请问我红伞扫描老是卡住

geniusgu

我发现就是扫到这个注册表键值的时候卡住
前面的都可以扫过去

lacmiu

再一个建议
在安全模式下试一下。完全有可能是因为微点、风云等的原因。

还有如果是按“旧版红伞是不扫描注册表的，新版扫描是因为反Rootkit，所以很可能是反Rootkit驱动无法加载，LZ检查一下扫描到注册表时avipbb驱动是否加载（设备管理器》显示隐藏设备》非即插即用设备），如果没有就修复红伞吧”所说的话，那就应该是一开始扫描注册表就会卡住。请问楼主是一开始还是开始之后一会儿呢？

lacmiu

正如我所说，不可能是Rootkit驱动无法加载。
因为Rootkit扫描是先扫描文件再扫描注册表，既然LZ的小红伞已经扫描到注册表了，说明Rootkit驱动肯定已经加载了的。
只能另寻他法了。

geniusgu

晕。。
等下睡觉前重启下试试看

lacmiu

http://bbs.kafan.cn/viewthread.p ... 3%CF%C0%D6%B8%BD%CC
今天第一次尝试这个软件，据说能扫出来后门什么的
结果......
79 discrepancies found

其中大部分被描述为Hidden form Windows API

请问该如何处理？问题是否严重？

贴出其中一部分

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 2007-2-19 16:18 0 bytes Access is denied.
C:\Documents and Settings\Baboon\Cookies\baboon@163[1].txt 2007-3-5 8:35 793 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Cookies\baboon@163[2].txt 2007-3-16 17:24 661 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Cookies\baboon@microsoft[1].txt 2007-3-16 17:24 268 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Cookies\baboon@microsoft[2].txt 2007-3-9 13:03 268 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Cookies\baboon@rad.microsoft[2].txt 2007-3-16 17:24 750 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Cookies\baboon@www.xdowns[3].txt 2007-3-16 17:23 171 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temp\111.dat 2007-3-16 17:21 6.11 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\222.dat 2007-3-16 17:21 1.49 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\333.dat 2007-3-16 17:21 1.16 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\IH14E4.tmp 2007-3-16 17:22 4.02 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\IH1505.tmp 2007-3-16 17:22 12.59 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\Perflib_Perfdata_d08.dat 2007-3-16 17:21 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\55x55_security[1].gif 2007-3-16 17:24 1.59 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\default[4].htm 2007-3-16 17:24 36.89 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\info[1].htm 2007-3-16 17:22 1 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\stm31[1].js 2007-3-16 17:22 33.21 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\TEAM[1].gif 2007-3-16 17:22 115 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\5S2FKULQ\ql[1].css 2007-3-16 17:24 1.97 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\5S2FKULQ\ui[1].js 2007-3-16 17:23 8.14 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\6RIJ5CHX\l_corner[1].gif 2007-3-16 17:24 44 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\6RIJ5CHX\main_title_760[1].gif 2007-3-16 17:22 536 bytes Hidden from Windows API.

看红色的部分，也是denied，就是拒绝访问的意思吧。看来是有病毒作怪的

geniusgu

微点管理员告诉我sptd应该是某虚拟光驱的驱动-。-

lacmiu

原帖由 geniusgu 于 2007-5-8 23:28 发表
微点管理员告诉我sptd应该是某虚拟光驱的驱动-。-

那就不会是Alcohol 120%的。我用SSM监控并没有发现Alcohol 120%加载

geniusgu

原帖由 lacmiu 于 2007-5-8 23:56 发表

那就不会是Alcohol 120%的。我用SSM监控并没有发现Alcohol 120%加载

DaemonTools传说是这个的

原帖由 lacmiu 于 2007-5-8 23:06 发表
再一个建议
在安全模式下试一下。完全有可能是因为微点、风云等的原因。

还有如果是按“旧版红伞是不扫描注册表的，新版扫描是因为反Rootkit，所以很可能是反Rootkit驱动无法加载，LZ检查一下扫描到注册表时 ...

晕。。昨天晚上开安全模式用红伞扫
结果……他不扫注册表
打开设备管理器avipbb也不能开启
郁闷啊

[ 本帖最后由 geniusgu 于 2007-5-9 10:07 编辑 ]

keature

用注册表清理和整理程序，再用spybot 绿色版升级到最新扫一遍，找到恶意的和错误。应该能好一些吧！

geniusgu

回家试试看。。注册表清理不知优化大师的注册表清理功能算不算