12   1  /  2  页   跳转

麻烦高手看下

收藏
silences
头像
健康舞勺狮
  • 帖子:235
  • 注册: 2008-01-10
  • 来自:
发表于: 2008-01-23 17:40 | 只看楼主 短消息 资料
字号: 1楼

麻烦高手看下

我在虚拟机下 测试机器狗样本  病毒是清除完了  但有一个地方  始终没弄明白
注册表启动项<Userinit><C:\WINDOWS\system32\UserInit.exe,>  [(Verified)]
这个USERINIT.EXE  我直接从正常电脑上拷了一个过来  把原来的删除了  重启后
日志显示  USERINIT.EXE后面还有一个逗号  不知道是咋回事
上传日志 麻烦看下

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

下载次数:91
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-23 17:40:00
描述:

最后编辑2008-01-23 19:23:58
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-01-23 17:42 | 短消息 资料
字号: 2楼



那个地方必须要有那逗号。

你的系统好爽啊
gototop
 
silences
头像
健康舞勺狮
  • 帖子:235
  • 注册: 2008-01-10
  • 来自:
发表于: 2008-01-23 17:44 | 只看楼主 短消息 资料
字号: 3楼

正常?
一般不是都没那逗号么
系统爽?  里面几乎没啥东东 
测样本用的.....
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-23 17:48 | 短消息 资料
字号: 4楼

正常的是有那个逗号的
gototop
 
silences
头像
健康舞勺狮
  • 帖子:235
  • 注册: 2008-01-10
  • 来自:
发表于: 2008-01-23 17:49 | 只看楼主 短消息 资料
字号: 5楼

OK  那就搞定了  谢谢
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-01-23 17:50 | 短消息 资料
字号: 6楼

引用:
【silences的贴子】正常?
一般不是都没那逗号么
系统爽?  里面几乎没啥东东 
测样本用的.....
………………

如果没那逗号,当有什么鸟程序要往那项折腾附加启动文件时,系统启动时会读注册表读糊涂的。

呵呵!!!

为了分隔需要附加的另外启动程序 用的。

当然了,现在除病毒,一般没什么软件会往那里塞东西的。

不过往那里塞病毒启动的病毒,也不容易见了,毕竟不怎么好玩。
gototop
 
lskyz
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2008-01-23
  • 来自:
发表于: 2008-01-23 17:51 | 短消息 资料
字号: 7楼

對的
那個是後綴
gototop
 
silences
头像
健康舞勺狮
  • 帖子:235
  • 注册: 2008-01-10
  • 来自:
发表于: 2008-01-23 17:52 | 只看楼主 短消息 资料
字号: 8楼

搞定   最好  再次鄙视下  写这个东东的人
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-01-23 17:53 | 短消息 资料
字号: 9楼

引用:
【silences的贴子】搞定   最好  再次鄙视下  写这个东东的人
………………

8至于吧

人家弄那些,也是为生活嘛。
gototop
 
silences
头像
健康舞勺狮
  • 帖子:235
  • 注册: 2008-01-10
  • 来自:
发表于: 2008-01-23 17:59 | 只看楼主 短消息 资料
字号: 10楼

引用:
【天月来了的贴子】
8至于吧

人家弄那些,也是为生活嘛。
………………

害人的东东  坚决鄙视到底  并且对抗到底
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT