支持，顶一下。

<?xml version="1.0" ?>
- <ALLData>
  <XmlInfo Ver="0">AppControl</XmlInfo>
- <Data>
- <Rule IsModify="1" UserActive="1" Rising="0" ProcessID="2126386893">
  2A
  <FileRule />
- <RegRule>
- <Reg IsKey="1" SubKey="1" UserActive="1" RuleMark="1" UserAction="2">
  <TargetKeyName>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\</TargetKeyName>
  <RuleName>BEDCBEF8B4B4BDA8D3A6D3C3B3CCD0F2BDD9B3D6CFEE</RuleName>
  <RuleDesc>BEDCBEF8B6F1D2E2B3CCD0F2C0FBD3C3B8C3BCFCD6B5CAB5CFD6D7D4B6AFD4CBD0D0A3ACBBF2D7E8D6B9D2BBD0A9D5FDB3A3C8EDBCFED4CBD0D0A1A3323030352D30332D3235</RuleDesc>
  </Reg>
  </RegRule>
- <ProcRule>
- <Proc UserActive="0" RuleMark="1" UserAction="1">
  <ParentProcName>2A</ParentProcName>
  <ProcessFileMD5 />
  <RuleName>353538</RuleName>
  <RuleDesc>353539</RuleDesc>
  </Proc>
  </ProcRule>
- <ApiRule>
- <Api UserActive="0" RuleMark="1" UserAction="1">
  <RuleName>353534</RuleName>
  <RuleDesc>353535</RuleDesc>
  </Api>
- <Api UserActive="0" RuleMark="16" UserAction="1">
  <RuleName>353536</RuleName>
  <RuleDesc>353537</RuleDesc>
  </Api>
- <Api UserActive="0" RuleMark="2" UserAction="1">
  <RuleName>353839</RuleName>
  <RuleDesc>353934</RuleDesc>
  </Api>
  </ApiRule>
  </Rule>
  </Data>
  </ALLData>

这个东西？每次系统统新装后，第一时间把那个键一删了之，或其权限设置为对任何账户都“拒绝：，不就一劳永逸了嘛！何必这么费神？

引用:

【两个铁球的贴子】这个东西？每次系统统新装后，第一时间把那个键一删了之，或其权限设置为对任何账户都“拒绝：，不就一劳永逸了嘛！何必这么费神？ ………………

是够费神的，如果这个映像劫持真像身体里的“阑尾”一样没用，那微软的比尔盖茨得琢磨琢磨了

1.把那个键一删了之，病毒会创建啊
2.权限设置为对任何账户都“拒绝”，几行代码就可以设置为都“允许的

嗯 学习了