疑問 - 關機時的怪現象~

[mowong]

我的作業系統是Windows XP Professional Service Pack 2

在每次關機或重啟的時候都會出現一個一閃而過的"記憶錯誤的信息"
而每次都是不一定的出現不同程序錯誤，因為出現時間太短，所以無
法看清楚和記下錯誤的內容，只是有一次看到的是Explorer.exe！

那我就到事件檢視器中查看，發覺很多來自同一事件的警告和錯誤在"應用程式"中！

錯誤內容
找不到事件識別碼 3001 (在來源 LoadPerf 中) 的描述。本機電腦可能沒有所需的登錄資訊或訊息 DLL 檔案，因此無法顯示發自遠端電腦的訊息。您可以使用 /AUXSOURCE= flag 來重新抓取這個描述。請參閱 [說明及支援] 來了解詳細資料。以下資訊為事件的一部份: 3022.


警告內容
效能登錄的 LastCounter 和 LastHelp 值已經損毀，需要 更新。資料區段中第一個和第二個 DWORD 是原始值，而區段中第三個和第四個 DWORD 是更新後的新值。

我已在google和Microsoft上抓過，但都找不到方法！

所以希望這裡的大大能幫幫小弟！

引用:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitComet_0.99\BitComet.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\RK_Launcher\RK_Launcher_041_Beta_282SC\RKLauncher.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Green Brower\GreenBrowser.exe
C:\Documents and Settings\Administrator\My Documents\FILE\Downloads\HiJackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet_0.99\BitComet.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: &使用BitComet下載本頁視訊 - res://C:\Program Files\BitComet_0.99\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Foxy 下載 - res://C:\Program Files\Foxy\Foxy.exe/download.htm
O8 - Extra context menu item: Foxy 搜尋 - res://C:\Program Files\Foxy\Foxy.exe/search.htm
O8 - Extra context menu item: 使用 FDM 下載 - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: 使用 FDM 下載影片 - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: 使用 FDM 下載所有項目 - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: 使用 FDM 下載選取項目 - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: 使用BitComet下載全部連結 - res://C:\Program Files\BitComet_0.99\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: 使用BitComet下載連結(&B) - res://C:\Program Files\BitComet_0.99\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1218414078281
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

[David722]

有點像中毒或惡意程式,建議依照這個方式做,再請厲害的版友幫你看看
http://forum.slime.com.tw/thread208952.html

[mowong]

引用:

作者: David722

有點像中毒或惡意程式,建議依照這個方式做,再請厲害的版友幫你看看
http://forum.slime.com.tw/thread208952.html

感謝你的提點！已經補上HijackThis報告~

不過中毒的可能性很低，因為呢個問題我重灌了兩次，
我亦有格式化及離線才安裝！運行的都是一般常用的程式，
所以我覺得是系統沖突的可能性比較多！

[mowong]

可能小弟的資訊不充份不吧！再付上EVEREST的詳細報告！

EVEREST報告

[David722]

引用:

作者: mowong

感謝你的提點！已經補上HijackThis報告~

不過中毒的可能性很低，因為呢個問題我重灌了兩次，
我亦有格式化及離線才安裝！運行的都是一般常用的程式，
所以我覺得是系統沖突的可能性比較多！

軟體衝突也有可能
請問樓主在WINDOWS剛灌好時會如此嗎?
如果下載軟體都不要開啟
就單純重覆開關機測試也會嗎?
看到您的報告中有好幾種下載軟體實在有點擔心是下載軟體或下載下來的內容有什麼問題
尤其是FOXY

[mowong]

引用:

作者: David722

軟體衝突也有可能
請問樓主在WINDOWS剛灌好時會如此嗎?
如果下載軟體都不要開啟
就單純重覆開關機測試也會嗎?
看到您的報告中有好幾種下載軟體實在有點擔心是下載軟體或下載下來的內容有什麼問題
尤其是FOXY

我重灌後在未有安裝驅動前沒有測試過！

在安裝驅動後才有重啟，那時已經有出現這個問題，而那時是沒有安裝任何程式！

驅動程式我是安裝廠商提供的磁碟安裝，因我的顯卡是內置於底板，
所以一張安裝碟就可以灌好全部驅動，所以驅動的沖突可能性也沒有，
至於我的WINDOWS安裝碟，也幫過好幾個人安裝，也沒有問題的！

[David722]

引用:

作者: mowong

我重灌後在未有安裝驅動前沒有測試過！

在安裝驅動後才有重啟，那時已經有出現這個問題，而那時是沒有安裝任何程式！

驅動程式我是安裝廠商提供的磁碟安裝，因我的顯卡是內置於底板，
所以一張安裝碟就可以灌好全部驅動，所以驅動的沖突可能性也沒有，
至於我的WINDOWS安裝碟，也幫過好幾個人安裝，也沒有問題的！

照這樣看起來樓主可能是硬體問題吧,先找軟體測個記憶體看看,
可以的話再交叉測試,比較能找出問題所在

[mowong]

用EVEREST測試後正常！

http://img246.imagevenue.com/img.php..._122_122lo.jpg

[mowong]

引用:

作者: alongo

上面數據應該就是..中了蠕蟲..大多是那些應用綠化破解所致
別告訴我微軟有 RK_Launcher 酒精..這些

大大可能你有所誤解了！

我是回應David722的題問：在WINDOWS剛灌好時會如此嗎?

現有當然有安裝其它軟件，但問題是在未有安裝其它的軟件時已經發生！

[mowong]

引用:

作者: alongo

AutoRuns for Windows v9.33

DL:
http://download.sysinternals.com/Files/Autoruns.zip

檢查 啟動項目 是否被插入 其他不需之蠕蟲

在一樓我已經貼出有關資訊：

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitComet_0.99\BitComet.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\RK_Launcher\RK_Launcher_041_Beta_282SC\RKLauncher.exe


小弟並未看到有那個項目有問題，請大大幫忙看看！