瑞星卡卡安全论坛

我们看到这里没有记录rfwsrv.exe，services.exe，winlogon.exe是被谁启动的，其中rfwsrv.exe后来又被services.exe作了启动。可以看出rfwsrv.exe启动RfwMain.exe应该是退出了，而后又被services.exe启动。
我记得我用08版瑞星记录程序启动情况，印象中winlogon.exe是被services.exe启动。所以在winlogon.exe加载组策略前的情况未被记录。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

感谢lz分享，要是能讲解的更详细一些就好了呵呵`

你可以在注册表如图所示位置新建字符串值，数据值可以是任意路径文件名，系统会自动创建指定文件的。
你给这个文件创建个快捷方式，以后点击这个快捷方式打开这个文件就可以看到程序启动关系，以何种权限运行。通过这个文件可以很容易发现双进程守护的病毒。

看不出楼主要说什么!与标题也文不对题.,:default8: :default8: 晕死人了.