瑞星卡卡安全论坛

卡卡助手有一项功能非常强大——系统启动项管理,假如你拥有一定的可疑文件启动项分析水平,使用该项功能你将能自己发现、处理未知病毒。
  假如你是个新手，有个比较好奇的心，请看下文：

引言：
    本文适合新手、老菜鸟等，旨在抛砖引玉，希望高手能指出不足，新手能有所收获。
在卡卡助手区,发现比较多的关于卡卡助手的“奇怪现象”,其中有些帖有流氓、病毒的影子，希望大家看了这篇帖子之后能有所帮助，发现“奇怪现象”的原因，揪出“作怪”的恶意文件。


注明:因为卡卡助手的系统启动项功能很强大,错误操作可能会带来很严重的后果,所以,希望大家找出可疑启动项之后,最后是帖出日志或者是截图帖上来,大家分析之后再执行:禁止\删除操作,切记!

卡卡助手系统启动项管理界面：

“编辑、工作区”——可以执行“删除”、“禁止”、“跳转到”、“属性”等功能。

“属性区”——提供“文件名”、“大小”、“公司签名”、“创建时间”等信息，

“启动项菜单”——使用启动项菜单可以针对“某一版块”进行分析，节约时间、提高分析效率及准确性。

登录项:

一般可疑文件的文件名比较特殊,如:svch0st.exe,iexpl0rer.exe,winl0gon.exe等。

他们还有一个特征：没有描述、没有公司签名。一般呈灰蓝显示。

如下图，一般正常程序都具有公司签名及描述。

假如没有则可以列为可疑文件。

可疑文件处理办法：

1、是自己利用百度搜索，一般的可疑文件都能搜索得到相关信息。

2、扫描日志，帖到反病毒，请反病毒高手分析。

3、截屏，帖上图片，大家一块分析。

4、对于已经确定是可疑文件的，可以禁止或删除。（禁止即是指取消前面小方框的“√”）
 









附件: 7699182007720165106.jpg

登录项扫描了比较多的注册表启动项,能通过这个"版块"发现大部分可疑文件的踪影:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

这个分支下面的可疑文件比较少

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]

这个分支下面可以发现可疑文件踪影

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

这个分支下面默认是:

C:\WINDOWS\system32\UserInit.exe,

假如","后面加了一个文件名,反病毒区曾有人说过:那100%是病毒。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

这个分支下面病毒比较多，木马下载器们很喜欢这个地方。一般观察此分支之前，请先使用卡卡助手的隐私保护，清理一下Windows临时文件夹。

一般情况下的这分支的图标都是上面是蓝色，下面是白色的（普通程序的图标），清理临时文件夹之后，假如发现图标不同（不能打开的格式图标），则很可能是木马的启动项，这时可以禁止或删除。
PS：假如打开电脑弹出一个出错框，不妨在这找找有没有不能“打开格式的图标”？

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

和上面那条分析情况分支差不多。

[C:\Documents and Settings\Administrator\「开始」菜单\程序\启动]

这条下面一般是QQ或者是Adobe开头的文件。可疑文件在这创建快捷方式的比较少（恶作剧软件除外，恶作剧软件比较喜欢安些奇怪的名字：windows等）

[C:\WINDWOS\SYSTEM.INI]

此分支下比较少发现可疑文件，若此项呈红色显示，则代表危险！




附件: 7699182007720172018.jpg

因为可疑文件比较青睐“服务项”所以提前说明：

服务项比较好区别：

没有说明、描述的一般都可以列入分析视线。

一般可疑文件有以下几个特征，假如拥有其中的一个特征都有可能是可疑文件：

文件名随机的、描述和公司和名字都是一样的或者是空的；

遇到此类可疑文件，可以通过搜索文件名、截图或者请求大家帮忙分析来排除。

附件: 7699182007720173322.jpg

应用程序劫持项，是比较多恶意病毒喜欢使用的。

一般默认分支下只有一行的，如图：

假如有很多.dll  .exe结尾的程序，则说明这些程序被劫持了。

解除劫持就是：删除掉这些程序。（PS：虽然很累~）

附件: 7699182007720173628.jpg

引导执行，一般比较少。

假如有可疑文件的话，一般会呈红色显示；

默认如图：

附件: 7699182007720174000.jpg

登录通知项，在这里登录的病毒比较少，这里一般都是微软使用的地方。

一般都具有微软的签名，假如没有签名则很有可能是可疑文件。

PS：曾经在这里发现过“盗版验证”的启动项，曾实践过，是可以禁止五角星启动的。



附件: 7699182007720180744.jpg

Winsock 服务提供者(LSP)

假如无法上网的话，可以看看这里是不是红色显示？

修复办法：

使用高级功能中的“IE及系统修复”修复。

附件: 7699182007720181154.jpg

IE插件和资源管理器插件类似，一般在此项的都是下载工具等。
假如不是下载工具，说明及公司签名都是值得怀疑的




资源管理器插件

一般比较少恶意程序，但多恶意插件。

此分支多数是微软的插件（拥有微软的数字签名），呈白蓝显示，其它比较多见的常用插件有：

RAR、7Z等解压软件。（一般是灰蓝显示）。

如图：

附件: 7699182007720182625.jpg

驱动

因为此版块的文件名比较随便，所以，一般只能通过路径、描述、数字签名来判断。

一般值得关注的是灰蓝显示的，因为是驱动，所以很多灰蓝的项目大多是显卡或主板光驱等驱动，假如具有一定的硬件知识，那就比较好区分了。

PS：因为是驱动，所以一般不推荐直接禁止甚至删除。

发现可疑项目，推荐到“数码硬件”或者“反病毒区”请高手人确认，方可禁止，假如禁止之后重启，一切正常就可以删除了。

不慎禁止或删除驱动，从而直接造成系统无法启动的情况，急救办法：

开机按住F8直到出现启动菜单，这时选择：

最后一次正确配置

一般情况下等大概十几二十分钟，就能恢复了。

（此方法适合大部分因为错误操作卡卡助手删除重要项目，而造成系统崩溃的情况。）


附件: 7699182007720183705.jpg

楼主辛苦,领教了
ps:支持LZ成为本版版主

谢谢支持

好东西，谢谢！！！！

不错，支持一下。

谢谢楼主的分享，我会仔细阅读的，辛苦了。谢谢！！！

不错，支持一下。

注明:因为卡卡助手的系统启动项功能很强大,错误操作可能会带来很严重的后果,所以,希望大家找出可疑启动项之后,最后是帖出日志或者是截图帖上来,大家分析之后再执行:禁止\删除操作,切记!




不慎禁止或删除驱动，从而直接造成系统无法启动的情况，急救办法：

开机按住F8直到出现启动菜单，这时选择：

最后一次正确配置

一般情况下等大概十几二十分钟，就能恢复了。

（此方法适合大部分因为错误操作卡卡助手删除重要项目，而造成系统崩溃的情况。）

谢谢楼主,我很有收获

不错，支持一下。

大家帮我看看像我这样的蓝灰的怎么处理.

附件: 9413222007912141245.bmp

先把瑞星和微软的都隐藏了，然后截图的时候把路径显示出来

我把卡卡 勾去掉了  现在卡卡打不开界面  卡卡卸了重装也没用 安全模式下也打不开  能救吗  :default8:

楼主是个信息的人。

楼主加QQ试试:476186923