瑞星卡卡安全论坛

【回复“七彩黄花菜萱草”的帖子】

多谢，我已更正。

bucuo

还真长

请教楼主:Procexp和Autoruns扫描出来的日志的字体字号可以设置吗?看不是很清楚呀.
[img][/img]如图的Autoruns.exe和Autorunsc.exe有什么差别?后者一闪就过去了,好象是在命令提示符下的黑色屏幕.

附件: 55937020051126224038.jpg

引用:

【七彩黄花菜萱草的贴子】请教楼主:Procexp和Autoruns扫描出 来的日志的字体字号可以设置吗?看不是很清楚呀. [img][/img]如图的Autoruns.exe和Autorunsc.exe有什么差别?后者一闪 就过去了,好象是在命令提示符下的黑色屏幕. ...........................

1)不知道你说的字体是指工具本身显示的字体还是存贮的日志字体，工

具本身显示的字体可以通过Option->Font菜单项设置，至于保存的日志

字体可通过设置记事本本身的字体进行设置的，因为它保存的日志是普

通的文本格式。
2）Autoruns.exe是一个控制台程序，你需要在CMD中运行
Autorunsc is the command-line version of Autoruns. Its usage

syntax is:

Usage: autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m]

[-n] [-p] [-s] [-v] [-w] [user]

-a
    Show all entries.
-b
    Boot execute.
-c
    Print output as CSV.
-d
    Appinit DLLs.
-e
    Explorer addons.
-h
    Image hijacks.
-i
    Internet Explorer addons.
-l
    Logon startups (this is the default).
-m
    Hide signed Microsoft entries.
-n
    Winsock protocol providers.
-p
    Printer monitor drivers.
-s
    Autostart services.
-t
    Scheduled tasks.
-v
    Verify digital signatures.
-w
    Winlogon entries.
user
    Dump autoruns for the specified user account.

具体可去社区

http://www.sysinternals.com/Forum/forum_topics.asp?FID=16看看

是我没说清楚，我想问的是“指工具本身显示的字体”。
谢谢楼主不吝赐教。

强.又多学了好多

看的我云里雾里，
真没办法，对这些是一窍不通。
咳！

Autoruns版本升级到8.4

增加了遍历驱动的页签项

http://www.sysinternals.com/Utilities/autoruns.html

感谢楼主!

学习

长见识了

这是我单位电脑 的扫描日志，电脑没什么问题，只是想试一下这个软件，帮忙看一下有什么不妥的地方（扫描的时候我在用传奇的脱机外挂，这个是有木马的，不过用了很久，帐号都没问题）

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

+ Explorer.exec:\windows\system32\explorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ CnsMin3721北京三七二一科技有限公司c:\windows\downloaded program files\cnsmin.dll

+ explorer.exec:\windows\system32\explorer.exe

+ MicrosoftUpdatesFile not found: C:\WINDOWS\Downloaded Program Files\#.exe

+ RavMonRavMon Rising realtime monitor Beijing Rising Technology Co., Ltd.d:\瑞星\rising\rav\ravmon.exe

+ RavTimerRavTimerBeijing Rising Technology Co., Ltd.d:\瑞星\rising\rav\ravtimer.exe

+ RfwMainRising Personal FireWall Main ProgramBeijing Rising Technology Corporation Limitedd:\瑞星\rising\rfw\rfwmain.exe

+ rxc:\windows\rundll32.exe

+ TkBellExeRealNetworks SchedulerRealNetworks, Inc.c:\program files\common files\real\update_ob\realsched.exe

+ yassistseAssistSettingYahoo!c:\program files\yahoo!\assistant\yassistse.exe

+ YLive.exeYLive c:\program files\yahoo!\assistant\ylive.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ DrvMon.exeDrive MonitorAlcor Micro, Corp.c:\windows\system32\drvmon.exe

HKLM\System\CurrentControlSet\Services

+ RfwServiceRising Personal Firewall ServiceBeijing Rising Technology Corporation Limitedd:\瑞星\rising\rfw\rfwsrv.exe

+ RsCCenterCCenterrisingd:\瑞星\rising\rav\ccenter.exe

+ RsRavMonRavMonBeijing Rising Technology Co., Ltd.d:\瑞星\rising\rav\ravmond.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ cnshook.dll3721 CNS Module北京三七二一科技有限公司c:\windows\downloaded program files\cnshook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Display Panning CPL ExtensionFile not found: deskpan.dll

+ HyperTerminal Icon ExtHyperTerminal Applet LibraryHilgraeve, Inc.c:\windows\system32\hticons.dll

+ RISINGRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system32\ravext.dll

+ Shell Extensions for RealOne PlayerRealPlayer Shell ExtensionsRealNetworks, Inc.d:\repaly\rpshell.dll

+ WinRAR shell extensionc:\program files\winrar\rarext.dll

+ Yahoo!PhotoyPhtbYahoo! Chinac:\program files\yahoo!\assistant\assist\yphtb.dll

+ 粉碎文件Wiper 动态链接库c:\program files\yahoo!\assistant\assist\ywiper.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Web 文件夹c:\program files\common files\microsoft shared\web folders\msonsext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ AntiFish Classyangling.dllYahoo.c:\program files\yahoo!\assistant\assist\yangling.dll

+ bho Class万能五笔接口程序深圳世强软件开发部c:\program files\common files\wnwb\wnwbio.dll

+ CnsHook Class3721 CNS Module北京三七二一科技有限公司c:\windows\downloaded program files\cnshook.dll

+ DragSearch BHODragSearchc:\program files\yahoo!\assistant\assist\ydragsearch.dll

+ QQBrowserHelperObject ClassQQIEHelper Module深圳市腾讯计算机系统有限公司d:\qq\qqiehelper.dll

+ Yahoo!PhotoyPhtbYahoo! Chinac:\program files\yahoo!\assistant\assist\yphtb.dll

+ 雅虎助手ToolBarYahoo!c:\program files\yahoo!\assistant\assist\yasbar.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

+ coolbarToolBarYahoo!c:\program files\yahoo!\assistant\assist\yasbar.dll

+ ietoolbarCopysoIE搜索工具条: CopysoIE.dll深圳世强软件开发部 www.CopySo.com c:\program files\copyso\copysoie.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ whatever..CopysoIE搜索工具条: CopysoIE.dll深圳世强软件开发部 www.CopySo.com c:\program files\copyso\copysoie.dll

+ 雅虎助手ToolBarYahoo!c:\program files\yahoo!\assistant\assist\yasbar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ @shdoclc.dll,-864c:\windows\web\related.htm

+ Yahoo 1G电邮File not found: http://cn.mail.yahoo.com/promo/rd1

+ 清理上网记录File not found: http://assistant.3721.com/clean1.htm?fb=Cns

+ 情景聊天File not found: http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/

+ 手机短信File not found: http://sms.3721.com/ie/index.htm

+ 腾讯QQQQTENCENTd:\qq\qq.exe

+ 修复浏览器File not found: http://assistant.3721.com/security1.htm?fb=Cns

+ 寻宝乐趣多File not found: http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138

+ 雅虎助手File not found: http://cn.zs.yahoo.com/?source=Cns

晚上回去了把家里的电脑扫描了发上来，请楼主帮忙看一下问题在哪里

这个帖子应该置顶的

【回复“dwhlll”的帖子】
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

+ Explorer.exec:\windows\system32\explorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ Explorer.exec:\windows\system32\explorer.exe

有问题。
试试：
删除这两启动项
用卡卡助手结束explorer.exe进程（看清路径）
进安全模式删除C：\windows\system32\explorer.exe

引用:

【七彩黄花菜萱草的贴子】【回复“dwhlll”的帖子】 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell + Explorer.exec:\windows\system32\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + Explorer.exec:\windows\system32\explorer.exe 有问题。 试试： 删除这两启动项 用卡卡助手结束explorer.exe进程（看清路径） 进安全模式删除C：\windows\system32\explorer.exe ...........................

补充一点：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
+ Explorer.exec:\windows\system32\explorer.exe

不能直接删除，要在注册表中把对应项c:\windows\system32\explorer.exe
改为c:\windows\explorer.exe

“dwhlll”朋友，请按楼主在135楼说的处理。

谢

引用:

【BlackStone的贴子】 补充一点： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell + Explorer.exec:\windows\system32\explorer.exe 不能直接删除，要在注册表中把对应项c:\windows\system32\explorer.exe 改为c:\windows\explorer.exe ...........................

谢谢，能说一下怎么在注册表中修改吗？我不会

这是我里电脑扫描的结果，帮忙看一下

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ CnsMinFile not found: C:\WINDOWS\downlo~1\CnsMin.dll

+ DSLAGENTEXEFile not found: dslagent.exe

+ GSICONEXEFile not found: GSICON.EXE

+ LegendRemDriverc:\program files\legend\联想遥控器驱动\remdrv.exe

+ netbusFile not found: C:\\netbus.exe

+ NvCplDaemonNVIDIA Taskbar Utility LibraryNVIDIA Corporationc:\windows\system32\nvqtwk.dll

+ RavMonRavMon Rising realtime monitor Beijing Rising Technology Co., Ltd.d:\瑞星\rising\rav\ravmon.exe

+ RavTimerRavTimerBeijing Rising Technology Co., Ltd.d:\瑞星\rising\rav\ravtimer.exe

+ RfwMainRising Personal FireWall Main ProgramBeijing Rising Technology Corporation Limitedd:\瑞星\rfw\rfwmain.exe

+ SoundManAvance Sound ManagerAvance Logic, Inc.c:\windows\soundman.exe

+ TkBellExeRealNetworks SchedulerRealNetworks, Inc.c:\program files\common files\real\update_ob\realsched.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动

+ 联想键盘驱动程序.lnkSkdaemon Microsoft 基础类应用程序c:\program files\legend\联想标准功能键盘驱动程序安装\skdaemon.exe

C:\WINDOWS\Html

+ 腾讯QQ.lnkQQTENCENTe:\qq\qq.exe

HKLM\System\CurrentControlSet\Services

+ NVSvcNVIDIA Driver Helper Service, Version 15.20NVIDIA Corporationc:\windows\system32\nvsvc32.exe

+ RfwServiceRising Personal Firewall ServiceBeijing Rising Technology Corporation Limitedd:\瑞星\rfw\rfwsrv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ cnshook.dll3721 CNS Module北京三七二一科技有限公司c:\windows\downloaded program files\cnshook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ RISINGRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system32\ravext.dll

+ Shell Extensions for RealOne PlayerRealPlayer Shell ExtensionsRealNetworks, Inc.c:\program files\real\realplayer\rpshell.dll

+ 粉碎文件File not found: C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ywiper.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ CnsHook Class3721 CNS Module北京三七二一科技有限公司c:\windows\downloaded program files\cnshook.dll

+ DragSearch BHOFile not found: C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL

+ QQBrowserHelperObject ClassQQIEHelper Module深圳市腾讯计算机系统有限公司e:\qq\qqiehelper.dll

+ ThunderIEHelper Classxunleibho Modulec:\windows\system32\xunleibho_v5.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

+ coolbar\

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softe:\网络快车\flashget\flashget.exe

+ Yahoo 1G电邮File not found: http://cn.mail.yahoo.com/promo/rd1

+ 江民在线杀毒File not found: http://club.jiangmin.com/kvscan/KvOnline.asp

+ 清理上网记录File not found: http://assistant.3721.com/clean1.htm?fb=Cns

+ 情景聊天File not found: http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/

+ 上网助手File not found: http://assistant.3721.com/index.htm?fb=Cns

+ 手机短信File not found: http://sms.3721.com/ie/index.htm?pid=U_flashget_62580

+ 腾讯QQQQTENCENTe:\qq\qq.exe

+ 修复浏览器File not found: http://assistant.3721.com/security1.htm?fb=Cns

+ 寻宝乐趣多File not found: http://hot.3721.com/rd/shop_btn.htm

+ 易趣购物File not found: http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn

Task Scheduler

+ Symantec NetDetect.jobSymantec NetDetectSymantec Corporationc:\program files\symantec\liveupdate\ndetect.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ skwinlogonc:\windows\system32\dll.dll

+ UpdatenmFile not found: upern.dll

+ xyzDownFile not found: xyzDown.dll

引用:

【dwhlll的贴子】 谢谢，能说一下怎么在注册表中修改吗？我不会 ...........................

http://forum.ikaka.com/topic.asp?board=28&artid=7318038&page=2的17楼

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ CnsMinFile not found: C:\WINDOWS\downlo~1\CnsMin.dll
+ DSLAGENTEXEFile not found: dslagent.exe
+ GSICONEXEFile not found: GSICON.EXE
+ netbusFile not found: C:\\netbus.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\WINDOWS\Html

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
+ coolbar\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ skwinlogonc:\windows\system32\dll.dll
+ UpdatenmFile not found: upern.dll
+ xyzDownFile not found: xyzDown.dll

删除以上启动项
重启
删除c:\windows\system32\dll.dll试试

引用:

【BlackStone的贴子】 补充一点： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell + Explorer.exec:\windows\system32\explorer.exe 不能直接删除，要在注册表中把对应项c:\windows\system32\explorer.exe 改为c:\windows\explorer.exe ...........................

晕，我直接把这一项删除了，在注册表里找不到了

引用:

【dwhlll的贴子】 晕，我直接把这一项删除了，在注册表里找不到了 ...........................

没事的
把一下内容保存为reg.reg，双击导入即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\Explorer.exe"

中了病毒才来学习，呵呵呵

引用:

【BlackStone的贴子】Autoruns版本升级到8.4 增加了遍历驱动的页签项 http://www.sysinternals.com/Utilities/autoruns.html ...........................

谢谢楼主耐心细致的讲解！学习了。
在汉化新世纪已经有Autoruns8.4的汉化版了，我刚下的。有E不好的朋友可以去那里下载

引用:

【一簔烟雨的贴子】 谢谢楼主耐心细致的讲解！学习了。 在汉化新世纪已经有Autoruns8.4的汉化版了，我刚下的。有E不好的朋友可以去那里下载 ...........................

autoruns的官方最新版本为8.43

谢谢楼主

楼主强啊