瑞星卡卡安全论坛

REG.EXE  是不是中毒？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQWubi 87; QQPinyin 689; QQDownload 615; TencentTraveler 4.0)

将样本提交至：http://mailcenter.rising.com.cn/filecheck/

提交后，可通过查询编号，查询处理进度。

我不会，:kaka6: :kaka6: :kaka6:

楼主请详细描述您的问题，但根据您的文件名看不出任何问题。
根据资料这个文件有可能是恶意软件多伪装的，楼主可以先核对该文件的MD5值。
正常文件的MD5值为：7f1e65bde053985ba645340bc0cf6497
如果不是正常的文件再将您的问题具体描述一下

楼主如果找不到这个文件可以用系统自带的搜索工具搜索一下，一般情况下这个文件在目录C:\windows\system32中。
点击提交页面中的浏览并填写其他信息后提交即可。
之后记住查询编号以便日后查询

一般来说如果中reg.exe病毒的话你的计算机会有以下现象：
进程中出现很多reg.exe，system32目录下有文件Systom.exe病毒，每个盘符下有nx.exe和autorun.inf也无法查看到隐藏文件，无法打开任务管理器，regedit.exe册表无法打开，reg.exe病毒一般是在浏览网页时中的，它自动运行并调用执行reg.exe，磁盘双击即会激活该病毒，如果未删除病毒文件，则会开机自动运行。
解决方法是：
1、结束所有reg.exe和Systom.exe及iexplore.exe进程，在system32下删除Systom.exe，记住先不要双击磁盘。
2、搜索磁盘里的autorun.inf文件及nx.exe病毒，记得搜索包括隐藏文件，全部删除。
3、搜索auto.exe、xp.exe、RxpMoN.Exeupxdnd.exe、455373L.exe也一起删除。
4、用auto专杀病毒工具 杀一下。
因为该病毒是靠autorun.inf实现其守护的，所以AUTORUN.INF没删除的话，只要双击都会修复其病毒~

症状如下：

1.任务管理器不能使用，用其它工具打开进程管理后可以看到很多reg.exe进程
2.系统时间被改为2000年
3.上网会狂跳页面
4.重装系统后病毒还是存在
5.时而正常，时而又复发
6.无法使用regedit.exe进入注册表
7.无法查看隐藏文件
8.无法进入dos和安全模式
9.系统运行时间特别的慢

病毒运行原理

病毒是在浏览网页时进行感染的，它自动运行并调用执行reg.exe，磁盘双击即会激活该病毒，如果未删除病毒文件，则会开机自动运行。它实际原理是映像劫持，就是杀毒软件、注册表、任务管理器等都被病毒劫持了，当运行杀毒软件、注册表程序时，实际执行的都是病毒进程。

解决方法：

1.下载瑞星卡卡上网助手，扫描当前运行的程序。结束所有与reg.exe文件有关的进程。清除掉所有流氓软件和注册表启动项里的可疑文件（修改注册表前建议先备份注册表）。
2.打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL项在右侧找到checkedvalue项目类型reg_dword 将数值改为1即为隐藏文件可见。如果没有这一项手动添加上。
3.在windows/system32/目录下找到reg.exe并清除掉。如果删除不掉建议安装unlocker软件，将reg.exe文件解锁后再清除。
4.清除掉每个磁盘下面的autorun.inf、sos.exe或者nx.exe文件。
5.如果自己的杀毒软件没有被病毒感染的话，使用杀毒软件扫描一遍。

可以将文件提交至：http://mailcenter.rising.com.cn/filecheck/
也可以下载下载瑞星 使用瑞星进行查杀

:kaka5:  我测试过这个一文件，发现没有什么可疑动作

:kaka2: 但是瑞星总是拦截，瑞星好像是拦截修改注册表（在以前的帖子遇到过），不知道是什么东西

:kaka1: 你这样，搜索找到那个文件，打包上传论坛，我们帮你上传，正好也让大牛看看

杀毒步骤： 　　
1. 看看系统日期是否被修改，如果是到安全模式改回来，重启瑞星再杀 　
2. 如果否，打开msconfig把可以启动都勾掉。重启。 　　
3. 如果依然会出现这个文件，检查注册表启动项把可疑的删了，以下是启动项路径： 　　path1=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 　　path2=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 　path3=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce path4=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 　　
path5=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 　　
path6=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 　　
path7=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup 　　
path8=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 　　
path9=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 　　
path10=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 　　
path11=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 　　
path12=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 　　
path13=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 　　
path14=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup 　　
path15=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 　　
5. 如果还不行，估计是一个广告，下个ewido试一下。 　　
4. 如果还会出现，能忍则忍，不能忍我建议重装吧

具体路径？
C:\windows\system32\reg.exe正常情况下是系统文件