Jacob Asked: 2010-02-02 12:52:58 +0800 CST2010-02-02 12:52:58 +0800 CST 2010-02-02 12:52:58 +0800 CST 有人在野外见过 gvtlsysguard.exe 吗? 772 有没有人在“gvtlsysguard.exe”之前看过这个文件并且知道它是什么?这个周末,我注意到我的一个用户在他们的用户配置文件的本地设置文件夹中有这个文件,并且他们以某种方式在 hklm/software/microsoft/windows/current version/run 中写入了一个注册表项,以便在启动时为每个人运行这个程序。奇怪的是用户不应该有任何注册表权限。有谁知道文件是如何到达那里的以及注册表项是如何发生的? malware 2 个回答 Voted Best Answer xeon 2010-02-02T12:59:50+08:002010-02-02T12:59:50+08:00 即使使用赛门铁克 AV Corp 10“保护”的计算机,我也曾在工作中看到过几次。据我所知,它来自某个网站,文件被放置在用户本地配置文件中并写入注册表以在启动时运行。每次看到节目的名字都不一样。这些程序通常禁用命令提示符、任务管理器等。重新启动到安全模式,删除文件,删除密钥,并删除它可能已设置的任何代理。 Evan Anderson 2010-02-02T13:00:21+08:002010-02-02T13:00:21+08:00 听起来像是典型的恶意软件废话。调平机器并重新开始。希望您有一个磁盘映像或可以从中恢复的磁盘映像(并且希望您没有本地存储用户数据)。 既然您说您的用户没有“管理员”权限,那么它一定是在利用某种漏洞来获得“管理员”权限。这并非闻所未闻。 最近,恶意软件用户开始写入文件系统和注册表中非特权用户可以访问的位置。您确定它没有写入 HKEY_CURRENT_USER 下的同一位置吗?这种情况变得越来越普遍。
即使使用赛门铁克 AV Corp 10“保护”的计算机,我也曾在工作中看到过几次。据我所知,它来自某个网站,文件被放置在用户本地配置文件中并写入注册表以在启动时运行。每次看到节目的名字都不一样。这些程序通常禁用命令提示符、任务管理器等。重新启动到安全模式,删除文件,删除密钥,并删除它可能已设置的任何代理。
听起来像是典型的恶意软件废话。调平机器并重新开始。希望您有一个磁盘映像或可以从中恢复的磁盘映像(并且希望您没有本地存储用户数据)。
既然您说您的用户没有“管理员”权限,那么它一定是在利用某种漏洞来获得“管理员”权限。这并非闻所未闻。
最近,恶意软件用户开始写入文件系统和注册表中非特权用户可以访问的位置。您确定它没有写入 HKEY_CURRENT_USER 下的同一位置吗?这种情况变得越来越普遍。