用SREng.exe修复你的系统(含实例分析)

SREng.exe是什么，看图。

写得很清楚，是一个用于调整、修复系统的工具。

SREng.exe下载地址：
/view/11527900524081.html
下面介绍一些主要的项目。

一、启动项目
1、注册表
列出注册表中的启动项，其中点中后呈绿色的为安全，红色显示为高危，蓝色的为未知。

点中后下方会显示该项的文件名、公司、文件大小、版本、时间等信息。

可以从这里删除、编辑启动项，有的项目是不允许删除，只允许编辑修正(会提示正确的内容，这时只要按提示修改就行)。

2、启动文件夹
与注册表启动项类似，它的位置就是在程序菜单中的“启动”中。

3、服务(win98中没有这页)
分为Win32服务应用程序和驱动程序：
Win32服务应用程序：就是windows的服务项，点中后了出现服务列表(可以选择“隐藏已认证的微软项目”，如下图，减少判断项)，选中服务可以显示服务相关信息(公司、版本、文件大小，但有时显示未知并不代表是病毒)
这时可以修改启动类型，点“设置”生效。

如果发现流氓软件、病毒的服务可以点中“删除服务”再点设置删除，点完设置会出现如下提示。

注意点“否”才是删除(要看清提示)。

驱动程序：相关驱动信息，以前有人说出现开机加载出错，而在启动和服务中没找到相关项，其实就是在驱动中(在注册表中搜索是肯定能找到的)。

二、系统修复
1、文件关联
这里可以修复所列出的文件关联错误，比如.exe、.txt都是病毒会修改的，如果有错误在状态中会显示出“错误”，选中后点“修复”就OK了(当然有的病毒会阻止修改，这时要么到安全模
式下去尝试修复，要么先修复其它内容，如启动、服务等，终止病毒进程、删除病毒文件，最后再修复关联)。

2、浏览器加载项
这时显示是浏览器加载的插件，可以清除绑架浏览器的恶意插件，同样一些顽固的插件用普通的删除是除不掉的，比如3721的中文网址插件，这就要配合其它工具(卡卡助手、恶意软件清理助手、360安全卫士、超级兔子或其它手工清理方法清除(多工具配合才是修复系统的王道)
3、HOSTS
4、winsock供应者
以前有人问有时打不开网页而QQ能上，很多就是因为winsock文件损坏或被篡改，在这页可以查看是否winsock文件发行者是否是微软，如果不是就可疑了，可以点下面的“重置所有内容为默认值”来修复。

三、智能扫描
如果自己无法搞定或修复不成功，就用智能扫描来扫描日志，贴到网上、论坛上，请高手分析解决，sreng的日志比较详细(注意看连autorun.inf信息都有，现在新版本还加入了api_hook)，
确实是个分析系统的好助手。

扫描如下
点保存报告就可以以文本保存日志，将其中文本内容贴到论坛上就行了，不用上传附件。

下面通过一个日志来讲解下分析过程，人人都能手动清除病毒和流氓软件了。

这是一个旧版本(2.0的，最新是2.3)扫描的日志：
----开始----
2006-12-16,19:23:58
System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs ()
Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户- 完整功能
以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
[page_break]
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
启动项目
注册表
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
<ctfmon.exe><C:WINDOWSsystem32ctfmon.exe>[Microsoft Corporation]
<MSMSGS><"C:Program FilesMessengermsmsgs.exe" /background>[Microsoft Corporation] [HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
<load><>[]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<IMJPMIG8.1><"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef
/Migration32>[Microsoft Corporation]
<PHIME2002ASync><C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC> [Microsoft Corporation]
<PHIME2002A><C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName> [Microsoft Corporation]
<SoundMan><SOUNDMAN.EXE>[Realtek Semiconductor Corp.]
<NvCplDaemon><RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup>[NVIDIA Corporation]
<nwiz><nwiz.exe /install>[NVIDIA Corporation]
<NvMediaCenter><RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit> [NVIDIA Corporation]
<RavTask><"C:Program FilesRisingRavRavTask.exe" -system>[Beijing Rising Technology Co., Ltd.]
<rfmflil><C:WINDOWSsystem32fmflil.exe>[]
[page_break]
<qcsszjcz><c:chenhu2chenqxms.exe>[陈虎]
<MSConfig><C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto>[Microsoft Corporation]
<runeip><C:Program FilesRisingAntiSpywareuniep.exe>[Beijing Rising Technology Co., Ltd.] <RichMedia><; C:WINDOWSsystem32Rundll32.exe"C:PROGRA~1HBClient
bcast.dll",WaitWindows>[]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
<RavStub><"C:Program FilesRisingRavavstub.exe" /RUNONCE>[Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] <wk><C:WINDOWSsystem8ei89f.exe>[]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
<shell><Explorer.exe C:WINDOWSsystem32msvce.exe>[]
<Userinit><userinit.exe,>[Microsoft Corporation]
<UIHost><logonui.exe>[Microsoft Corporation]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHo oks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:WINDOWSsystem32RavExt.dll> [Beijing Rising Technology Co., Ltd.]
==================================
启动文件夹
[WNSO]
<C:Documents and SettingsAll Users「开始」菜单程序启动WNSO.lnk><N>
==================================
[page_break]
服务
[Ati HotKey Poller / Ati HotKey Poller]
<C:WINDOWSsystem32Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart]
<C:WINDOWSsystem32ati2sgag.exe><>
[Security Machine Manager / lDOMANE]
<C:WINDOWSSYSTEM32RUNDLL32.EXE
C:WINDOWSSYSTEM32WBEMIRJIT.DLL,Export 1087><N/A>
[NVIDIA Display Driver Service / NVSvc]
<C:WINDOWSsystem32vsvc32.exe><NVIDIA Corporation>
[Remote Web Connection Manager / Rasweb]
<C:WINDOWSsystem32Comweb><N/A>
[Remote Log / Remote Log]
<system32ServeHost.exe><N/A>
[Rising Proxy Service / RfwProxySrv]
<c:program filesisingfwfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService]
<c:program filesisingfwfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter]
<"C:Program FilesRisingRavCCenter.exe"><Beijing Rising Technology Co., Ltd.>
[RsRavMon Service / RsRavMon]
<"C:Program FilesRisingRavRavmond.exe"><Beijing Rising Technology Co., Ltd.>
==================================
浏览器加载项
[ThunderIEHelper Class]
{0005A87D-D626-4B3A-84F9-1D9571695F55} <C:WINDOWSsystem32xunleibho_v4.dll, > [page_break]
[CPub Object]
{0CA51D02-7739-43EA-8D9A-1E8AD4327B03} <C:Program FilesP4Psodaie.dll, N/A>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <C:Program FilesTencentQQQQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[DragSearch BHO]
{62EED7C6-9F02-42f9-B634-98E2899E147B}
<C:PROGRA~1Yahoo!ASSIST~1AssistYDRAGS~1.DLL, N/A>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283}
<C:DOCUME~1huangLOCALS~1TempRar$EX01.828Thunder5.5ComDllsXunLeiBHO_004.dll,
N/A>
[WebDownloader Class]
{E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:WINDOWSDownloader.dll, N/A>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA}
<C:PROGRA~1XUNCHI~2FLASHGETgetflash.dll, N/A>
[QQ]
{c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:Program FilesTencentQQQQ.EXE, TENCENT> [QQIEFloatBarCfgCmd Class]
{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} <C:Program FilesTencentQQQQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[Messenger]
{FB5F1910-F110-11d2-BB9E-00C04F795683} <C:Program FilesMessengermsmsgs.exe, Microsoft Corporation>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3}
<C:PROGRA~1XUNCHI~2FLASHGETfgiebar.dll, Amaze Soft>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700}
<C:WINDOWSsystem32LegitCheckControl.DLL, Microsoft Corporation>
[page_break]
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000}
<C:WINDOWSsystem32MacromedFlashFlash8a.ocx, Macromedia, Inc.>
[ThunderIEHelper Class]
{0005A87D-D626-4B3A-84F9-1D9571695F55} <C:WINDOWSsystem32xunleibho_v4.dll, > [CPub Object]
{0CA51D02-7739-43EA-8D9A-1E8AD4327B03} <C:Program FilesP4Psodaie.dll, N/A>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:WINDOWSsystem32wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%system32mshtml.dll, N/A> [DHTML Edit Control Safe for Scripting for IE5]
{2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:Program FilesCommon FilesMicrosoft SharedTrieditdhtmled.ocx, Microsoft Corporation>
[HHCtrl Object]
{52A2AAAE-085D-4187-97EA-8C30DB990436} <C:WINDOWSsystem32hhctrl.ocx, Microsoft Corporation>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <C:Program FilesTencentQQQQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[PowerPlayer Control]
{5EC7C511-CD0F-42E6-830C-1BD9882F3458}
<C:DOCUME~1huangAPPLIC~1ppStream100~1.139POWERP~1.DLL, PPStream Inc.> [DragSearch BHO]
{62EED7C6-9F02-42F9-B634-98E2899E147B}
<C:PROGRA~1Yahoo!ASSIST~1AssistYDRAGS~1.DLL, N/A>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:WINDOWSsystem32wmp.dll, Microsoft Corporation>
[page_break]
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:WINDOWSsystem32shdocvw.dll, Microsoft Corporation>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283}
<C:DOCUME~1huangLOCALS~1TempRar$EX01.828Thunder5.5ComDllsXunLeiBHO_004.dll,
N/A>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:WINDOWSsystem32mshtml.dll, Microsoft Corporation>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%system32shdocvw.dll, N/A> [RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:Program FilesCommon FilesSystemmsadcmsadco.dll, Microsoft Corporation>
[AUDIO__MP3 Moniker Class]
{CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:WINDOWSsystem32wmp.dll, Microsoft Corporation>
[AUDIO__X_MS_WMA Moniker Class]
{CD3AFA84-B84F-48F0-9393-7EDC34128127} <C:WINDOWSsystem32wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_WMV Moniker Class]
{CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:WINDOWSsystem32wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:WINDOWSsystem32moc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000}
<C:WINDOWSsystem32MacromedFlashFlash8a.ocx, Macromedia, Inc.>
[FlashGet Bar]
[page_break]
{E0E899AB-F487-11D5-8D29-0050BA6940E3}
<C:PROGRA~1XUNCHI~2FLASHGETfgiebar.dll, Amaze Soft>
[WebDownloader Class]
{E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:WINDOWSDownloader.dll, N/A>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA}
<C:PROGRA~1XUNCHI~2FLASHGETgetflash.dll, N/A>
[上传到QQ网络硬盘]
<C:Program FilesTencentQQAddToNetDisk.htm, N/A>
[使用网际快车下载]
<C:Program FilesxunchitoolsFlashgetjc_link.htm, N/A>
[使用网际快车下载全部链接]
<C:Program FilesxunchitoolsFlashgetjc_all.htm, N/A>
[使用迅雷下载]
<C:DOCUME~1huangLOCALS~1TempRar$EX01.828Thunder5.5Programgeturl.htm, N/A> [使用迅雷下载全部链接]
<C:DOCUME~1huangLOCALS~1TempRar$EX01.828Thunder5.5Programgetallurl.htm, N/A> [导出到Microsoft Office Excel(&X)]
<res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
<C:Program FilesTencentQQAddPanel.htm, N/A>
[添加到QQ表情]
<C:Program FilesTencentQQAddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<C:Program FilesTencentQQSendMMS.htm, N/A>
[用比特精灵下载(&B)]
<E:Program Files工具BitSpiritsurl.htm, N/A>
==================================
正在运行的进程(进程太多了，我略掉大部分，留点作样子)
[PID: 444][SystemRootSystem32smss.exe]<Microsoft Corporation><5.1.2600.2180
(xpsp_sp2_rtm.040803-2158)>
[page_break]
……
[PID: 1576][C:WINDOWSsystem32vsvc32.exe]<NVIDIA Corporation><6.14.10.7777>
[PID: 1896][C:WINDOWSSystem32alg.exe]<Microsoft Corporation><5.1.2600.2180
(xpsp_sp2_rtm.040803-2158)>
[PID: 380][C:Program FilesRisingAntiSpywareuniep.exe]<Beijing Rising Technology Co., Ltd.><1, 0, 1, 3>
[C:Program FilesRisingAntiSpywareiep_ctrl.dll]<Beijing Rising Technology Co., Ltd.><1, 0, 0, 4>
[C:Program FilesRisingAntiSpywareieprot.dll]<Beijing Rising Technology Co., Ltd.><1, 0, 0, 5>
[PID: 2388][C:Documents and Settingshuang桌面1_060708203040SREng.exe]<Smallfrogs Studio><2.0.21.505>
[C:Program FilesRisingAntiSpywareieprot.dll]<Beijing Rising Technology Co., Ltd.><1, 0, 0, 5>
[C:chenhu2cqxms.dll]<N/A><N/A>
==================================
文件关联
.TXT OK. [%SystemRoot%system32NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:WINDOWShh.exe" %1]
.HLP OK. [%SystemRoot%System32winhlp32.exe %1]
.INI OK. [%SystemRoot%System32NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%System32NOTEPAD.EXE %1]
[page_break]
.VBS OK. [%SystemRoot%System32WScript.exe "%1" %*]
.JS OK. [%SystemRoot%System32WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]
==================================
Winsock 提供者
==================================
----结束---
从上面可以看出文件关联、winsock是没问题的，由于这个日志用的sreng.exe版本低，所以有的项目没扫出来，比如autorun.inf，现在版本是可以显示，如果autorun.inf有内容在里面显示就可疑了。

现在可以从注册表启动项开始分析，直到进程项。

有进程出来肯定是有启动项的，所以启动、服务、驱动是主要分析对象，上网就要加上加载项分析。

启动项目删除了重启后进程也就没了，不过有的病毒进程会监测启动项是否被删除，一发现删除立刻重建，所以也要看下是否启动项真的已经删除了。

(分析进程还可以用的工具软件是icesword)
一般后面有微软[Microsoft Corporation]认证的都基本是正常，其它如瑞星(rising)等有名的公司的，也可以基本排除(虽然根据公司名并不完全保险，但作为手工清除、初步判断的话还是可以作为依据，不过即便是瑞星的文件，有时sreng也不会显示出公司名，还是要通过路径、文件名、时间等信息判断)，剩下的如果觉得可疑，就用文件名、插件名、服务名、驱动名、进程名到网上搜索，比如百度、Google等搜索，如果是正常的就不用管了，不正常就删除(删除可以先找它们自带的卸载程序和控制面板中的添加删除程序来删除，没有再用sreng.exe处理)，要删除启动项、浏览器加载项或服务、驱动，并删除相关文件(如果提示不让删除，先到任务管理器中搜索，有可疑进程就先终止再删除，还不行就借助killbox工具删除，或到安全模式、或用启动盘启动到纯DOS下删除)。

象前面说的，有的注册表项由于是系统需要的，不能删除，就按sreng 的提示编辑修正就行了。

在服务或驱动中，如果网络搜索不到相关信息或不放心，就先把相关文件打包放到其它分区备份，运行下没问题再删除。

如果sreng.exe处理不了，就用相关文件关键字到网上搜索清理方法(互联网就是伟大，别只想着QQ、游戏，寻求帮助也是很有用的，我们一定要善用)。

[page_break]
下面是我的分析结果(红字是注解)：
用sreng.exe删除以下的启动项及相关文件(还可以借助卡卡助手、恶意软件清理助手、360安全卫士、超级兔子等工具来清理)
注册表
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<qcsszjcz><c:chenhu2chenqxms.exe>[陈虎]智能五笔的陈桥小秘书，如果要删除的话，除注册表中删除，还要删除文件
<RichMedia><; C:WINDOWSsystem32Rundll32.exe"C:PROGRA~1HBClient
bcast.dll",WaitWindows>[]广告插件
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] <wk><C:WINDOWSsystem8ei89f.exe>[]可疑项目，不象好东西，肯定不是系统的
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
<shell><Explorer.exe C:WINDOWSsystem32msvce.exe>[]这项只能按sreng的提示修正编辑(只保留<shell><Explorer.exe>)
==================================
启动文件夹
[WNSO]
<C:Documents and SettingsAll Users「开始」菜单程序启动WNSO.lnk><N> 万能搜索
==================================
删除服务
服务
[Ati HotKey Poller / Ati HotKey Poller]因该机主换用N卡，没有ATI显卡了，可以删除它的驱动
<C:WINDOWSsystem32Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart]
<C:WINDOWSsystem32ati2sgag.exe><>
[Security Machine Manager / lDOMANE]
<C:WINDOWSSYSTEM32RUNDLL32.EXE
C:WINDOWSSYSTEM32WBEMIRJIT.DLL,Export 1087><N/A>弹出广告木马
[Remote Web Connection Manager / Rasweb]这项查不到，不知是什么东东，可以先禁用服务看看
<C:WINDOWSsystem32Comweb><N/A>
[Remote Log / Remote Log]
<system32ServeHost.exe><N/A>中搜地址栏
==================================
同样删除
浏览器加载项
[WebDownloader Class]
{E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:WINDOWSDownloader.dll, N/A>木马，机主就是说开机出现加载它出错信息而又找不到
[WebDownloader Class]
{E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:WINDOWSDownloader.dll, N/A>
==================================
最后建议删除临时文件c:documents and settings用户名local settings emp、c:wuindows emp和IE缓存文件(ie菜单-工具-internet选项-常规：删除文件-删除所有脱机文件，删除cookie、清除历史文件)，最后用杀毒软件扫尾。

可能分析不完全，不过方法是这样的，何况你不一定要自己分析，贴出来让高手分析就是了。