瑞星卡卡安全论坛

为了不让你太累,我先传启动项目..有不懂的我会问,表嫌我烦.我菜
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
    <IDMan><C:\Program Files\Internet Download Manager\IDMan.exe /onboot>  [Internet Download Manager Corp., Tonec Inc. ]
    <eMuleAutoStart><C:\Program Files\eMule\emule.exe -AutoStart>  [http://www.emule.org.cn]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <nod32kui><"C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE>  [Eset ]
    <Zone Labs Client><"C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe">  [(Verified)Zone Labs, LLC]
    <!ewido><"C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized>  [Anti-Malware Development a.s.]
    <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  [N/A]
    <Cmaudio><; RunDll32 cmicnfg.cpl,CMICtrlWnd>  [N/A]
    <SoundMam><; C:\WINDOWS\system32\SVOHOST.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\Userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{57B86673-276A-48B2-BAE7-C6DBB3020EB8}><C:\Program Files\ewido anti-spyware 4.0\shellexecutehook.dll>  [Anti-Malware Development a.s.]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\System Safety Monitor]
    <WinlogonNotify: System Safety Monitor><SSMWinlogonEx.dll>  [(Verified)System Safety Limited]

启动项目里[N/A]
的符号为空是吗?那么也就是说这句
<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k> [N/A]
<Cmaudio><; RunDll32 cmicnfg.cpl,CMICtrlWnd> [N/A]
<SoundMam><; C:\WINDOWS\system32\SVOHOST.exe> [N/A]

svohost.exe起作用吗?

有点不对,SVOHOST是什么?应该是SVCHOST是系统进程,但是SVOHOST是什么不太清楚,有点奇怪.

病毒项：
<SoundMam><; C:\WINDOWS\system32\SVOHOST.exe> [N/A]
检查System Safety Monitor设置

谢谢楼上两位朋友..
SVOHOST确实病毒.但源文件已经被删除.注册表项里还残留有.
没有删除..所以我就想问下[N/A]的含义是否是没有没有起
作用或者为空的意思

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
这个CLSID值很奇怪..没有明确注释..然后我在注册表搜索该值发现如下内容.贴上大家参考下
[HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}]
@="URL 执行挂钩"

[HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"

正常

那么日志里[N/A]到底如何理解呢?

再次感谢高歌猛进

引用:

【dumps的贴子】那么日志里[N/A]到底如何理解呢? 再次感谢高歌猛进 ………………

[N/A]表示没有此程序的相关信息或资料

呵呵.谢谢啊..终于能明白的把启动项全看完了.呵呵

服务
[ewido anti-spyware 4.0 guard / ewido anti-spyware 4.0 guard]
  <C:\Program Files\ewido anti-spyware 4.0\guard.exe><Anti-Malware Development a.s.>
[Human Interface Device Access / HidServ]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[NOD32 Kernel Service / NOD32krn]
  <"C:\Program Files\Eset\nod32krn.exe"><Eset>
[TrueVector Internet Monitor / vsmon]
  <C:\WINDOWS\system32\ZONELABS\vsmon.exe -service><Zone Labs, LLC>
这个应该没有问题吧?

能不能一次把日志贴完？能不能不要加颜色？

引用:

【水树雨下的贴子】能不能一次把日志贴完？能不能不要加颜色？ ………………

我以为这样大家可以看的舒服点.

SoundMam><; C:\WINDOWS\system32\SVOHOST.exe> 这个肯定是病毒

你安装了nod32这个杀毒软件？

C:\WINDOWS\system32\ZONELABS\vsmon.exe -service这个如果也是你安装的某些东西，那也没有问题

引用:

【UFO不幸外人的贴子】SoundMam><; C:\WINDOWS\system32\SVOHOST.exe> 这个肯定是病毒 你安装了nod32这个杀毒软件？ C:\WINDOWS\system32\ZONELABS\vsmon.exe -service这个如果也是你安装的某些东西，那也没有问题 ………………

恩.是的NOD32+ZON的防火墙

那就没有问题