瑞星注册表启动项{32CD708B-60A7-4C00-9377-D73EAA495F0F}能删吗 bbs.ikaka.com

shdyantai - 2008-12-6 15:37:00

瑞星注册表启动项{32CD708B-60A7-4C00-9377-D73EAA495F0F}能删吗

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

帅哥阿福 - 2008-12-6 15:40:00

楼主从哪里发现的这个键值的？位置是在哪里？
能否将注册表中的位置截图发到这里来？

aaccbbdd - 2008-12-6 16:27:00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [(Verified)Beijing Rising Information Technology Corporation Limited]

“ShellExecuteHook”=“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]”
壳执行钩子

如删除
会导致瑞星功能异常

piao2008 - 2008-12-6 16:39:00

研究了一下发现瑞星是这样实现的：
1、注册了一个ShellExecuteHooks，通过钩子挂接文件的打开操作。
2、具体的扩展名检查由%systemroot%\system32\ravext.dll完成。
3、直接使用程序打开文件也会失效。

缺点：
1、可能会导致文件打开效率上的降低。
2、严重的BUG会导致系统不能打开被检查的文件。

保护的去除：
打开注册表编辑器，定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks，删除{32CD708B-60A7-4C00-9377-D73EAA495F0F}键值就可以了。

之后会报出Rising AntiVirus提示:The file C:\sample.exe.log that you are trying to open contians two extension names.log will be executed actually.Are you sure to open?

瑞星卡卡安全论坛