有人在“gvtlsysguard.exe”之前见过这个文件吗?知道它是什么吗?这个周末,我注意到我的一个用户在他们的用户配置文件的本地设置文件夹中有这个文件,他们以某种方式将一个注册表项写入 hklm/software/microsoft/windows/current version/run,以便在启动时为每个人运行这个程序。奇怪的是,用户不应该有任何注册表权限。有人知道这个文件是怎么到那里的吗?注册表项是如何产生的?
答案1
我在工作中见过几次这种情况,即使是在受 Symantec AV Corp 10“保护”的计算机上。据我所知,它是从某些网站来的,文件被放置在用户的本地配置文件中,并写入注册表以在启动时运行。每次我看到它们时,程序的名称都不一样。这些程序通常会禁用命令提示符、任务管理器等。重新启动进入安全模式,删除文件,删除密钥,并删除它可能设置的任何代理。
答案2
听起来像是典型的恶意软件垃圾。将机器调平并重新开始。希望您有一个磁盘映像或类似的东西,您可以从中恢复(并且希望您没有本地存储的用户数据)。
既然你说你的用户没有“管理员”权限,那么它一定是利用了某种漏洞来获取“管理员”权限。这种情况并不罕见。
最近,恶意软件用户开始向文件系统和注册表中非特权用户可以访问的位置写入数据。你确定它没有写入 HKEY_CURRENT_USER 下的同一位置吗?这正在成为一个很多更为常见的现象。