瑞星卡卡安全论坛

有些病毒/木马感染系统后，会破注册表中杀软的服务项（木马NtDhcp.exe就是一个典型的例子），导致杀软不能启动加载或监控不能打开。
瑞星用户遇到这种情形，可以检查一下注册表相关键值。若发现这些键值被改动了，自己动手，改过来即可。

瑞星杀软启动涉及的注册表键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BaseTDI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ExpScaner
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookCont
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookReg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookUrl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon（瑞星的监控）
正常情况下，以上各键的Start键值均为：
"Start"=dword:00000002

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
正常情况下，RavTask的键值为：
"RavTask"="\"C:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system"

直接从服务那里进行修改可以么？

引用:

【天下奇才的贴子】直接从服务那里进行修改可以么？ ...........................

没试过。
目前，出问题最多的是下面这两个的start值被篡改：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon

注册表是在哪个文件里？

谢~~~
是否可以把这些加到SSM的注册表监控里？？

引用:

【weia的贴子】注册表是在哪个文件里？ ...........................

注册表在系统目录里~~
想要打开它可以这样~~~
开始  》 运行 》输入  Regedit.exe  》确定

引用:

【影子110的贴子】 谢~~~ 是否可以把这些加到SSM的注册表监控里？？ ...........................

可以
最好这样做

把注册值导出做附件

收了~

学习了.

看不懂啊:(

我的机子也是上面的问题...搞了半天还是不会...
难不成要我系统重新装??不要啊...
哪位995....

杀毒软件被病毒禁用了，这样不太好吧

引用:

【大大的月饼的贴子】杀毒软件被病毒禁用了，这样不太好吧 ...........................

不好也不行了~~
这些木马就喜欢修改杀软的启动项，，，

我看过了数值和上面的一样但就是打不开监控!而且我也从新装了瑞星

好!!!!
楼主.版主的方法好!!!
我连续2次都是用楼主的方法解决的!
好!!!!!!!!!!!!!!!!
谢谢!!!!!!!!!!!!!!!!!!!!!!!!

还有.在线技术支持版,太多人也问这问题,我把楼主你的帖,转过去了~`
希望不要告我侵权^-^...^-^

问一个很菜的问题.怎么进入瑞星杀软启动涉及的注册表
以及注册表键值怎么修改呢

顶上来给大家看吧。

我的机子杀软“内存监控”打不开，注册表里没有“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookUrl”
这一项，自己又不会建，我的QQ是369084178，哪位大侠把这一项的注册表信息传给我，不甚感激啦！

一起看看吧

引用:

【baohe的贴子】 可以 最好这样做 ...........................

还是不会操作，怎么加？

引用:

【老呆呆呀的贴子】问一个很菜的问题.怎么进入瑞星杀软启动涉及的注册表 以及注册表键值怎么修改呢 ...........................

开始  》 运行 》输入  Regedit.exe  》确定

如果是XP系统按主帖中的路径找到即可，

引用:

【956722的贴子】我的机子杀软“内存监控”打不开，注册表里没有“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookUrl” 这一项，自己又不会建，我的QQ是369084178，哪位大侠把这一项的注册表信息传给我，不甚感激啦！ ...........................

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
这项是瑞星监控可能用到的注册项~~
你看看它是否有问题~~？

引用:

【温柔勾魂使的贴子】 还是不会操作，怎么加？ ...........................

一，你是否有SSM
二，如果有，你可以参考下帖
SSM的保护与设置[原创]
http://forum.ikaka.com/topic.asp?board=28&artid=7781820

三，如果还没有，去网上搜一下吧~~（不过，现在SSM的版本已经开始收费了~~）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BaseTDI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ExpScaner
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookCont
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookReg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookUrl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon（瑞星的监控）
正常情况下，以上各键的Start键值均为：
"Start"=dword:00000002
这几项的键值都是2就是了吧?不可能改成上面"Start"=dword:00000002那么多字啊.

引用:

【956722的贴子】我的机子杀软“内存监控”打不开，注册表里没有“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookUrl” 这一项，自己又不会建，我的QQ是369084178，哪位大侠把这一项的注册表信息传给我，不甚感激啦！ ...........................

兄弟  握个手    我也是缺这一项    也是内存监控打不开
不知你可解决了否？

【回复“黑灯黑火”的帖子】
我的注册表编辑器了这个内容怎么没有呢？\Services\RsRavMon

引用:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 正常情况下，RavTask的键值为： "RavTask"="\"C:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system" ...........................

我为什么在注册表里面找不到这个键值呀？？怎么办？

引用:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 正常情况下，RavTask的键值为： "RavTask"="\"C:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system" ...........................

我为什么在注册表里面找不到这个键值呀？？怎么办？

谁+我QQ教教偶啊 谢谢拉~~~ QQ360588264 麻烦哟~~~~