【回复“水树雨下”的帖子】
是啊。应该说说保护。

通常驱动那项要辅助autoruns以及google等分析！

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]

这个。。。。

每回都靠一条条查日志也不好玩,很

谢谢

进程列表（表一）（只是简略说明，详细说明请自己查找，你会学习得更多）
进程名  svchost.exe  路径 c:\windows\system32\  说明  服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 ctfmon.exe 路径 c:\windows\system32\ 说明 输入法辅助文件。

进程名 winlogon.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 csrss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 services.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 smss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 lsass.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 alg.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 spoolsv.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 explorer.exe 路径 c:\windows\ 说明 系统桌面文件，大部分DLL病毒会集中在这里

说明，以上是部分系统基本进程，一个完整的SP2按照后是18个进程左右（不同版本进程数量不同）。注意路径，若路径有问题，90%

是病毒

进程名 ccenter.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravmon.exe 路径 瑞星所安装的文件夹 说明 瑞星，会被病毒利用

进程名 ravmond.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravstub.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravtask.exe 路径 瑞星所安装的文件夹 说明 瑞星

软件启动项列表（表二）（希望有人可以提供，我只知道有启动项，但是我这里不知道具体内容，我会尽量在卡卡里面寻找）
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下面的软件

超级兔子
<Super Rabbit IEPro><C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD> [Super Rabbit Soft]

MSN Messenger
<MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background>  [(Verified)Microsoft Corporation]（安装系统后的基本设置）

Google工具栏

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面的软件

微软拼音
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]

暴风影音
<StormCodec_Helper><"C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti>

NVIDIA显卡
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [(Verified)NVIDIA Corporation]

声卡


摄像头（不同品牌的不同）
<BigDog305><C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)>

超级解霸


瑞星杀毒软件
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.]

瑞星个人防火墙
<RfwMain><"F:\Rising\Rfw\rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.]

卡卡上网助手
<runeip><C:\Program Files\Rising\KakaToolBar\runiep.exe> [Beijing Rising Technology Co., Ltd.]

金山毒霸


江民杀毒软件


Emule


金山词霸


Nero
<NeroFilterCheck><C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe> [Ahead Software Gmbh]


Real系列
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [(Verified)RealNetworks, Inc.]

酷狗
<KuGoo3><E:\Program Files\KuGoo3\KuGoo.exe> [N/A]

腾讯搜搜
<stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe> [Tencent]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的软件

瑞星杀毒软件
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]

服务列表（表三）（只说明除微软以外的，希望有人帮我补充）

正常
不明，但是正常
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

NVIDIA显卡
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
  <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>

瑞星杀毒软件
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
  <"C:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

VMware虚拟机
[VMware Authorization Service / VMAuthdService][Running/Auto Start]
  <C:\Program Files\VMware\VMware Workstation\vmware-authd.exe><VMware, Inc.>
[VMware DHCP Service / VMnetDHCP][Running/Auto Start]
  <C:\WINDOWS\system32\vmnetdhcp.exe><VMware, Inc.>
[VMware Virtual Mount Manager Extended / vmount2][Running/Auto Start]
  <"C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe"><VMware, Inc.>
[VMware NAT Service / VMware NAT Service][Running/Auto Start]
  <C:\WINDOWS\system32\vmnat.exe><VMware, Inc.>

金山毒霸


江民杀毒软件


病毒服务

服务对应路径：C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start
其中病毒文件在C:\WINDOWS\system32\windhcp.ocx

服务对应路径：C:\WINDOWS\system32\\rundll32.exe windds32.dll,input
其中病毒文件在C:\WINDOWS\system32\windds32.dll

SRE扫描结果：
[Win32 DHCP Service / Win32DHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe windhcp.dll,start><Microsoft Corporation>
服务对应路径：C:\WINDOWS\system32\rundll32.exe windhcp.dll,start
其中病毒文件在C:\WINDOWS\system32\windhcp.dll

SRE扫描结果：
[ZT Massacre / ZTmassacre][Running/Auto Start]
  <C:\WINDOWS\help\ZTpass.exe><N/A>
服务对应路径：C:\WINDOWS\help\ZTpass.exe
其中病毒文件在C:\WINDOWS\help\ZTpass.exe

SRE扫描结果：
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input><Microsoft Corporation>
服务对应路径：C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input
其中病毒文件在C:\WINDOWS\system32\xpdhcp.dll

驱动列表（表四）（我对驱动也不是非常了解，只介绍某些非正常的，我会不断更新）

Trojan.Agent.bav释放的Trojan.PSW.LMir.jsk
病毒驱动对应路径：C:\WINDOWS\system32\drivers\npf.sys

Trojan.Agent.dex
病毒驱动对应路径：C:\WINDOWS\system32\drivers\KSDT1983.sys

UFO 我把一个病毒样本发到你邮箱了 呵呵