瑞星卡卡安全论坛

最近觉得我的电脑怪怪的，发个报告给大家，看看是不是有问题，另外SREng老是检测出我用于打开.txt和.chm的打开方法有误，这是为什么，按修复后重启就还是变回老样子，请各位帮忙解决一下。

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6

附件: SREngLOG.log

你好 超级电脑的背后  我看了你发的日志文件~
API HOOK
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
这些都是卡巴斯基的正常文件
还有你的日志里显示的txt跟CHM的打开方式都是正确的。
:kaka1:
你能说说你觉得奇怪的地方在哪里么
-------------------------------------------------------
防护建议:
1. 建议通过Windows Update或的漏洞扫描工具安装好系统补丁程序
2. 给系统管理员帐户设置足够复杂的管理员密码，最好是10位以上，字母+数字+其它符号
3. 安装使用网络防火墙软件，可以有效地阻挡病毒的入侵。
4. 关闭没有必要的共享目录
5. 禁用自动播放，用U盘时候，不要双击打开，用右键打开
在遇到系统中太多病毒流氓时候，建议先用流氓清理工具清理重启后再扫描日志

根据报告，你的文件关联没有问题

驱动有的问题，可能是病毒，参考这里
http://baike.baidu.com/view/902811.html?fromTaglist

不过你的启动项里没有百科里所说的Launcher.exe，有可能是变种

个人认为这些驱动有问题，有点像Trojan/PSW.Agent.cxh症状
楼主现在电脑还有什么明显的异常现象么？


开始我认为这个是声卡驱动文件，后来百度查了下发现不是
[2310_00 / 2310_00][Stopped/Boot Start]

　　<\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.>

也请其他老师、同学看看

至于打开.txt和.chm的打开方法有误，
LZ用的是QQ2009或者TM2009对吗？
他们会自动改这两个项的，可以忽略

我的确在用QQ2009，但是我扫这个报告之前到现在机子还是好好的，没有任何奇异症状。

关于这个，我的机子没有被修改IE首页。所以应该可以排除。另外请教我怎样进行清除那些驱动

使用SRENG删除注册表启动项之
    <bgswitch><C:\WINDOWS\system32\bgswitch.exe>  []
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [File is missing]  （已被指向其他链接，同时丢失文件）
    <PPHIDPAD><C:\WINPENJR\win32\pphidpad.exe>  [File is missing]
    <WMBstart><>  [N/A]
    <nwiz><nwiz.exe /install>  [NVIDIA Corporation]
    <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
使用SRENG删除如下驱动
[2310_00 / 2310_00][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.>
[3WAREDRV / 3WAREDRV][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A>
[3WAREGSM / 3WAREGSM][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3waregsm.sys><N/A>
[3WDRV100 / 3WDRV100][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WDRV100.SYS><N/A>
[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys><N/A>
[WINIO / WINIO][Stopped/Manual Start]
  <\??\G:\winio.sys><N/A>
下载XDELLBOX或者超级巡警暴力删除工具删除如下驱动文件
System32\BIRD\2310_00.sys
System32\BIRD\3WAREDRV.SYS
System32\BIRD\3waregsm.sys
System32\BIRD\3WDRV100.SYS
System32\Drivers\sptd.sys
G:\winio.sys
使用PCONPOINT清理下注册表（先导入KEY，然后运行程序，可以清理沉余键值，整理注册表 ），并且用WYWZ清理系统垃圾

最后重启下，如果还觉得有异常情况，建议再扫描一份日志上传
如果没有问题，建议断网全盘杀毒，保险起见应做好资料备份的准备

楼上发烧了

现在都不敢动，请各位明确一点教我怎么做，谢谢。

<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [File is missing] 
不用管他

<nwiz><nwiz.exe /install>  [NVIDIA Corporation]    正常

<bgswitch><C:\WINDOWS\system32\bgswitch.exe>  []正常

[3WAREDRV / 3WAREDRV][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A>正常

[3WAREGSM / 3WAREGSM][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3waregsm.sys><N/A>正常

[3WDRV100 / 3WDRV100][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WDRV100.SYS><N/A>正常

[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys><N/A>虚拟光驱驱动