protreg.sys审核失败 bbs.ikaka.com

ttiison - 2012-6-15 13:05:00

请教瑞星工程师，近来我电脑上的系统事件查看器出现了关于protreg.sys的审核失败记录：
“代码完整性已确定文件的图像哈希无效。文件可能由于未授权的修改而毁坏，或者无效的哈希会指示可能的磁盘设备错误。
文件名: \Device\HarddiskVolume1\Windows\System32\drivers\protreg.sys”
每一次系统启动时，都会有此记录。
我电脑上的protreg.sys文件版本是1.0.0.16，大小是19712字节，MD5值是F0B146A3FABFA9C6BAD4BF32F1DB7C29。
数字签名显示为正常，签名人是Beijing Rising Information Technology Corporation Limited，签名时间戳是2012年5月28日14:37:32。
操作系统是Windows Vista Home Basic SP2。
是否软件升级时此文件的下载、安装不正确？会不会影响系统安全性？

瑞星工程师12 - 2012-6-15 13:22:00

楼主安装了瑞星哪款软件？
请楼主补充以下信息：
1.瑞星程序版本
2.IE浏览器版本
3.请楼主将事件日志导出压缩上传至论坛
4.瑞星软件使用有无其他异常？
感谢您对瑞星的支持！

ttiison - 2012-6-15 13:33:00

瑞星杀毒软件版本23.00.58.89，瑞星防火墙版本23.00.29.73。
IE浏览器版本9.0.8112.16421。

附件: 日志.txt (2012-6-15 13:35:10, 1.21 K)
该附件被下载次数 234

瑞星软件和系统运行未见其他异常。

ttiison - 2012-6-15 13:53:00

附件: protreg.txt (2012-6-15 13:53:44, 19.25 K)
该附件被下载次数 254

这是我电脑中的protreg.sys文件。上传时我将后缀改成了.txt。

瑞星工程师12 - 2012-6-15 13:57:00

请您尝试以下操作：
开始——运行——cmd 输入命令：sc query rsdsys
将结果发个截图来看看，截图上传方法请参考：
http://bbs.ikaka.com/showtopic-8616820.aspx

ttiison - 2012-6-15 14:03:00

麻烦您了！

瑞星工程师12 - 2012-6-15 14:29:00

这日志是总有吗？
什么情况下会产生这个日志呢？

ttiison - 2012-6-15 14:30:00

每次启动系统，都会产生此事件。和操作无关。

瑞星工程师12 - 2012-6-15 14:40:00

此问题已收集反馈。感谢您对瑞星的支持！

ttiison - 2012-6-15 19:39:00

刚才又仔细检查了事件查看器，发现每次登录系统后，都有两条CodeIntegrity的“警告”记录，大致是说HookTdi.sys和protreg.sys的签名不正确。不知是否和上面提到的问题有关联。

附件: 日志2.txt (2012-6-15 19:39:11, 1.37 K)
该附件被下载次数 215

附件: 日志3.txt (2012-6-15 19:39:11, 1.37 K)
该附件被下载次数 253

这是有关的事件记录。
C:\Windows\System32\drivers下的HookTdi.sys文件版本是25.0.0.18，大小是22848字节，MD5值是D910547E303909081FD2DD721AC4337C。
文件数字签名显示为正常，签名人是Beijing Rising Information Technology Corporation Limited，签名时间戳是2012年5月25日10:42:25。

附件: HookTdi.txt (2012-6-15 19:39:11, 22.31 K)
该附件被下载次数 251

这是HookTdi.sys文件。上传时将后缀改成了.txt。

瑞星工程师12 - 2012-6-18 9:23:00

问题已补充反馈。感谢您对瑞星的支持！

瑞星工程师12 - 2012-6-19 15:48:00

此问题需远程为您处理，请将您的QQ号短消息发给我。
感谢您对瑞星的支持！

ttiison - 2012-6-19 21:55:00

谢谢工程师的关注！可惜我不使用QQ，无法远程处理。
参考另一用户发布的http://bbs.ikaka.com/showtopic-9174773.aspx贴子，基本可以判断，此情况是文件签名异常造成。并非下载、安装、设置不正确，也不是和系统及其它软硬件有冲突。估计远程处理也解决不了，因为错误不是出在用户端。
彻底的解决办法是在服务器端将文件签名修正，再通过客户端软件升级，用正确签名的文件替换掉旧文件。

ttiison - 2012-7-12 15:59:00

今日看了系统日志，此问题仍然存在。最近的更新尚未修正此文件的签名错误。希望早日解决。谢谢！

瑞星工程师12 - 2012-7-12 16:18:00

请您等待后续软件升级解决。感谢您对瑞星的支持！

瑞星工程师12 - 2012-7-19 9:41:00

此问题已解决，请将瑞星升级至最新版本。

ttiison - 2012-9-6 15:43:00

我的瑞星杀毒软件已升级至23.00.63.06版。此错误记录仍出现。签名异常的两个文件仍未更新。目前HookTdi.sys的版本号仍是25.0.0.18，签名日期是2012年5月25日10:42:25；protreg.sys的版本号是1.0.0.16，签名日期是2012年5月28日14:37:32。

瑞星工程师12 - 2012-9-6 16:05:00

请楼主看下驱动的修改时间，并将新的错误记录日志导出压缩发来。

ttiison - 2012-9-6 16:53:00

HookTdi.sys的修改时间是2012年6月14日14:56:15。
protreg.sys的修改时间是2012年6月14日14:56:08。
当天进行了手动升级。之后又升级了几次，但这两个文件都没有更新。
请问其他用户电脑上的这两个文件，是否已经更新？

附件: HookTdi日志.txt

附件: protreg日志1.txt

附件: protreg日志2.txt

瑞星工程师12 - 2012-9-6 17:02:00

请将您的HookTdi.sys 和 protreg.sys 一起压缩发来。感谢您对瑞星的支持！

ttiison - 2012-9-6 17:10:00

麻烦了。希望此问题尽早解决。

附件: 瑞星异常文件.rar

瑞星工程师12 - 2012-9-6 17:12:00

收到，已补充反馈。

瑞星工程师12 - 2012-9-10 13:53:00

楼主操作系统是32位？还是64位的？
如果是32位，则需远程为您处理。建议您提供一下QQ号，我们将尽快与您取得联系。

ttiison - 2012-9-10 20:56:00

是32位系统。
对不起，我没有QQ号，无法远程处理。
目前杀毒软件和操作系统未见其它异常。我在等待软件未来升级时能自动用正确签名的文件替换掉这两个旧文件。请问在最新的安装包中，这两个文件已经更新了吗？

瑞星工程师12 - 2012-9-11 9:29:00

为您申请了个QQ号码，已通过短消息发送给您，请注意查收。
您什么时间方便远程呢？

ttiison - 2012-9-13 15:36:00

谢谢工程师！我已登录了QQ，现在即可远程。

ttiison - 2012-9-13 17:09:00

工程师在网上将新版本的protreg.sys和HookTdi.sys这两个文件传给了我。我用新文件替换了旧文件，重启之后，尚未出现异常事件记录。目前暂可认为此问题基本解决了。

ttiison - 2012-10-5 21:48:00

昨日升级瑞星杀毒软件之后，HookTdi.sys文件又出现异常。每次启动系统后，事件日志的CodeIntegrity中都会有一条警告记录，说HookTdi.sys签名不正确。
我看了一下当前电脑上HookTdi.sys的属性，它又变成了2012年5月25日签名的那个有异常的版本。
希望早日将服务器端的文件更正。或者请管理员将正确的HookTdi.sys传上来，我下载后手动替换。

附件: 异常文件.rar (2012-10-5 21:48:47, 13.83 K)
该附件被下载次数 195

瑞星工程师12 - 2012-10-7 10:54:00

瑞星杀毒软件和防火墙升级前的版本（正常的版本）和升级后的版本（HookTdi.sys签名异常的版本）分别是多少？

ttiison - 2012-10-8 21:49:00

2012年10月4日下午升级后出现问题的瑞星杀毒软件版本是23.00.64.48，防火墙版本是23.00.32.09。之前的版本不记得了。
按常理推测，不管升级前版本是多少，升级时都会升级到最新版本，所有组成文件都会和服务器端最新的文件一致。否则，难道服务器端有同一文件的新旧多个版本，而我的客户端软件不幸下载到了一个错误的版本？

瑞星卡卡安全论坛