瑞星卡卡安全论坛

该用户帖子内容已被屏蔽

附件: IMG0072A.jpg

附件: IMG0077A.jpg

附件: IMG0079A.jpg

附件: rslog.txt

开始--运行--msconfig--启动--看下~

该用户帖子内容已被屏蔽

抱歉~
如果这是在引导阶段靠修改NTLDR文件启动的后门那里是看不出来的~
期待高手回答~:kaka4:

老大，你的图发的实在是朦胧

看不清是啥内容

好像是类似于瑞星开机内存杀毒时候出现的一个对话框~:kaka1:

我感觉是开机警告

找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
把下面这两个字符串的数据值改为空
LegalNoticeCaption
LegalNoticeText

确实诶~
我也突然感觉是这个了~
可以开始--运行--gpedit.msc--确定--计算机配置--windows设置--安全设置----本地策略--安全选项--
删除：交互式登陆：用户试图登录时消息标题中的内容
和删除：交互式登陆：用户试图登陆时消息文字中的内容~
ADL高手~:kaka12:

该用户帖子内容已被屏蔽

这个情况到目前为止

还没见有完美解决的

原则是好象有什么驱动是不正常的工作导致那样的提示。

因为那个提示大致是在加载驱动以及部分服务时的提示。

因为文字乱码，所以无法判断来之于哪个地方的异常导致。

很无奈的。至少我是没办法的。

可能是安装 影子2008，然后删除失败造成的，先扫份sreng日志来看看吧
下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选 检查进程模块的数字签名==>点 扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把SREng.LOG以附件的形式发上来

要是Sreng.exe不能运行，直接重命名为123.bat运行

嗯 同意楼上的，先使用SERng看看是什么东西影响。
应该就是影子系统驱动残留影响吧，等来了日志看看就清楚了。

据楼上几位的分析，我也认为与安装影子2008、然后卸载不净有关！楼主的机子应当进入桌面没有问题，可使用360查看一下启动项，将其禁用即可。

楼主用的是技嘉主板？
请先将风云谷木马清道夫、摄像头驱动、NERO、卡卡助手、工商银行U盾、Windows优化大师、mp4 rm转换专家、360安全浏览器卸载掉，然后按照前面几位网友方法操作。
另,楼主拍摄照片的水平有待提高,请将完整日志上传上来.

日志看不出什么，尝试关闭瑞星和360监控，特别她们的自动防御后，重新安装影子2008，然后去安全模式下卸载影子2008

这些不知道是些什么呢？？？
==================================
服务
[GEST Service for program management. / GEST Service][Running/Auto Start]
  <"C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe"><N/A>

==================================
驱动程序
[gdrv / gdrv][Running/Manual Start]
  <\??\C:\WINDOWS\gdrv.sys><Windows (R) 2000 DDK provider>

[Protector / Protector][Running/System Start]
  <system32\drivers\Protector.sys><N/A>

[ProtectorA / ProtectorA][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\ProtectorA.sys><www.ISRA.org.cn>


这个文件不知道如何？
C:\windows\system32\gwscm.dll

好象以前类似的求助，都不知道是具体的什么的，至少靠SRENG日志应该是看不出来的。

该用户帖子内容已被屏蔽

附件: IMG0093A.jpg

左右我是无奈了:kaka6: