发现这种问题以后，下一步怎么办？

显示全部楼层 · 发表于 2019-10-24 11:36:36

服务已安装在系统中。
服务名称: qvvparlp
服务文件名: C:\Windows\system32\drivers\qvvparlp.sys
服务类型: 内核模式驱动程序
服务启动类型: 系统启动
服务帐户:

显示全部楼层 · 发表于 2019-10-24 12:33:42

这个驱动服务的文件名，感觉有些可疑。

先在系统注册表中，查找有关 qvvparlp.sys 的服务，如果找到，手动删除。
然后进 PE，在 PE下，手动删除 qvvparlp.sys等相关文件。

最后重启电脑，进入电脑后，查看这个服务是否还存在？

显示全部楼层 · 发表于 2019-10-24 12:59:32

ppt1845 发表于 2019-10-24 12:33
这个驱动服务的文件名，感觉有些可疑。

先在系统注册表中，查找有关 qvvparlp.sys 的服务，如果找到， ...

ID:7045事件有四五个。
有时候Autoruns检测到已经不存在的随机驱动文件才引起警觉。
WD只扫描的。莫非还有漏洞吗？哈哈
那我就怀疑不在单位的时候他们又胡来了………
现在是手机回复。

显示全部楼层 · 发表于 2019-10-24 13:46:23

卸载。

显示全部楼层 · 发表于 2019-10-24 15:09:20

ELOHIM 发表于 2019-10-24 12:59
ID:7045事件有四五个。
有时候Autoruns检测到已经不存在的随机驱动文件才引起警觉。
WD只扫描的。莫非 ...

用U盘做成了卡巴斯基救援盘，然后在你怀疑有问题的电脑上，先查杀一下。

或许会有收获。

显示全部楼层 · 发表于 2019-10-24 23:50:21

在drivers目录的简单。pe，打开目录，右击，查看详细信息。右击排序更多，勾选公司，点公司按公司排列。看没有公司，名字又乱来的sys文件，先剪切到别的地方粘贴，出问题再回PE还原。

显示全部楼层 · 发表于 2019-10-24 23:52:39

PE推荐使用360论坛的winpe版急救箱，可以联网，能远程，支持修复系统文件。然后再下载些扫描工具，比如kvrt这种。联网用360扫，断网就用kvrt扫，或者两个都用。

显示全部楼层 · 发表于 2019-10-27 19:41:40

落华无痕发表于 2019-10-24 23:52
PE推荐使用360论坛的winpe版急救箱，可以联网，能远程，支持修复系统文件。然后再下载些扫描工具，比如kvrt ...

未签名的驱动只有这个哦，帮检测一下，谢谢。

显示全部楼层 · 发表于 2019-10-27 19:42:54

ppt1845 发表于 2019-10-24 15:09
用U盘做成了卡巴斯基救援盘，然后在你怀疑有问题的电脑上，先查杀一下。

或许会有收获。

刚刚到单位。
我用别的工具先检测一下看。不喜欢卡巴。
谢谢推荐！~

显示全部楼层 · 发表于 2019-10-27 20:01:36

ELOHIM 发表于 2019-10-27 19:41
未签名的驱动只有这个哦，帮检测一下，谢谢。

你理解错了，我说的是没有公司名，不是没有数字签名。

[系统] 发现这种问题以后，下一步怎么办？