瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 系统会突然的弹出网址(附日志)
淡紫浅蓝 - 2009-7-12 15:40:00
我的电脑今天不知道为什么弹出http://www.51773.com/sx114/index.htm这个网址!而且弹出时间不规律~有时候长达半个小时也不弹一次~有时候20分钟内就有3次弹出了。而且弹出的时候开始时显示以上的链接!但很快就会自动转到http://search.114.vnet.cn/search_web.html?id=438&kw=%D0%C2%BF%EE%B0%C2%B5%CFtt&nid=zx%2F0sPapUqtXIdHDT7fYvw%3D%3D&ec=gb2312¶m3=style4这网址!而且每次弹出然后转到114这个网址的时候~每次都会出现不同的搜索内容!用360  卡卡助手  瑞星杀毒!均杀不出任何东西!下面是日志:

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0)

附件: SREngLOG.log
daemonz - 2009-7-12 15:50:00
楼主的问题和这个比较像,看看有没有参考价值
http://bbs.ikaka.com/showtopic-8638609.aspx
Enao2005 - 2009-7-12 15:58:00
c:\windows\system32\ersvc.dll重命名为1.DLL,然后把附件的ersvc.dll放到c:\windows\system32\下

C:\WINDOWS\System32\olemaskvr.dll
C:\WINDOWS\System32\wuauctl.exe
C:\WINDOWS\System32\SmartPopup.dll
C:\WINDOWS\System32\SmartSearch.dll
C:\WINDOWS\System32\SmartClick.dll
C:\WINDOWS\System32\olemaskvr.dll
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件,打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>点 右键==>选择==>立刻重启执行删除

附件: ersvc.rar
Enao2005 - 2009-7-12 16:03:00
对了,楼主方便的话,找到C:\WINDOWS\System32\wuauctl.exe用WINRAR压缩下,传到样本区
http://bbs.ikaka.com/showforum-20002.aspx
淡紫浅蓝 - 2009-7-12 16:17:00
我已经按照您给出的方法做了:kaka1: 并且重启了一遍!
请问再传是否有用:kaka2: !
根据您给出的路径~我找到了一个文件是wuauctl
但没有的.exe!请问是这个么
还有一个很奇怪的现象~我用搜索文件这个功能!
搜索了wuauctl.exe跟wuauctl
而且是C:\WINDOWS\System32\这个文件夹!但是都说没有找到该文件!但是我自己找的话可以找到一个名为wuauctl的文件
天月来了 - 2009-7-12 16:28:00
那就将你那wuauctl文件压缩后发来

你所谓的没看到.exe,是因为你的系统文件夹选项那默认不显示文件扩展名,所以你就看不到那.exe的扩展名而已

你用解压工具WinRAR依路径打开相应的文件夹找找文件,一看即知
淡紫浅蓝 - 2009-7-12 16:34:00
已经发送到样本区了:kaka1: !
感谢楼上的各位
天月来了 - 2009-7-12 16:37:00
哈哈

哎呀呀

人家要的是假冒系统重要文件wuauclt的wuauctl文件

你找到的是系统自身的wuauclt文件,不是病毒的wuauctl文件。

汗:kaka6:

这俩文件的文件名是不一样的啦
淡紫浅蓝 - 2009-7-12 16:45:00
:kaka8: 回版主
那个文件貌似在电脑上找不到:kaka5:
另外可以把我那个文件的帖子删掉么:kaka5:
不然麻烦到工作人员了:kaka11:
天月来了 - 2009-7-12 16:49:00
如果删除了,自然找不到了

如果你还没删

那么必须用解压工具WinRAR依路径打开找文件才行呢。

因为你的系统默认不显示隐藏文件、不显示系统文件的。

而那病毒文件是隐藏的、系统的属性呢

或者也可以利用这工具搜索,它搜索能力强

下载这个搜索工具,去搜索文件去:
附件: 文件搜索工具.rar(内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载
淡紫浅蓝 - 2009-7-12 16:58:00
:kaka6: 估计按照3楼的做法已经把文件删掉了:kaka6:
感谢啦。另外麻烦把样本区的帖子删掉吧:kaka6:
天月来了 - 2009-7-12 17:07:00
那地方我没权限

不管它了,实在不行,你就去重新编辑下吧
烟随风逝云伴风流 - 2009-7-12 18:28:00


引用:
原帖由 Enao2005 于 2009-7-12 15:58:00 发表
c:\windows\system32\ersvc.dll重命名为1.DLL,然后把附件的ersvc.dll放到c:\windows\system32\下

C:\WINDOWS\System32\olemaskvr.dll
C:\WINDOWS\System32\wuauctl.exe
C:\WINDOWS\System32\SmartPopup.dll
C:\WINDOWS\Syst




==================================
驱动程序
[2310_00 / 2310_00][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.> //\SystemRoot\System32\BIRD\觉得很可疑
[3WAREDRV / 3WAREDRV][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A>//\SystemRoot\System32\BIRD\觉得很可疑
[3WAREGSM / 3WAREGSM][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3waregsm.sys><N/A>//\SystemRoot\System32\BIRD\觉得很可疑
[3WDRV100 / 3WDRV100][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WDRV100.SYS><N/A>//\SystemRoot\System32\BIRD\觉得很可疑
[A320RAID / A320RAID][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\a320raid.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[AAC / AAC][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aac.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[AACSAS / AACSAS][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aacsas.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[AAR81XX / AAR81XX][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aar81xx.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[AARSI3X / AARSI3X][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aarsi3x.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[ADP94XX / ADP94XX][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\adp94xx.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[ADPU320 / ADPU320][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\adpu320.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC6260 / AEC6260][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aec6260.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC6280 / AEC6280][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aec6280.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC67160 / AEC67160][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aec67160.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC67162 / AEC67162][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aec67162.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC671X / AEC671X][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\AEC671X.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC6880 / AEC6880][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\AEC6880.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC6897 / AEC6897][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aec6897.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[AEC68X5 / AEC68X5][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aec68x5.sys><ACARD Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[AmdK8 Compatible Device / AmdK8][Stopped/System Start]
  <System32\BIRD\amdk8.sys><Advanced Micro Devices>//\SystemRoot\System32\BIRD\觉得很可疑
[ARCM_X86 / ARCM_X86][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\arcm_x86.sys><ARECA  Technology Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[Rising TDI Base Driver / BaseTDI][Running/Auto Start]
  <System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.>
[BCHTSW32 / BCHTSW32][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\bchtsw32.sys><Broadcom Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[BCRAID / BCRAID][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\BCRAID.sys><Broadcom Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[BREGDRV / BREGDRV][Stopped/Manual Start]
  <\??\F:\360安全卫士\360safe\Modules\SupperKiller\BREGDRV.sys><N/A>
[CDA1000 / CDA1000][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\cda1000.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[CPQARRY2 / CPQARRY2][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\cpqarry2.sys><Compaq Computer Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[CPQCISSM / CPQCISSM][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\cpqcissm.sys><Hewlett-Packard Company>//\SystemRoot\System32\BIRD\觉得很可疑
[CSB6IDE / CSB6IDE][Running/Boot Start]
  <\SystemRoot\System32\BIRD\csb6ide.sys><ServerWorks Corporation> //\SystemRoot\System32\BIRD\觉得很可疑
[dac2w2k / dac2w2k][Running/Boot Start]
  <\SystemRoot\System32\BIRD\dac2w2k.sys><Mylex Corporation>
[ExpScaner / ExpScaner][Stopped/Auto Start]
  <\??\F:\瑞星\真系杀毒\Rising\Rav\ExpScan.sys><N/A>//应该不是瑞星的东东吧。很奇怪,怎么在这里
[FASTSX / FASTSX][Running/Boot Start]
  <\SystemRoot\System32\BIRD\fastsx.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[FASTTRAK / FASTTRAK][Running/Boot Start]
  <\SystemRoot\System32\BIRD\fasttrak.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[FASTTX2K / FASTTX2K][Running/Boot Start]
  <\SystemRoot\System32\BIRD\fasttx2k.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[FT8300 / FT8300][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ft8300.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[FTSATA2 / FTSATA2][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ftsata2.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[GD31244 / GD31244][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\gd31244.sys><Intel Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[HookCont / HookCont][Running/System Start]
  <system32\drivers\HookCont.sys><Beijing Rising Information Technology Co., Ltd.>
[HookReg / HookReg][Stopped/Auto Start]
  <\??\F:\瑞星\真系杀毒\Rising\Rav\HookReg.sys><N/A>
[HookSys / HookSys][Running/System Start]
  <system32\drivers\HookSys.sys><Beijing Rising Information Technology Co., Ltd.>
[HookUrl / HookUrl][Stopped/Auto Start]
  <\??\F:\瑞星\杀毒\Rising\Rfw\HookUrl.sys><N/A>
[HPCISSS2 / HPCISSS2][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\hpcisss2.sys><Hewlett-Packard Company>//\SystemRoot\System32\BIRD\觉得很可疑
[HPT371 / HPT371][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\HPT371.sys><HighPoint Technologies, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[HPT374 / HPT374][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\hpt374.sys><HighPoint Technologies, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[HPT3XX / HPT3XX][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\hpt3xx.sys><HighPoint Technologies, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[HSFHWBS2 / HSFHWBS2][Stopped/Manual Start]
  <system32\DRIVERS\HSFBS2S2.sys><N/A>
[HSF_DP / HSF_DP][Stopped/Manual Start]
  <system32\DRIVERS\HSFDPSP2.sys><N/A>
[IASTOR / IASTOR][Running/Boot Start]
  <\SystemRoot\System32\BIRD\iaStor.sys><Intel Corporation>
[IFT2000 / IFT2000][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\ift2000.sys><Infortrend Technology, Inc.>
[INIA100 / INIA100][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\INIA100.sys><Initio corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[IPSRAIDN / IPSRAIDN][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\ipsraidn.sys><IBM Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[ITERAID / ITERAID][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\iteraid.sys><Integrated Technology Express, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[JRAID / JRAID][Running/Boot Start]
  <\SystemRoot\System32\BIRD\JRAID.SYS><JMicron Technology Corp.>//\SystemRoot\System32\BIRD\觉得很可疑
[M5228 / M5228][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\m5228.sys><ALi Corporation.>//\SystemRoot\System32\BIRD\觉得很可疑
[M5281 / M5281][Running/Boot Start]
  <\SystemRoot\System32\BIRD\m5281.sys><ALi Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[M5287 / M5287][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\m5287.sys><ULi Electronics Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[M5288 / M5288][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\m5288.sys><ULi Electronics Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[M5289 / M5289][Running/Boot Start]
  <\SystemRoot\System32\BIRD\m5289.sys><ULi Electronics Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[mdmxsdk / mdmxsdk][Stopped/Auto Start]
  <system32\DRIVERS\mdmxsdk.sys><N/A>
[MEGAIDE / MEGAIDE][Running/Boot Start]
  <\SystemRoot\System32\BIRD\MegaIDE.sys><LSI Logic Corporation.>//\SystemRoot\System32\BIRD\觉得很可疑
[MEMSCAN / MEMSCAN][Stopped/Auto Start]
  <\??\F:\瑞星\真系杀毒\Rising\Rav\MEMSCAN.sys><N/A>
[mProcRs / mProcRs][Stopped/Auto Start]
  <\??\f:\瑞星\杀毒\rising\rfw\mProcRs.sys><N/A>
[mraid35x / mraid35x][Running/Boot Start]
  <\SystemRoot\System32\BIRD\mraid35x.sys><LSI Logic Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[NFRD960 / NFRD960][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\nfrd960.sys><IBM Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\F:\QQ2005\QQ2006\npkcrypt.sys><N/A>
[nv / nv][Running/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[NVATABUS / NVATABUS][Running/Boot Start]
  <\SystemRoot\System32\BIRD\NVATABUS.SYS><NVIDIA Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[NVRAID / NVRAID][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\NVRAID.SYS><NVIDIA Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[perc2 / perc2][Running/Boot Start]
  <\SystemRoot\System32\BIRD\perc2.sys><Adaptec, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[PNP649R / PNP649R][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\pnp649r.sys><CMD Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[PNP680 / PNP680][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\pnp680.sys><Silicon Image, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[PNP680R / PNP680R][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\pnp680r.sys><Silicon Image, Inc>//\SystemRoot\System32\BIRD\觉得很可疑
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[ql1080 / ql1080][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ql1080.sys><QLogic Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[ql12160 / ql12160][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ql12160.sys><QLogic Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[ql1280 / ql1280][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ql1280.sys><QLogic Corporation>//\SystemRoot\System32\BIRD\觉得很可疑
[RAIDSRC / RAIDSRC][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\raidsrc.sys><Intel/ICP>//\SystemRoot\System32\BIRD\觉得很可疑
[Rising RfwBase Driver / RfwBase9][Running/Manual Start]
  <system32\DRIVERS\rfwbase.sys><Beijing Rising Information Technology Co., Ltd.>
[rfwtdi / rfwtdi][Running/Auto Start]
  <\??\F:\新建文件夹\Rising\RFW\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
[RR232X / RR232X][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\rr232x.sys><HighPoint Technologies, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[RsFwDrv / RsFwDrv][Running/System Start]
  <\??\F:\新建文件夹\Rising\RFW\rsfwdrv.sys><Beijing Rising Information Technology Co., Ltd.>
[RsNTGDI / RsNTGDI][Running/Boot Start]
  <\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Information Technology Co., Ltd.>
[RSPPSYS / RSPPSYS][Stopped/Auto Start]
  <\??\F:\瑞星\真系杀毒\Rising\Rav\RSPPSYS.sys><N/A>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[S150SX8 / S150SX8][Running/Boot Start]
  <\SystemRoot\System32\BIRD\S150sx8.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[SafeBoxKrnl / SafeBoxKrnl][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\SafeBoxKrnl.sys><360安全中心>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[SI3112 / SI3112][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SI3112.sys><Silicon Image, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3112R / SI3112R][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SI3112r.sys><Silicon Image, Inc>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3114 / SI3114][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SI3114.sys><Silicon Image, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3114R / SI3114R][Stopped/Boot Start]
  <\SystemRoot\SYSTEM32\BIRD\SI3114R.sys><Silicon Image, Inc>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3114R5 / SI3114R5][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\Si3114r5.sys><Silicon Image, Inc>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3124 / SI3124][Stopped/Boot Start]
  <\SystemRoot\SYSTEM32\BIRD\SI3124.sys><Silicon Image, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3124R / SI3124R][Stopped/Boot Start]
  <\SystemRoot\SYSTEM32\BIRD\SI3124R.sys><Silicon Image, Inc>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3124R5 / SI3124R5][Stopped/Boot Start]
  <\SystemRoot\SYSTEM32\BIRD\Si3124r5.sys><Silicon Image, Inc>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3132 / SI3132][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SI3132.sys><Silicon Image, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[SI3132R5 / SI3132R5][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\Si3132r5.sys><Silicon Image, Inc>//\SystemRoot\System32\BIRD\觉得很可疑
[SISRAID / SISRAID][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SiSRaid.sys><Silicon Integrated Systems>//\SystemRoot\System32\BIRD\觉得很可疑
[SISRAID2 / SISRAID2][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SiSRaid2.sys><Silicon Integrated Systems Corp>//\SystemRoot\System32\BIRD\觉得很可疑
[SISRAID4 / SISRAID4][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SiSRaid4.sys><Silicon Integrated Systems>//\SystemRoot\System32\BIRD\觉得很可疑
[SPTRAK / SPTRAK][Running/Boot Start]
  <\SystemRoot\System32\BIRD\sptrak.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[ST8350 / ST8350][Running/Boot Start]
  <\SystemRoot\System32\BIRD\st8350.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[SYMMPI / SYMMPI][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\symmpi.sys><LSI Logic>//\SystemRoot\System32\BIRD\觉得很可疑
[sym_hi / sym_hi][Running/Boot Start]
  <\SystemRoot\System32\BIRD\sym_hi.sys><LSI Logic>//\SystemRoot\System32\BIRD\觉得很可疑
[sym_u3 / sym_u3][Running/Boot Start]
  <\SystemRoot\System32\BIRD\sym_u3.sys><LSI Logic>//\SystemRoot\System32\BIRD\觉得很可疑
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
  <system32\DRIVERS\tcpip.sys><Microsoft Corporation>
[TwoTrack Compatible Device / TwoTrack][Stopped/Manual Start]
  <System32\DRIVERS\TwoTrack.sys><IBM Corporation>
[ULSATA / ULSATA][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ulsata.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[ULSATA2 / ULSATA2][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ulsata2.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[ULTIMA / ULTIMA][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\Ultima.sys><Aralion INC.>//\SystemRoot\System32\BIRD\觉得很可疑
[ULTIMARX / ULTIMARX][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\UltimaRX.sys><Aralion INC.>//\SystemRoot\System32\BIRD\觉得很可疑
[ultra / ultra][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ultra.sys><Promise Technology, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[VIAMRAID / VIAMRAID][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\viamraid.sys><VIA Technologies inc,.ltd>//\SystemRoot\System32\BIRD\觉得很可疑
[vmscsi / vmscsi][Stopped/Boot Start]
  <\SystemRoot\System32\bird\vmscsi.sys><VMware, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[W2KADV / W2KADV][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\w2kadv.sys><ConnectCom Solutions, Inc.>//\SystemRoot\System32\BIRD\觉得很可疑
[winachsf / winachsf][Stopped/Manual Start]
  <system32\DRIVERS\HSFCXTS2.sys><N/A>


很奇怪,为什么那么多东西都在//\SystemRoot\System32\BIRD\ 下面,不乏VM这样的大牌软件,但是,依旧怀疑此处有问题
本人菜鸟,诚心请教
天月来了 - 2009-7-12 18:32:00
全是不需要怀疑的。:kaka6:

因为很简单

首先那些驱动文件大致可以判断是没问题的

并且还是运行中的

所以不论整体驱动路径怎样,应该系统是正确加载运行的

这就不管它了
烟随风逝云伴风流 - 2009-7-12 18:37:00
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 300, C:\WINDOWS\SYSTEM32\WUAUCTL.EXE] //这个应该也是有问题的
天月来了 - 2009-7-12 18:41:00
那还用说嘛。自然有问题了

这不前面叫他删除的嘛
烟随风逝云伴风流 - 2009-7-12 18:43:00
进程中:
[PID: 144 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\msi.dll]  [Microsoft Corporation, 4.5.6001.22159]
    [F:\360安全卫士\360safe\safemon\safemon.dll]  [360.CN, 5, 0, 0, 1017]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]

[PID: 300 / Administrator][C:\WINDOWS\System32\wuauctl.exe]  [N/A, ]
    [C:\WINDOWS\System32\SmartPopup.dll]  [N/A, ]
    [C:\WINDOWS\System32\SmartSearch.dll]  [N/A, ]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [F:\360安全卫士\360safe\safemon\safemon.dll]  [360.CN, 5, 0, 0, 1017]
    [C:\WINDOWS\System32\SmartClick.dll]  [N/A, ]

红色部分很是怀疑,请高手指教
烟随风逝云伴风流 - 2009-7-12 18:44:00
但是一般的驱动默认都是在driver下,怎么会弄出来一个莫名其妙的文件夹呢?
天月来了 - 2009-7-12 18:49:00
[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
这个你又不看路径了??

固定的就是这样的,桌面进程加载的

至于驱动路径问题,唉,那可能是SRENG工具扫描没扫对路呗

这SRENG工具不可能在无数电脑内超完美的工作的。:kaka6:

日志这东西嘛,主要靠意会

不能死搬什么的。
烟随风逝云伴风流 - 2009-7-12 18:55:00
:kaka6:
哦,谢谢指导,呵呵
人太笨,见笑了~~~
1
查看完整版本: 系统会突然的弹出网址(附日志)
© 2000 - 2025 Rising Corp. Ltd.