引用:

【雨中喷泉的贴子】为什么说ctfmon.exe被病毒替换掉了呢？ 那么就是因为它在启动项里，还是什么别的原因？ 天月来了，能说说么？ ………………

从下面项，可看出系统文件ctfmon.exe已被病毒替换，
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> []

因为从这个看：
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> []

那红的部分看，已没微软的标志了，是个未知的。

同时观察到：
驱动程序
[phy / phy][Running/Manual Start]
<\??\C:\WINDOWS\system32\DRIVERS\phy.sys><N/A>

呵呵！！机器狗的驱动哦。所以更确定了啦。