微点交流论坛

标题: 谁能告诉我这是什么呢？ [打印本页]

作者: 大狗狗 时间: 2007-6-22 01:00 标题: 谁能告诉我这是什么呢？

[nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')

这是病毒么？还是什么？谢谢各位了。。

我知道懂的人一眼就能认出来了。。只可惜我不是个懂的人

作者: Legend 时间: 2007-6-22 01:16
楼主的给出的信息残缺，没有说明具体的出处，无法做出准确判断。
该命令行大意为：
移动"%SystemRoot%\System32\syssetub.dll"替换"%SystemRoot%\System32\syssetup.dll"，不弹出提示，执行完move命令后，cmd.exe程序自动关闭。
初步判断此命令行没有恶意行为，但需要楼主提供详细信息才能最终确认。

请楼主将您的微点系统自启动信息导出发到论坛上，或发送到support@micropoint.com.cn 我们会协助您进行分析处理。

作者: jr21066 时间: 2007-6-22 08:16
搜索了一下,好象是精简版的XP带的

作者: 大狗狗 时间: 2007-6-22 08:22

Quote:

Originally posted by Legend at 2007-6-22 01:16:
楼主的给出的信息残缺，没有说明具体的出处，无法做出准确判断。
该命令行大意为：
移动"%SystemRoot%\System32\syssetub.dll"替换"%SystemRoot%\System32\syssetup.dll"，不弹出提示，执行 ...

谢谢你。。我知道它是干什么的。。就是奇怪为什么每次开机它都会所谓的“RunOnce”一下然后移动一下那个文件呢。。这难道是系统的正常需要？

是因为我的电脑出了点问题。。我用的是HiJackThis查究竟是什么毛病。。查出这个来的。。就上来问问。。微点的启动信息里没有这一条。。

再次表示感谢。。

作者: 大狗狗 时间: 2007-6-22 08:23

Quote:

Originally posted by jr21066 at 2007-6-22 08:16:
搜索了一下,好象是精简版的XP带的

同样谢谢你的指点。。不过要是能告诉我为什么系统需要在每次开机的时候“RunOnce”一下这个。。替换一下system32里的文件。。就更好了。。

作者: Legend 时间: 2007-6-22 08:27
RunOnce型启动项，属于一次性启动项目，程序启动一次之后Windows会自动删除该键值。一般多用于软件安装过程。

楼主可以查看微点注册表变更日志，具体是哪个进程频繁向注册表写入RunOnce启动项？

作者: 大狗狗 时间: 2007-6-22 08:56

Quote:

Originally posted by Legend at 2007-6-22 08:27:
RunOnce型启动项，属于一次性启动项目，程序启动一次之后Windows会自动删除该键值。一般多用于软件安装过程。

楼主可以查看微点注册表变更日志，具体是哪个进程频繁向注册表写入RunOnce启动项？

我奇怪的也是这个。。明明是RunOnce。。怎么每run完once它还在那儿。。下次启动继续run这么once。。我去看看去。。谢谢你

作者: 大狗狗 时间: 2007-6-22 19:07
注册表变更日志里没有记录这个事件。。

嘿嘿。。奇了怪了。。

不管了。。先放着。。

还是谢谢“传奇”斑竹。。嘿嘿。。这名字取的。。挺有意境的。。

作者: 大狗狗 时间: 2007-6-22 19:13
哦不。。我话说得不太妥当。。

不是它没记录。。有可能是记录了但是我看不出来。。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn