从日志中可以看出以下问题项:
服务项
[bs_sys / bs_sys][Stopped/Auto Start]
<C:\WINDOWS\system32\bs_server.exe><N/A>
驱动服务
[KeySaves / KeySaves][Stopped/Manual Start]
<\??\C:\WINDOWS\KeySaves.dll><N/A>
以下文件插入部分系统进程
C:\WINDOWS\system32\linker.dll
C:\WINDOWS\system32\zkeyhook.dll
C:\WINDOWS\system32\dhook.dll
C:\WINDOWS\system32\hKey.dll
C:\WINDOWS\system32\revres_sb.dll
linker.dll 涉及到 Winsock, 处理不当重启后将无法上网
如果求助者有在使用游戏外挂的话,则linker.dll可能是有些外挂产生的. 不少杀毒软件认为它有木马行为,如果求助者没有使用这类程序,那么可以直接处理,如果有使用,就自行斟酌其安全性
以下项目可疑:
explorer.exe、shell32.dll、uxtheme.dll等文件通不过微软数字签名验证,说明该系统有可能是修改版系统,如果是,则请酌情考虑是否保证无问题。如果不是修改版系统,则有可能是系统文件被替换
[WINIO / WINIO][Running/Manual Start]
<\??\C:\WINDOWS\system32\winio.sys><N/A>
该驱动配合winio.dll为应用层程序提供直接进行硬件IO操作的函数功能,多被用于一些并口、IDE等设备的驱动,也可被病毒用于破坏系统内核. 因此属于有风险的项目,如果系统没有特别接入相应的设备,则可能为病毒所创建,建议删除之.
据了解,如果安装了按键精灵,就会产生此文件, 因此求助者有使用按键精灵,则此项可以认为正常
解决方法:
打开 SREng - 启动项目 - 服务 - Win32 服务应用程序 - 删除
[bs_sys / bs_sys][Stopped/Auto Start]
<C:\WINDOWS\system32\bs_server.exe><N/A>
SREng - 启动项目 - 服务 - 驱动服务 - 删除
[KeySaves / KeySaves][Stopped/Manual Start]
<\??\C:\WINDOWS\KeySaves.dll><N/A>
由于多个 dll 文件插入系统进程, 需要借助 xdelbox 来处理
xdelbox:
http://bbs.ikaka.com/showtopic-8442813.aspx 三楼可以下载到
打开 xdelbox 添加以下文件路径
C:\WINDOWS\system32\bs_server.exe
C:\WINDOWS\KeySaves.dll
C:\WINDOWS\system32\linker.dll
C:\WINDOWS\system32\zkeyhook.dll
C:\WINDOWS\system32\dhook.dll
C:\WINDOWS\system32\hKey.dll
C:\WINDOWS\system32\revres_sb.dll
添加完毕,选择 立即重启执行删除. 等待系统重新启动
重启完毕后,如果网络出现问题 请使用SREng修复winsock
操作如下
打开sreng - 系统修复 - winsock 供应者 - 重置所有内容为默认 - 再次重启计算机即可
可疑项目求助者依照自身情况做类似处理
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)