【求助】请大家帮看看这个msnsgs.exe到底是什么
从网上下载了一个PDF编辑器,FoxitPDFEditor,下载链接如下:
http://5.shdx1.crsky.com/200710/FoxitPDFEditor201011-LDR.rar
安装时会在临时文件夹与system32文件夹生成msnsgs.exe,同时瑞星弹出如下告警:
瑞星系统加固发现程序注册表访问违规
应用程序信息
文件名:D:\DOCUME~1\OWNER\LOCALS~1\TEMP\MSNSGS.EXE
版本:
厂商:
PID: 3660 TID: 3068
动作目标:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\USERINIT.EXE\
动作:注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\USERINIT.EXE\
创建键:
规则信息
名称:应用程序劫持项(IFEO)
描述:
应用程序劫持项。当该键下某子键名的进程试图加载时,系统会自动创建该子键下 Debugger 键值所指定的进程,并将加载的文件名作为参数传递给 Debugger 键值指定的进程。恶意程序可以利用该键值实现自动运行,或阻止一些正常软件运行。
对应注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
2007-11-24 18:59:01
经过观察,msnsgs.exe在生成时即自动运行,重启后也会自动运行,但是在启动项或系统服务项均找不到其踪影。
瑞星杀毒检测无告警,NOD32检测无告警,卡卡上网助手、360卫士、恶意软件清理助手均检测不出来。
Wopti流氓软件清除大师可以检测并清除,但是清除时仅清除msnsgs.exe,未对其生成的注册表值进行处理。
其实msnsgs.exe也可以通过任务管理器终止,终止后可以删除。
但是删除了system32目录下的msnsgs之后,下次进入系统,登录用户时就会立即自动注销,无法正常进入系统。安全模式下也一样,用户登录即注销。无奈只能恢复备份的Ghost镜像。
恢复镜像后又测试了一次,这次在删除msnsgs.exe之后,将其生成的注册表项也一起删除。然而重启后仍然向第一次一样,登录即注销,安全模式也无效。最后只能恢复Ghost镜像。
后来到官方主页下载了另一个,不再出现此现象。怀疑是最早下载的文件已经被修改了,但是实在不明这个msnsgs.exe到底是什么东西。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
