微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 谁能告诉我这是什么呢?  

作者:
标题: 谁能告诉我这是什么呢?
大狗狗
注册用户




积分 57
发帖 60
注册 2007-6-22
来自 UTSC
#1  谁能告诉我这是什么呢?

[nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')



这是病毒么?还是什么?谢谢各位了。。

我知道懂的人一眼就能认出来了。。只可惜我不是个懂的人

※ ※ ※ 本文纯属【大狗狗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-22 01:00
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

楼主的给出的信息残缺,没有说明具体的出处,无法做出准确判断。
该命令行大意为:
移动"%SystemRoot%\System32\syssetub.dll"替换"%SystemRoot%\System32\syssetup.dll",不弹出提示,执行完move命令后,cmd.exe程序自动关闭。
初步判断此命令行没有恶意行为,但需要楼主提供详细信息才能最终确认。


请楼主将您的微点 系统自启动信息导出 发到论坛上,或发送到support@micropoint.com.cn 我们会协助您进行分析处理。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-6-22 01:16
查看资料  发短消息   编辑帖子
jr21066
版主

电脑&数码区版主


积分 1648
发帖 1646
注册 2006-12-16
#3  

搜索了一下,好象是精简版的XP带的

※ ※ ※ 本文纯属【jr21066】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

有点点才会放心
2007-6-22 08:16
查看资料  发送邮件  发短消息   编辑帖子
大狗狗
注册用户




积分 57
发帖 60
注册 2007-6-22
来自 UTSC
#4  



  Quote:
Originally posted by Legend at 2007-6-22 01:16:
楼主的给出的信息残缺,没有说明具体的出处,无法做出准确判断。
该命令行大意为:
移动"%SystemRoot%\System32\syssetub.dll"替换"%SystemRoot%\System32\syssetup.dll",不弹出提示,执行 ...

谢谢你。。我知道它是干什么的。。就是奇怪为什么每次开机它都会所谓的“RunOnce”一下然后移动一下那个文件呢。。这难道是系统的正常需要?

是因为我的电脑出了点问题。。我用的是HiJackThis查究竟是什么毛病。。查出这个来的。。就上来问问。。微点的启动信息里没有这一条。。

再次表示感谢。。

※ ※ ※ 本文纯属【大狗狗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-22 08:22
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
大狗狗
注册用户




积分 57
发帖 60
注册 2007-6-22
来自 UTSC
#5  



  Quote:
Originally posted by jr21066 at 2007-6-22 08:16:
搜索了一下,好象是精简版的XP带的

同样谢谢你的指点。。不过要是能告诉我为什么系统需要在每次开机的时候“RunOnce”一下这个。。替换一下system32里的文件。。就更好了。。

※ ※ ※ 本文纯属【大狗狗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-22 08:23
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

RunOnce型启动项,属于一次性启动项目,程序启动一次之后Windows会自动删除该键值。一般多用于软件安装过程。

楼主可以查看微点注册表变更日志,具体是哪个进程频繁向注册表写入RunOnce启动项?

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-6-22 08:27
查看资料  发短消息   编辑帖子
大狗狗
注册用户




积分 57
发帖 60
注册 2007-6-22
来自 UTSC
#7  



  Quote:
Originally posted by Legend at 2007-6-22 08:27:
RunOnce型启动项,属于一次性启动项目,程序启动一次之后Windows会自动删除该键值。一般多用于软件安装过程。

楼主可以查看微点注册表变更日志,具体是哪个进程频繁向注册表写入RunOnce启动项?

我奇怪的也是这个。。明明是RunOnce。。怎么每run完once它还在那儿。。下次启动继续run这么once。。我去看看去。。谢谢你

※ ※ ※ 本文纯属【大狗狗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-22 08:56
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
大狗狗
注册用户




积分 57
发帖 60
注册 2007-6-22
来自 UTSC
#8  

注册表变更日志里没有记录这个事件。。

嘿嘿。。奇了怪了。。

不管了。。先放着。。

还是谢谢“传奇”斑竹。。嘿嘿。。这名字取的。。挺有意境的。。

※ ※ ※ 本文纯属【大狗狗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-22 19:07
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
大狗狗
注册用户




积分 57
发帖 60
注册 2007-6-22
来自 UTSC
#9  

哦不。。我话说得不太妥当。。

不是它没记录。。有可能是记录了但是我看不出来。。

※ ※ ※ 本文纯属【大狗狗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-22 19:13
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号