瑞星卡卡安全论坛

用hijackthis扫一下的话
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\hcgefkk.exe

又没有看到第二个，注册表默认的有这个UserInit=C:\WINNT\SYSTEM32\Userinit.exe
但没有第二个，
我们把他删掉，然后到目录下，也把hcgefkk.exe删掉（哇，删得掉，猜想可能是调用其他地方的，但我就是猜不出来），注册表也没有这个值呢。。

这样通常以为完事呢，然而，过呢几秒钟的话，hcgefkk.exe又有呢，而且注册表又有这个值呢，然后你再用hijackthis扫一下，晕，又是这个
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\hcgefkk.exe

(我发现卡卡的论坛上好多人跟我一样，可是他们好像没发觉删不掉的）
因为这个在瑞星的防火墙的启动项既然是有的。。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit                                                                                                                                                               
+ C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\hcgefkk.exe                                                                            C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\CRYPTO\HCGEFKK.EXE