是文件不知道是否还在
而EXPLORER.EXE数字验证是异常的，需要找正常系统的原文件考虑替换掉C:\WINDOWS\EXPLORER.EXE文件了。

你还有什么需要问的？？？？？？？

要教程不？
要的话给你一份

对了
过段时间剑盟要开课的
就讲这个:kaka12:

至于更多的东西

去看看这贴吧：
http://bbs.ikaka.com/showtopic-8504098.aspx

可以考虑以后进剑盟学习

感谢大哥:kaka14:

明白点了，不过驱动和服务后面挂的dll还要慢慢学了，这方面不怎么熟悉，对了，剑盟注册要邀请码，版主大人能给我一个吗

有教程都收，:kaka12:什么时候开课啊，能否发个链接

请问怎么把求助帖改为已解决，桌面上还是什么图标也没有，不过今天输入法能用了，需要原文件复盖才能解决桌面问题吗，不管怎样，感谢各位的热诚帮助！C:\WINDOWS\system32\ctfmon.exe文件还在，
C:\WINDOWS\EXPLORER.EXE
变为C:\WINDOWS\EXPLORER，声明：本人菜鸟，各位大人不要笑话俺，本机刚组装，可能是用瑞星杀毒时把文件杀掉了，不知道怎么回事！

C:\WINDOWS\EXPLORER.EXE
变为C:\WINDOWS\EXPLORER:kaka2:

你难道意思是C:\WINDOWS\EXPLORER.EXE
文件名变为C:\WINDOWS\EXPLORER了？？？

后面的扩展名.exe没了？？

C:\WINDOWS\EXPLORER.EXE就是你的桌面程序呀，如果它运行不起来，就是什么都没有的呀:kaka6:


还有你本机刚组装，怎么那么快就用那进程监视器了呢？？

汗:kaka6:

谁给你装的哟？你自己？

我用任务管理器又查了一下，肉眼看扩展名确实没有，不过一点文件扩展名变成了.scf

那你将那文件发来我看

我给你看看，如果是正常的，再给你操作改回去

进程监视器shi wo zi ji zhuang de shu lu fa you bu neng yun xing le

或者你直接下载附件

解压后运行里面的程序吧

这就是替换回你那xp sp3系统的桌面程序的。

执行替换后，重启电脑看情况如何

附件: XPSP3.rar

你自己终止了输入法程序了？？？

你先替换完那桌面程序，重启电脑进桌面再说吧

然后扫描最新SRENG日志来看

唉.........:kaka6:

kan lai zen me ye yao yuan xi tong an zhuang wen jian fu gai yi xia le xie xie tian yue

看没懂，你就照我说的做吧

我20楼的附件你没下载？？？

不信任？？？？

桌面回来了，输入法也能用了，郁闷了1天了，呵呵，谢谢天月了

赶快升级杀毒软件，再全盘杀杀吧

反复杀无毒，无异常即可

先不急于使用那进程监视器，等系统彻底周全无异常了，再去玩那进程监视器吧

我对此监视器的使用说明，需要你自己耐心体会了

熟练了以后，你会喜欢HIPS类软件的。甚至还会上瘾。