瑞星卡卡安全论坛

看到一个帖子，对照了下，对5楼“行为分析”的内容有点晕：http://www.nohack.cn/bbs/viewthread.php?tid=52810。

检查了自己的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\这个注册表子项，发现其值项值是："ImagePath "="\SystemRoot\system32\DRIVERS\sr.sys"
刚好符合文中病毒新建的情况。
据上面那个链接地址的朋友说，该子项注册表值项正常的应该是：
字串："ImagePath "="system32\DRIVERS\sr.sys. "
果真如此吗？
希望有兴趣的朋友研究下，我个人感觉机子应该没有中此QQPASS病毒，当然，因水平有限，特来求救！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 81980320071030220042.jpg

引用:

【超级游戏迷的贴子】看到一个帖子，对照了下，对5楼“行为分析”的内容有点晕：。 检查了自己的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\这个注册表子项，发现其值项值是："ImagePath "="\SystemRoot\system32\DRIVERS\sr.sys" 刚好符合文中病毒新建的情况。 据上面那个链接地址的朋友说，该子项注册表值项正常的应该是： 字串："ImagePath "="system32\DRIVERS\sr.sys. " 果真如此吗？ 希望有兴趣的朋友研究下，我个人感觉机子应该没有中此QQPASS病毒，当然，因水平有限，特来求救！ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ………………

附件: 15584720071030221315.jpg

正常的项目

我们也一样

晕了，和猫版不一样的不只是红框的那个值项，下面那个值项“start”的数据也不一样，猫版的是0，我的是4，晕……

引用:

【超级游戏迷的贴子】晕了，和猫版不一样的不只是红框的那个值项，下面那个值项“start”的数据也不一样，猫版的是0，我的是4，晕…… ………………

把“系统还原”关闭，那个值就变成“4”了。

不要过于依赖这注册表对照

引用:

【baohe的贴子】 把“系统还原”关闭，那个值就变成“4”了。 ………………

了解，谢谢版主指教！