瑞星卡卡安全论坛

这几天不知道怎么回事，机子开的久了就会出现异常，一开始一次是遨游的页面都变成数字 英文等乱码，后来影响到桌面等其他东西，机子显得奇卡无比，当时怀疑是病毒就进安全模式用金山杀了下毒，结果是杀了2个，以为放心了就继续使用，可是第二天类似的情况又出现了，而且有提示说是系统的资源不够，后面就乱码了。可是当我再在安全模式下杀毒时就什么毒也没有了。
不知道这是什么情况，我这方面基本白痴，所以请大家多帮忙了。SRENG的日志在附件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; KuGooSoft; MAXTHON 2.0)

附件: 新建 文本文档.txt

楼主是不是装了迅游，和easygame的东西？如果装了，这两个还算正常
c:\windows\system32\xunyount.dll
c:\windows\system32\gamelink.dll

还有楼主没有装卡巴吧？如果装了，金山和卡巴可能会冲突，卸掉一个
如果没装，这个东西就很奇怪了
c:\windows\system32\drivers\klif.sys

[TSP / TSP]    <\??\C:\WINDOWS\system32\drivers\klif.sys>

没有装卡巴，巡游装过 不过印象里被我删了，EASYGAME不太清楚。

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\boboturbo\boboturbo.exe
c:\windows\system32\drivers\d347prt.sys
c:\windows\system32\drivers\d347bus.sys
d:\qq\npkcrypt.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[BoBoTurbo / BoBoTurbo]    <C:\WINDOWS\system32\boboturbo\boboturbo.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[d347prt / d347prt]    <\SystemRoot\System32\Drivers\d347prt.sys>
[d347bus / d347bus]    <\SystemRoot\system32\DRIVERS\d347bus.sys>
[npkcrypt / npkcrypt]    <\??\D:\QQ\npkcrypt.sys>

  HOSTS文件－－被恶意修改了，重置HOSTS文件

**************以上分析报告由SREngLog分析助手提供******************
分析：朦胧的宁静
时间：2009-7-30
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

在进入XDelBox 的DOS系统后
出现了如下字符
6004：extended memory blocks have been destroyed (#2E71A000)
然后就不会动了。 好像是什么东西被破坏了？
应该如何解决？

删除以下这几个文件：
c:\windows\system32\xunyount.dll
c:\windows\system32\gamelink.dll
c:\windows\system32\drivers\klif.sys
删除重启后用SReng修复：
启动项目——服务——启动程序禁用：
[TSP / TSP]    <\??\C:\WINDOWS\system32\drivers\klif.sys>

你是照4楼做的吗？还能正常启动不？

c:\windows\system32\drivers\d347prt.sys
c:\windows\system32\drivers\d347bus.sys
这两个好像是虚拟光驱的服务驱动程序

d:\qq\npkcrypt.sys
这个应该是qq的键盘加密驱动程序

是按4L做的。现在正常启动系统没问题。但是XDelBox不能用了。说这个版本现在不能用，可是明明是新下的1.3而且刚刚用过一次。另外c:\windows\system32\xunyount.dll
c:\windows\system32\gamelink.dll
c:\windows\system32\drivers\klif.sys这3个文件是什么状况？

得下1.8.。。。。。。。。。。。。。。。。

我下了1.8，好像把东西都删掉了，然后重新回到WINDOWS的时候弹出这样一个提示  kxeserv.exe--致命的应用程序退出
it failed to KxEInitializeBase with error:0x0000277a
这是什么问题？

c:\windows\system32\xunyount.dll
c:\windows\system32\gamelink.dll 这两个是前面向你询问的迅游和Easygame的东东

c:\windows\system32\drivers\klif.sys 正常情况下这是卡巴的，但既然你没装卡巴，这东西就不知道是什么了

HOSTS文件－－被恶意修改了，重置HOSTS文件

这个应该如何操作？谢

kxeserv.exe好像是金山的，重装下金山看看还有没有这问题

这些我都用XDELBOX删掉了。但是出来了什么致命应用程序退出的问题，如前面的回贴

你的Host文件不需要重置
如果你觉得有必要重置的话 SReng——系统修复Hosts文件——重置

我卸载了金山，装了诺顿。现重启，等下再扫日志上来，麻烦大家再帮我看下是否还有问题。谢谢

日志如附件

附件: 新建 文本文档.txt

c:\windows\system32\xunyount.dll是迅游，楼主用的下载是迅雷吧，安装迅雷时也把它转上了，可以删除；
GameLink.dll是Easy2Game的组件，而其注入了几个系统进程，如果强制清除GameLink.dll重启后将导致无法正常使用网络；
klif.sys是Kaspersky内核驱动，如果电脑同时有金山和卡巴，卸载其中一个。

c:\windows\system32\drivers\klif.sys
这个仍然存在，看来是你装的什么东西吧
其他的日志里没看出什么异常
现在电脑用的正常吗？

刚杀了一个下午的毒，金山一共检查26W个文件，诺顿真牛X，居然检查了59W个文件，怎么会差这么多的说，另诺顿用起来好像很卡的样子，至于电脑的问题。要等开了久了才会出来，不像是什么急性的病毒。
klif.sys是Kaspersky内核驱动，
这个怎解?