扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:新浪博客 来源:新浪博客 2008年8月25日
一位网友说的他的电脑最近经常自动重启,开机后360卫士就不断有警报提示。请偶帮助检修。
用 pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 08-07-02 by Purple Endurer2008-7-24 22:41:51Windows XP Service Pack 2(5.1.2600)MSIE:6.0.2900.2180管理员用户组正常模式 O2 - BHO IESuper - {1A49F431-2A2E-41a5-9080-0F41D1A3AEC2} = C:\PROGRA~1\IESuper\iesuper.dll | 2008-4-11 5:44:22 O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet选项可能受到限制 O23 - 服务: h (h) - C:\WINDOWS\system32\drivers\h.sys | 2007-7-8 8:1:30(手动) O23 - 服务: sysHostSvc (sysHostSvc) - C:\WINDOWS\system32\drivers\GuiHelp.sys | 2007-1-2 17:49:28(自动) O24 - ShlExecHook: [MICROSOFT] - {841529CB-7F77-4B99-A895-B5441E0D302F} = C:\WINDOWS\system32\jfrwdh.dllO24 - ShlExecHook: [1] - {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} = 1O24 - ShlExecHook: [MICROSOFT] - {7914E0AA-ECCB-4311-B584-C49538227824} = C:\WINDOWS\system32\jhfrxz.dllO24 - ShlExecHook: [MICROSOFT] - {4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4} = C:\WINDOWS\system32\tdggrz.dllO24 - ShlExecHook: [MICROSOFT] - {B29583D8-033A-4B9F-8553-7C5458F3FB8E} = C:\WINDOWS\system32\jdsaex.dllO24 - ShlExecHook: [MICROSOFT] - {1E51C0FD-EE36-434B-AD2A-FD1FF3731C38} = C:\WINDOWS\system32\wyrsdj.dllO24 - ShlExecHook: [MICROSOFT] - {CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068} = C:\WINDOWS\system32\jggtsr.dllO24 - ShlExecHook: [MICROSOFT] - {73AE86E6-7F03-4C3B-8980-FB1DA157D3C7} = C:\WINDOWS\system32\fmcvxy.dllO24 - ShlExecHook: [MICROSOFT] - {875E07B1-0614-43D9-A76E-D76A28AB3D7B} = C:\WINDOWS\system32\tfsdmz.dllO24 - ShlExecHook: [MICROSOFT] - {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6} = C:\WINDOWS\system32\fsrgeb.dllO24 - ShlExecHook: [MICROSOFT] - {5E907A48-400E-4EA8-9792-FFAE052D59E9} = C:\WINDOWS\system32\pedadt.dll
到 http://purpleendurer.ys168.com 下载 bat_do,FileInfo。用FileInfo 提取可疑文件信息,用 bat_do 延时删除。
下载安装瑞星卡卡安全助手6.0,删除 log 中的可疑项目。
其中
O23 - 服务: sysHostSvc (sysHostSvc) - C:\WINDOWS\system32\drivers\GuiHelp.sys | 2007-1-2 17:49:28(自动)
中的文件:
文件说明符 : C:\WINDOWS\system32\drivers\GuiHelp.sys
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5, 1, 2467, 4
说明 : Gui Helper api
版权 : All rights reserved
产品版本 : 5, 1, 2467, 4
产品名称 : GuiHelp
公司名称 : Microsoft Corporation
内部名称 : GuiHelp
源文件名 : GuiHelp.sys
创建时间 : 2007-1-3 1:49:28
修改时间 : 2007-1-3 1:49:28
大小 : 8341 字节 8.149 KB
MD5 : 99a87b164f509db7976fbd4b8f0aa338
SHA1: BE4E229A8D15271DD23EA6E82179CA8774F6C774
CRC32: bcd76c3d
虽然MD5值与网上公布的相同,但没有通过M$的数字签名,所以把先禁止该项启动。
到 http://endurer.ys168.com 下载 HijackThis,修复 O6 项。卡卡安全助手6.0理论上应该可以修复这个问题,不过一下子没找到。
重启电脑,360卫士没有警报提示了。
但电脑自动重启的现象还是存在,估计是其它软件有冲突,如C:\Program Files\内存扫把\ram.exe,或者电脑散热不好,硬件超频之类引起的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。