遭遇 h.sys,GuiHelp.sys,iesuper.dll,jfrwdh.dll,pedadt.dll等
endurer 原创
2008-07-29 第1版
一位网友说的他的电脑最近经常自动重启,开机后360卫士就不断有警报提示。请偶帮助检修。
用 pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 08-07-02 by Purple Endurer
2008-7-24 22:41:51
Windows XP Service Pack 2(5.1.2600)
MSIE:6.0.2900.2180
管理员用户组
正常模式O2 - BHO IESuper - {1A49F431-2A2E-41a5-9080-0F41D1A3AEC2} = C:/PROGRA~1/IESuper/iesuper.dll | 2008-4-11 5:44:22
O4 - HKCU/../Run: [bgswitch] C:/WINDOWS/system32/bgswitch.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel 存在 IE或Internet选项可能受到限制
O23 - 服务: h (h) - C:/WINDOWS/system32/drivers/h.sys | 2007-7-8 8:1:30(手动)
O23 - 服务: sysHostSvc (sysHostSvc) - C:/WINDOWS/system32/drivers/GuiHelp.sys | 2007-1-2 17:49:28(自动)
O24 - ShlExecHook: [MICROSOFT] - {841529CB-7F77-4B99-A895-B5441E0D302F} = C:/WINDOWS/system32/jfrwdh.dll
O24 - ShlExecHook: [1] - {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} = 1
O24 - ShlExecHook: [MICROSOFT] - {7914E0AA-ECCB-4311-B584-C49538227824} = C:/WINDOWS/system32/jhfrxz.dll
O24 - ShlExecHook: [MICROSOFT] - {4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4} = C:/WINDOWS/system32/tdggrz.dll
O24 - ShlExecHook: [MICROSOFT] - {B29583D8-033A-4B9F-8553-7C5458F3FB8E} = C:/WINDOWS/system32/jdsaex.dll
O24 - ShlExecHook: [MICROSOFT] - {1E51C0FD-EE36-434B-AD2A-FD1FF3731C38} = C:/WINDOWS/system32/wyrsdj.dll
O24 - ShlExecHook: [MICROSOFT] - {CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068} = C:/WINDOWS/system32/jggtsr.dll
O24 - ShlExecHook: [MICROSOFT] - {73AE86E6-7F03-4C3B-8980-FB1DA157D3C7} = C:/WINDOWS/system32/fmcvxy.dll
O24 - ShlExecHook: [MICROSOFT] - {875E07B1-0614-43D9-A76E-D76A28AB3D7B} = C:/WINDOWS/system32/tfsdmz.dll
O24 - ShlExecHook: [MICROSOFT] - {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6} = C:/WINDOWS/system32/fsrgeb.dll
O24 - ShlExecHook: [MICROSOFT] - {5E907A48-400E-4EA8-9792-FFAE052D59E9} = C:/WINDOWS/system32/pedadt.dll
到 http://purpleendurer.ys168.com 下载 bat_do,FileInfo。用FileInfo 提取可疑文件信息,用 bat_do 延时删除。
下载安装瑞星卡卡安全助手6.0,删除 log 中的可疑项目。
其中
O23 - 服务: sysHostSvc (sysHostSvc) - C:/WINDOWS/system32/drivers/GuiHelp.sys | 2007-1-2 17:49:28(自动)
中的文件:
文件说明符 : C:/WINDOWS/system32/drivers/GuiHelp.sys
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5, 1, 2467, 4
说明 : Gui Helper api
版权 : All rights reserved
产品版本 : 5, 1, 2467, 4
产品名称 : GuiHelp
公司名称 : Microsoft Corporation
内部名称 : GuiHelp
源文件名 : GuiHelp.sys
创建时间 : 2007-1-3 1:49:28
修改时间 : 2007-1-3 1:49:28
大小 : 8341 字节 8.149 KB
MD5 : 99a87b164f509db7976fbd4b8f0aa338
SHA1: BE4E229A8D15271DD23EA6E82179CA8774F6C774
CRC32: bcd76c3d
虽然MD5值与网上公布的相同,但没有通过M$的数字签名,所以把先禁止该项启动。
到 http://endurer.ys168.com 下载 HijackThis,修复 O6 项。卡卡安全助手6.0理论上应该可以修复这个问题,不过一下子没找到。
重启电脑,360卫士没有警报提示了。
但电脑自动重启的现象还是存在,估计是其它软件有冲突,如C:/Program Files/内存扫把/ram.exe,或者电脑散热不好,硬件超频之类引起的。