DNS是否被劫持如何解决

#R4375wf2

卡巴斯基一直提示无法更新，打10000号来人说是一切正常，对我说DNS的第二个地址不对是118.118.118.118，让给解决说线路正常是电脑的问题他们也没办法，特意看了下本地连接手工填入显示正常，用命令ipconfig/all查看IP4 也是手工填的地址，IP6的看不懂，可进到路由器里就变成第一个是当地电信的地址，第二个就成了118.118.118.118，，打售后电话升级后还是照旧，这样的问题看看哪位高人能麻烦给看看，现在这里谢谢您了

byyxx126

可进到路由器里就变成第一个是当地电信的地址

这里麻烦解释一下，是路由器的DNS还是电脑的DNS发生了变化？

#R4375wf2

byyxx126 发表于 2014-12-30 20:57
这里麻烦解释一下，是路由器的DNS还是电脑的DNS发生了变化？

路由器里wan口直接看到，通过电脑的本地连接和命令还都看不到

kho1972

看下这里：http://jingyan.baidu.com/article/8275fc86b8206d46a03cf6d5.html

#R4375wf2

路由器都重新刷了版本后还是如此不是那么简单的问题

#R4375wf2

dns被弄成118·118·118·118，现在基本判断是网卡绑定，因为用光盘安好友系统后安装了卡巴斯基和winrar5.2联网查看就是118……，昨天怀疑路由器特意卸掉直接猫（上海贝尔），新系统没有软件她是从哪来的，电话电信商线路正常，给了两个dns地址手工添入，命令查看还是118……问题是如果是网卡绑死了，理论上有无可能，可能的话怎么解决？换网卡能否解决？最后有疑问会不会和卡巴斯基有关，手机操作恳请哪位朋友能够伸出援手

byyxx126

楼主多虑了，网卡不会绑定DNS。你尝试给电脑手动指定DNS而不用自动获取试试。

mingjiezd

楼上的版主，楼主已经说了，手动输入了电信给的DNS，但依然无效。并且是新系统，无路由的情况下……
楼主的这个问题到是邪门了！如果楼主解决了，请告知是什么问题，如何解决的。忘记说了，楼主试一下，更换个猫试一下，

byyxx126

mingjiezd 发表于 2014-12-31 20:49
楼上的版主，楼主已经说了，手动输入了电信给的DNS，但依然无效。并且是新系统，无路由的情况下……
楼主的 ...

你没有看他前面的发帖。而且楼主甚至都要换个网卡，从这里得知其实楼主本身可能对问题了解的并不深入。
话说网卡不会绑定DNS，这个有没有问题？

扯开来，如果是系统的DNS一直被篡改，首要考虑系统问题。楼主提到系统“用光盘装好后”可以推测楼主所装并非原版系统，那么可能性就很多了。所以目前暂不能盲目下定论。

#R4375wf2

系统是论坛下的64位专业版，验证过哈希值。像您所说我也想到了问题是否猫，重置后还是依旧

mingjiezd

mingjiezd

版主，实在抱歉的很，我看了多边也没有找出不良文字，只能用贴图回复了。如果真的是违规了，请原谅，实属我对楼主的问题很感兴趣。

#R4375wf2

老大是我没有把问题讲透，在路由器里手工添加后就会变成四个地址，即前面的两个是自己填的，后面的就是前面的旧的（第一个是正常的，第二个118的），就这样说手工填入就成4个地址，前面三个都是正常的最后一个118，路由器是newifi 新路由。问题是路由器拿掉新安装的系统，联网前就安装了卡巴斯基和winrar5.2俩软件，联网后进命令一看还是118，我头都大了，

byyxx126

mingjiezd 发表于 2014-12-31 21:58
版主，实在抱歉的很，我看了多边也没有找出不良文字，只能用贴图回复了。如果真的是违规了，请原谅，实属我 ...

远景的审核系统比较严格。
我现在还是怀疑是不是系统被植入什么东西，要不然DNS不会老被改。

#R4375wf2

发帖前请善用板块内的置顶帖和搜索功能，请尊重每一位分享者，不要使用纯字符等方式回帖。
您发表的内容可能会被审核，不要着急，我们的管理员将会尽快将内容审核通过。

请帮忙看看，如果从命令里看不到的话为何路由器里还可以，如果不管有影响吗，现在我开机每次打开浏览器都要等二三十秒钟，杀毒软件换成了ESET

请版主原谅如果不行就删掉吧，我也是没办法了才又把注册表导了出来，想请哪位高人给看看是什么造成的，改了注册表，重启后依旧又出现了，而且明显感觉现在联网不正常，顺便想问问换成光纤是否能好一些，我是指不容易挟持
对了压缩文件的名字是直接用的注册表的名字

byyxx126

#R4375wf2 发表于 2014-12-31 23:50
发帖前请善用板块内的置顶帖和搜索功能，请尊重每一位分享者，不要使用纯字符等方式回帖。
您发表的内容可 ...

电脑的DNS和路由器的DNS无关。你尝试路由器的DNS不用自动获取改用手动指定，电脑的DNS用自动获取看看。

mingjiezd

最后一次猜测，我也想不出来：你的这个DNS是不是电信强加给你的。你去下载个改写DNS的软件，看上网正常不。

#R4375wf2

mingjiezd 发表于 2015-1-3 11:14
最后一次猜测，我也想不出来：你的这个DNS是不是电信强加给你的。你去下载个改写DNS的软件，看上网正常不。

我怀疑是不是被黑了 ，我填两个记录器里复制出来的您帮忙看看是怎么回事，我从注册表里删除掉118，可他自己就会写上，我确实不懂死马当活马，希望能有奇迹出现，或老天开眼 吧        WIN-DFUEV1JBHOG这是我吗？ QRSOMTRKG这又是谁呢
日志名称:          Microsoft-Windows-Dhcp-Client/Admin
来源:            Microsoft-Windows-Dhcp-Client
日期:            2015/1/3/星期六 18:39:28
事件 ID:         1001
任务类别:          地址配置状态事件
级别:            错误
关键字:           (1)
用户:            LOCAL SERVICE
计算机:           QRSOMTRKG
描述:
没有为网络地址是 0x00218561529B 的网卡从网络向计算机指派地址(由 DHCP 服务器指派)。 出现了以下错误: 0x79。计算机将继续尝试从网络地址(DHCP)服务器获取地址。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Dhcp-Client" Guid="{15A7A4F8-0072-4EAB-ABAD-F98A4D666AED}" />
    <EventID>1001</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>3</Task>
    <Opcode>75</Opcode>
    <Keywords>0x4000000000000001</Keywords>
    <TimeCreated SystemTime="2015-01-03T10:39:28.163113600Z" />
    <EventRecordID>39</EventRecordID>
    <Correlation />
    <Execution ProcessID="1056" ThreadID="1420" />
    <Channel>Microsoft-Windows-Dhcp-Client/Admin</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security UserID="S-1-5-19" />
  </System>
  <EventData>
    <Data Name="HWLength">6</Data>
    <Data Name="HWAddress">00218561529B</Data>
    <Data Name="StatusCode">121</Data>
  </EventData>
</Event>


日志名称:          Microsoft-Windows-Dhcp-Client/Admin
来源:            Microsoft-Windows-Dhcp-Client
日期:            2014/12/11/星期四 21:19:37
事件 ID:         1001
任务类别:          地址配置状态事件
级别:            错误
关键字:           (1)
用户:            LOCAL SERVICE
计算机:           QRSOMTRKG
描述:
没有为网络地址是 0x00218561529B 的网卡从网络向计算机指派地址(由 DHCP 服务器指派)。 出现了以下错误: 0x79。计算机将继续尝试从网络地址(DHCP)服务器获取地址。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Dhcp-Client" Guid="{15A7A4F8-0072-4EAB-ABAD-F98A4D666AED}" />
    <EventID>1001</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>3</Task>
    <Opcode>75</Opcode>
    <Keywords>0x4000000000000001</Keywords>
    <TimeCreated SystemTime="2014-12-11T13:19:37.764357500Z" />
    <EventRecordID>1</EventRecordID>
    <Correlation />
    <Execution ProcessID="776" ThreadID="2700" />
    <Channel>Microsoft-Windows-Dhcp-Client/Admin</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security UserID="S-1-5-19" />
  </System>
  <EventData>
    <Data Name="HWLength">6</Data>
    <Data Name="HWAddress">00218561529B</Data>
    <Data Name="StatusCode">121</Data>
  </EventData>

O:BAG:SYD:(A;;0x2;;;S-1-15-2-1)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
</Event>



日志名称:          Microsoft-Windows-SmbClient/Connectivity
来源:            Microsoft-Windows-SMBClient
日期:            2015/1/3/星期六 18:01:27
事件 ID:         30810
任务类别:          无
级别:            信息
关键字:           (64)
用户:            SYSTEM
计算机:           QRSOMTRKG
描述:
已添加一个 TCP/IP 传输接口。

名称: \DEVICE\TCPIP6_{7e247997-8af8-405d-aea1-ce2681b7f03d}
InterfaceIndex: 0xF

指导:
已向 SMB 客户端的指定网络适配器添加了一个 TCP/IP 绑定。SMB 客户端当前可使用 TCP/IP 发送和接收此网络适配器上的 SMB 流量。当计算机重新启动或之前禁用的网络适配器被重新启用时，可能会发生此事件。无需任何用户操作。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-SMBClient" Guid="{988C59C5-0A1C-45B6-A555-0C62276E327D}" />
    <EventID>30810</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x400000000000040</Keywords>
    <TimeCreated SystemTime="2015-01-03T10:01:27.843529300Z" />
    <EventRecordID>506</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="3496" />
    <Channel>Microsoft-Windows-SmbClient/Connectivity</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="NameLength">53</Data>
    <Data Name="Name">\DEVICE\TCPIP6_{7e247997-8af8-405d-aea1-ce2681b7f03d}</Data>
    <Data Name="IfIndex">15</Data>
  </EventData>
</Event>


日志名称:          Microsoft-Windows-SmbClient/Connectivity
来源:            Microsoft-Windows-SMBClient
日期:            2014/12/11/星期四 19:17:39
事件 ID:         30810
任务类别:          无
级别:            信息
关键字:           (64)
用户:            SYSTEM
计算机:           WIN-DFUEV1JBHOG
描述:
已添加一个 TCP/IP 传输接口。

名称: \DEVICE\TCPIP6_{ec5185ee-9456-4d5d-b7a7-f2b749bc96c3}
InterfaceIndex: 0x3

指导:
已向 SMB 客户端的指定网络适配器添加了一个 TCP/IP 绑定。SMB 客户端当前可使用 TCP/IP 发送和接收此网络适配器上的 SMB 流量。当计算机重新启动或之前禁用的网络适配器被重新启用时，可能会发生此事件。无需任何用户操作。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-SMBClient" Guid="{988C59C5-0A1C-45B6-A555-0C62276E327D}" />
    <EventID>30810</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x400000000000040</Keywords>
    <TimeCreated SystemTime="2014-12-11T11:17:39.126366900Z" />
    <EventRecordID>1</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="168" />
    <Channel>Microsoft-Windows-SmbClient/Connectivity</Channel>
    <Computer>WIN-DFUEV1JBHOG</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="NameLength">53</Data>
    <Data Name="Name">\DEVICE\TCPIP6_{ec5185ee-9456-4d5d-b7a7-f2b749bc96c3}</Data>
    <Data Name="IfIndex">3</Data>
  </EventData>
</Event>


日志名称:          Microsoft-Windows-SmbClient/Connectivity
来源:            Microsoft-Windows-SMBClient
日期:            2014/12/11/星期四 19:24:26
事件 ID:         30800
任务类别:          无
级别:            错误
关键字:           (64)
用户:            SYSTEM
计算机:           QRSOMTRKG
描述:
服务器名称无法解析。

错误: 无法找到对象。

服务器名称: WIN-NQF48D65Q9A

指导:
客户端无法解析 DNS 或 WINS 中的服务器地址。此问题通常会在将计算机加入域后立即显现，因为此时客户端的 DNS 注册可能尚未传播到所有 DNS 服务器。当指向主 DNS 本身的 DNS 服务器(例如域控制器)上的系统启动时，也可能发生此事件。你应当使用 IPCONFIG /ALL 和 NSLOOKUP 验证此计算机上的 DNS 客户端设置。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-SMBClient" Guid="{988C59C5-0A1C-45B6-A555-0C62276E327D}" />
    <EventID>30800</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x400000000000040</Keywords>
    <TimeCreated SystemTime="2014-12-11T11:24:26.514656300Z" />
    <EventRecordID>7</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="420" />
    <Channel>Microsoft-Windows-SmbClient/Connectivity</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="Reason">1</Data>
    <Data Name="Status">3221226021</Data>
    <Data Name="ServerNameLength">15</Data>
    <Data Name="ServerName">WIN-NQF48D65Q9A</Data>
  </EventData>
</Event>

日志名称:          Microsoft-Windows-SMBServer/Operational
来源:            Microsoft-Windows-SMBServer
日期:            2014/12/11/星期四 19:17:34
事件 ID:         1027
任务类别:          (1027)
级别:            信息
关键字:           (8)
用户:            SYSTEM
计算机:           WIN-DFUEV1JBHOG
描述:
文件和打印机共享防火墙端口当前处于关闭状态。这是没有共享内容或位于公用网络的系统的默认配置。

指导:

若 Windows 防火墙未配置为启用文件和打印机共享规则，从而允许入站 SMB 流量，则可能会发生此事件。此事件会在没有配置自定义共享的计算机上发生。客户端无法访问此计算机上的 SMB 共享，除非允许 SMB 流量通过防火墙。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-SMBServer" Guid="{D48CE617-33A2-4BC3-A5C7-11AA4F29619E}" />
    <EventID>1027</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>1027</Task>
    <Opcode>0</Opcode>
    <Keywords>0x2000000000000008</Keywords>
    <TimeCreated SystemTime="2014-12-11T11:17:34.985635700Z" />
    <EventRecordID>1</EventRecordID>
    <Correlation />
    <Execution ProcessID="860" ThreadID="1304" />
    <Channel>Microsoft-Windows-SMBServer/Operational</Channel>
    <Computer>WIN-DFUEV1JBHOG</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <UserData>
    <EventData xmlns="Smb2Namespace">
    </EventData>
  </UserData>
</Event>


日志名称:          Microsoft-Windows-SMBServer/Operational
来源:            Microsoft-Windows-SMBServer
日期:            2014/12/13/星期六 19:37:07
事件 ID:         1027
任务类别:          (1027)
级别:            信息
关键字:           (8)
用户:            SYSTEM
计算机:           QRSOMTRKG
描述:
文件和打印机共享防火墙端口当前处于关闭状态。这是没有共享内容或位于公用网络的系统的默认配置。

指导:

若 Windows 防火墙未配置为启用文件和打印机共享规则，从而允许入站 SMB 流量，则可能会发生此事件。此事件会在没有配置自定义共享的计算机上发生。客户端无法访问此计算机上的 SMB 共享，除非允许 SMB 流量通过防火墙。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-SMBServer" Guid="{D48CE617-33A2-4BC3-A5C7-11AA4F29619E}" />
    <EventID>1027</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>1027</Task>
    <Opcode>0</Opcode>
    <Keywords>0x2000000000000008</Keywords>
    <TimeCreated SystemTime="2014-12-13T11:37:07.356951900Z" />
    <EventRecordID>172</EventRecordID>
    <Correlation />
    <Execution ProcessID="1032" ThreadID="1828" />
    <Channel>Microsoft-Windows-SMBServer/Operational</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <UserData>
    <EventData xmlns="Smb2Namespace">
    </EventData>
  </UserData>
</Event>


日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2015/1/3/星期六 21:24:46
事件 ID:         4670
任务类别:          授权策略更改
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           QRSOMTRKG
描述:
已更改对象权限。

使用者:
        安全 ID:                SYSTEM
        帐户名:                QRSOMTRKG$
        帐户域:                WORKGROUP
        登录 ID:                0x3E7

对象:
        对象服务器:        Security
        对象类型:        Token
        对象名:        -
        句柄 ID:        0xf8c

进程:
        进程 ID:        0x444
        进程名:        C:\Windows\System32\svchost.exe

权限更改:
        原始安全描述符:        D:(A;;GA;;;SY)(A;;GA;;;LS)
        新安全描述符:        D:(A;;GA;;;SY)(A;;RC;;;OW)(A;;GA;;;S-1-5-87-632797755-2961095303-2128297780-1054304204-672148691)(A;;GA;;;S-1-5-87-3593511441-3848732094-2458673687-3306012413-2467119456)(A;;GA;;;S-1-5-87-1469317444-2401623638-2778953283-1691679301-3481717153)(A;;GA;;;S-1-5-87-1990970548-589041977-4026041562-2928935477-2389476198)(A;;GA;;;S-1-5-87-656949183-1300683849-1020983506-3661660505-3706787436)(A;;GA;;;S-1-5-87-3927079284-1085944716-2389029323-299627631-382947820)(A;;GA;;;S-1-5-87-2779054102-784940720-2315032518-2135690191-2328346983)(A;;GA;;;S-1-5-87-4187582573-1469058005-1770116723-2311136708-346636646)(A;;GA;;;S-1-5-87-2707664658-1767914284-2357009017-3800391770-2754634122)(A;;GA;;;S-1-5-87-3116172703-1658814924-625887376-862242379-2155497643)(A;;GA;;;S-1-5-87-1553276886-135908026-2627203822-1235947754-2597323533)
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4670</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>13570</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2015-01-03T13:24:46.540145700Z" />
    <EventRecordID>89229</EventRecordID>
    <Correlation />
    <Execution ProcessID="696" ThreadID="704" />
    <Channel>Security</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">QRSOMTRKG$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="ObjectServer">Security</Data>
    <Data Name="ObjectType">Token</Data>
    <Data Name="ObjectName">-</Data>
    <Data Name="HandleId">0xf8c</Data>
    <Data Name="OldSd">D:(A;;GA;;;SY)(A;;GA;;;LS)</Data>
    <Data Name="NewSd">D:(A;;GA;;;SY)(A;;RC;;;OW)(A;;GA;;;S-1-5-87-632797755-2961095303-2128297780-1054304204-672148691)(A;;GA;;;S-1-5-87-3593511441-3848732094-2458673687-3306012413-2467119456)(A;;GA;;;S-1-5-87-1469317444-2401623638-2778953283-1691679301-3481717153)(A;;GA;;;S-1-5-87-1990970548-589041977-4026041562-2928935477-2389476198)(A;;GA;;;S-1-5-87-656949183-1300683849-1020983506-3661660505-3706787436)(A;;GA;;;S-1-5-87-3927079284-1085944716-2389029323-299627631-382947820)(A;;GA;;;S-1-5-87-2779054102-784940720-2315032518-2135690191-2328346983)(A;;GA;;;S-1-5-87-4187582573-1469058005-1770116723-2311136708-346636646)(A;;GA;;;S-1-5-87-2707664658-1767914284-2357009017-3800391770-2754634122)(A;;GA;;;S-1-5-87-3116172703-1658814924-625887376-862242379-2155497643)(A;;GA;;;S-1-5-87-1553276886-135908026-2627203822-1235947754-2597323533)</Data>
    <Data Name="ProcessId">0x444</Data>
    <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data>
  </EventData>
</Event>


日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2015/1/3/星期六 21:21:43
事件 ID:         5058
任务类别:          其他系统事件
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           QRSOMTRKG
描述:
密钥文件操作。

使用者:
        安全 ID:                SYSTEM
        帐户名称:                QRSOMTRKG$
        帐户域:                WORKGROUP
        登录 ID:                0x3E7

加密参数:
        提供程序名称:        Microsoft Software Key Storage Provider
        算法名称:        UNKNOWN
        密钥名称:        6FC-54A7ECE745534591-NodSSL
        密钥类型:        计算机密钥。

密钥文件操作信息:
        文件路径:        C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\21974b013bad8b662fe379fede262ea4_6e109a60-601c-43bb-81d8-b370bc9a42cc
        操作:        从文件中读取保留的密钥。
        返回代码:        0x0
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>5058</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12292</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2015-01-03T13:21:43.269656400Z" />
    <EventRecordID>89188</EventRecordID>
    <Correlation />
    <Execution ProcessID="696" ThreadID="3404" />
    <Channel>Security</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">QRSOMTRKG$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data>
    <Data Name="AlgorithmName">UNKNOWN</Data>
    <Data Name="KeyName">6FC-54A7ECE745534591-NodSSL</Data>
    <Data Name="KeyType">%%2499</Data>
    <Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\21974b013bad8b662fe379fede262ea4_6e109a60-601c-43bb-81d8-b370bc9a42cc</Data>
    <Data Name="Operation">%%2458</Data>
    <Data Name="ReturnCode">0x0</Data>
  </EventData>
</Event>


日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2015/1/3/星期六 21:21:43
事件 ID:         5061
任务类别:          系统完整性
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           QRSOMTRKG
描述:
加密操作。

使用者:
        安全 ID:                SYSTEM
        帐户名称:                QRSOMTRKG$
        帐户域:                WORKGROUP
        登录 ID:                0x3E7

加密参数:
        提供程序名称:        Microsoft Software Key Storage Provider
        算法名称:        RSA
        密钥名称:        6FC-54A7ECE745534591-NodSSL
        密钥类型:        计算机密钥。

加密操作:
        操作:        打开密钥。
        返回代码:        0x0
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>5061</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12290</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2015-01-03T13:21:43.269656400Z" />
    <EventRecordID>89189</EventRecordID>
    <Correlation />
    <Execution ProcessID="696" ThreadID="3404" />
    <Channel>Security</Channel>
    <Computer>QRSOMTRKG</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">QRSOMTRKG$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data>
    <Data Name="AlgorithmName">RSA</Data>
    <Data Name="KeyName">6FC-54A7ECE745534591-NodSSL</Data>
    <Data Name="KeyType">%%2499</Data>
    <Data Name="Operation">%%2480</Data>
    <Data Name="ReturnCode">0x0</Data>
  </EventData>
</Event>

#R4375wf2

lxxchina 发表于 2015-1-3 21:59
说了这么多，为什么不直接重新安装个系统试试呢？基本断定是系统或者软件的问题。

我担心系统做完还照旧，上次遇到过一次把硬盘低格了都不行最后也不知道别人给咋弄了，是朋友的小舅子回日本了。也是从装一遍看看再说吧