遭遇jfrwdh.dll等

一位网友说的他的电脑最近经常自动重启，开机后360卫士就不断有警报提示。请偶帮助检修。

用 pe_xscan 扫描 log 并分析，发现如下可疑项：

pe_xscan 08-07-02 by Purple Endurer2008-7-24 22:41:51Windows XP Service Pack 2(5.1.2600)MSIE:6.0.2900.2180管理员用户组正常模式 O2 - BHO IESuper - {1A49F431-2A2E-41a5-9080-0F41D1A3AEC2} = C:\PROGRA~1\IESuper\iesuper.dll | 2008-4-11 5:44:22 O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet选项可能受到限制 O23 - 服务: h (h) - C:\WINDOWS\system32\drivers\h.sys | 2007-7-8 8:1:30(手动) O23 - 服务: sysHostSvc (sysHostSvc) - C:\WINDOWS\system32\drivers\GuiHelp.sys | 2007-1-2 17:49:28(自动) O24 - ShlExecHook: [MICROSOFT] - {841529CB-7F77-4B99-A895-B5441E0D302F} = C:\WINDOWS\system32\jfrwdh.dllO24 - ShlExecHook: [1] - {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} = 1O24 - ShlExecHook: [MICROSOFT] - {7914E0AA-ECCB-4311-B584-C49538227824} = C:\WINDOWS\system32\jhfrxz.dllO24 - ShlExecHook: [MICROSOFT] - {4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4} = C:\WINDOWS\system32\tdggrz.dllO24 - ShlExecHook: [MICROSOFT] - {B29583D8-033A-4B9F-8553-7C5458F3FB8E} = C:\WINDOWS\system32\jdsaex.dllO24 - ShlExecHook: [MICROSOFT] - {1E51C0FD-EE36-434B-AD2A-FD1FF3731C38} = C:\WINDOWS\system32\wyrsdj.dllO24 - ShlExecHook: [MICROSOFT] - {CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068} = C:\WINDOWS\system32\jggtsr.dllO24 - ShlExecHook: [MICROSOFT] - {73AE86E6-7F03-4C3B-8980-FB1DA157D3C7} = C:\WINDOWS\system32\fmcvxy.dllO24 - ShlExecHook: [MICROSOFT] - {875E07B1-0614-43D9-A76E-D76A28AB3D7B} = C:\WINDOWS\system32\tfsdmz.dllO24 - ShlExecHook: [MICROSOFT] - {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6} = C:\WINDOWS\system32\fsrgeb.dllO24 - ShlExecHook: [MICROSOFT] - {5E907A48-400E-4EA8-9792-FFAE052D59E9} = C:\WINDOWS\system32\pedadt.dll

到 http://purpleendurer.ys168.com 下载 bat_do，FileInfo。用FileInfo 提取可疑文件信息，用 bat_do 延时删除。

下载安装瑞星卡卡安全助手6.0，删除 log 中的可疑项目。

其中

O23 - 服务: sysHostSvc (sysHostSvc) - C:\WINDOWS\system32\drivers\GuiHelp.sys | 2007-1-2 17:49:28(自动)

中的文件：

文件说明符 : C:\WINDOWS\system32\drivers\GuiHelp.sys
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5, 1, 2467, 4
说明 : Gui Helper api
版权 :  All rights reserved
产品版本 : 5, 1, 2467, 4
产品名称 : GuiHelp
公司名称 : Microsoft Corporation
内部名称 : GuiHelp
源文件名 : GuiHelp.sys
创建时间 : 2007-1-3 1:49:28
修改时间 : 2007-1-3 1:49:28
大小 : 8341 字节 8.149 KB
MD5 : 99a87b164f509db7976fbd4b8f0aa338
SHA1: BE4E229A8D15271DD23EA6E82179CA8774F6C774
CRC32: bcd76c3d

虽然MD5值与网上公布的相同，但没有通过M$的数字签名，所以把先禁止该项启动。

到 http://endurer.ys168.com 下载 HijackThis，修复 O6 项。卡卡安全助手6.0理论上应该可以修复这个问题，不过一下子没找到。

重启电脑，360卫士没有警报提示了。

但电脑自动重启的现象还是存在，估计是其它软件有冲突，如C:\Program Files\内存扫把\ram.exe，或者电脑散热不好，硬件超频之类引起的。