楼主: geniusgu
收起左侧

[讨论] 请问我红伞扫描老是卡住

[复制链接]
geniusgu
 楼主| 发表于 2007-5-8 22:52:13 | 显示全部楼层
我发现就是扫到这个注册表键值的时候卡住
前面的都可以扫过去
lacmiu
发表于 2007-5-8 23:06:07 | 显示全部楼层
再一个建议
在安全模式下试一下。完全有可能是因为微点、风云等的原因。

还有如果是按“旧版红伞是不扫描注册表的,新版扫描是因为反Rootkit,所以很可能是反Rootkit驱动无法加载,LZ检查一下扫描到注册表时avipbb驱动是否加载(设备管理器》显示隐藏设备》非即插即用设备),如果没有就修复红伞吧”所说的话,那就应该是一开始扫描注册表就会卡住。请问楼主是一开始还是开始之后一会儿呢?
lacmiu
发表于 2007-5-8 23:08:02 | 显示全部楼层
正如我所说,不可能是Rootkit驱动无法加载。
因为Rootkit扫描是先扫描文件再扫描注册表,既然LZ的小红伞已经扫描到注册表了,说明Rootkit驱动肯定已经加载了的。
只能另寻他法了。
geniusgu
 楼主| 发表于 2007-5-8 23:12:36 | 显示全部楼层
晕。。
等下睡觉前重启下试试看
lacmiu
发表于 2007-5-8 23:15:10 | 显示全部楼层
http://bbs.kafan.cn/viewthread.p ... 3%CF%C0%D6%B8%BD%CC
今天第一次尝试这个软件,据说能扫出来后门什么的
结果......
79 discrepancies found

其中大部分被描述为Hidden form Windows API

请问该如何处理?问题是否严重?

贴出其中一部分

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 2007-2-19 16:18 0 bytes Access is denied.
C:\Documents and Settings\Baboon\Cookies\baboon@163[1].txt 2007-3-5 8:35 793 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Cookies\baboon@163[2].txt 2007-3-16 17:24 661 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Cookies\baboon@microsoft[1].txt 2007-3-16 17:24 268 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Cookies\baboon@microsoft[2].txt 2007-3-9 13:03 268 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Cookies\baboon@rad.microsoft[2].txt 2007-3-16 17:24 750 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Cookies\baboon@www.xdowns[3].txt 2007-3-16 17:23 171 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temp\111.dat 2007-3-16 17:21 6.11 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\222.dat 2007-3-16 17:21 1.49 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\333.dat 2007-3-16 17:21 1.16 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\IH14E4.tmp 2007-3-16 17:22 4.02 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\IH1505.tmp 2007-3-16 17:22 12.59 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temp\Perflib_Perfdata_d08.dat 2007-3-16 17:21 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\55x55_security[1].gif 2007-3-16 17:24 1.59 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\default[4].htm 2007-3-16 17:24 36.89 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\info[1].htm 2007-3-16 17:22 1 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\stm31[1].js 2007-3-16 17:22 33.21 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\2AW2GMPK\TEAM[1].gif 2007-3-16 17:22 115 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\5S2FKULQ\ql[1].css 2007-3-16 17:24 1.97 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\5S2FKULQ\ui[1].js 2007-3-16 17:23 8.14 KB Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\6RIJ5CHX\l_corner[1].gif 2007-3-16 17:24 44 bytes Hidden from Windows API.
C:\Documents and Settings\Baboon\Local Settings\Temporary Internet Files\Content.IE5\6RIJ5CHX\main_title_760[1].gif 2007-3-16 17:22 536 bytes Hidden from Windows API.

看红色的部分,也是denied,就是拒绝访问的意思吧。看来是有病毒作怪的
geniusgu
 楼主| 发表于 2007-5-8 23:28:58 | 显示全部楼层
微点管理员告诉我sptd应该是某虚拟光驱的驱动-。-
lacmiu
发表于 2007-5-8 23:56:26 | 显示全部楼层
原帖由 geniusgu 于 2007-5-8 23:28 发表
微点管理员告诉我sptd应该是某虚拟光驱的驱动-。-

那就不会是Alcohol 120%的。我用SSM监控并没有发现Alcohol 120%加载
geniusgu
 楼主| 发表于 2007-5-9 10:03:34 | 显示全部楼层
原帖由 lacmiu 于 2007-5-8 23:56 发表

那就不会是Alcohol 120%的。我用SSM监控并没有发现Alcohol 120%加载


DaemonTools传说是这个的


原帖由 lacmiu 于 2007-5-8 23:06 发表
再一个建议
在安全模式下试一下。完全有可能是因为微点、风云等的原因。

还有如果是按“旧版红伞是不扫描注册表的,新版扫描是因为反Rootkit,所以很可能是反Rootkit驱动无法加载,LZ检查一下扫描到注册表时 ...


晕。。昨天晚上开安全模式用红伞扫
结果……他不扫注册表
打开设备管理器avipbb也不能开启
郁闷啊

[ 本帖最后由 geniusgu 于 2007-5-9 10:07 编辑 ]
keature
发表于 2007-5-9 10:35:21 | 显示全部楼层
用注册表清理和整理程序,再用spybot 绿色版升级到最新扫一遍,找到恶意的和错误。应该能好一些吧!
geniusgu
 楼主| 发表于 2007-5-9 13:30:39 | 显示全部楼层
回家试试看。。注册表清理不知优化大师的注册表清理功能算不算
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 02:24 , Processed in 0.122062 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表