麻烦大家帮忙做个测试。。。。。。。

caliban

如题。
麻烦大家试试，把下面文字保存成一个TXT文件，然后用小A扫一下看会不会报毒……
反正我这里全盘扫描查出来了。
然后我新建个文本文档粘贴进去扫了下，又报了。

自启动程序藏身处总揭秘


一，经典的启动——“启动”文件夹
        单击“开始——程序”，你会发现有一个“启动”菜单，这个就是最经典的Windows自启动程序启动位置，右击“启动”菜单选择“打开”即可将其打开，其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下：
当前用户的启动文件夹：C:\Documents and Settings\用户名\[开始]菜单\程序\启动
所有用户的启动文件夹：C:\Documents and Settings\All Users\[开始]菜单\程序\启动

二，有名的启动——注册表里的启动项
        注册表是启动程序藏身之处多的地方，我们来一一揭开，主要有以下几项：
1，Run键，Run键是病毒最青睐的自启动之所，该键值位置是【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run】和【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】，其下的所有程序在每次启动登录的时候，都会按顺序随着Wiindows系统启动。还有一个不被注意的Run键值，位于注册表【HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run】和【HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run】也要仔细查看。
2，RunOnce键值，RunOnce位于【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce】和【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce】，与Run不同的是，RunOnce下的程序仅会被自动执行一次。
3，RunServicesOnce键，RunServicesOnce键位于【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce】和【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce】下，其中的程序会在系统加载时自动启动执行一次。
4，RunServices键值，RunServices继RunServicesOnce之后启动的程序，位于注册表【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices】和【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices】键。
5，RunOnceEX键值，该键是WindowsXP/2003特有的自启动注册表项，位于【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEX】和【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX】
6，load键值，【HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows】下的load键值的程序也是自启动程序的藏身之所。
7，Winlogon键值，该键位于注册表【HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon】和【HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon】，注意下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。
8，其他注册表位置，还有一些其他的键值，经常会有一些程序在这里自动启动，当然，这些程序也包括了木马病毒等，如
【HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\Userinit】
【HKEY_CURRENT_USER-SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell】
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad】
【HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts】
【HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts】
小知识：
        看了上面头晕的注册表键值，我相信很多朋友都会发现MACHINE和USER这两个键值出现的特别多，而其他却都是一样的，这两者有什么区别呢？【HKEY_LOCAL_MACHINE】对计算机里的所有用户都有效的键值，而【HKEY_CURRENT_USER】仅对当前用户有效用。明白了吗？

三，古老的启动——自动批处理文件
        从DOS时代过来的朋友肯定知道autoexec.bat这个自动批处理文件，它会在电脑启动时自动运行，早期许多病毒就看中了它，使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就用一句deltree /y c:\*.*命令，让电脑一启动就自动删除C盘所有的文件，害人无数啊。

四，常用的启动——系统配置文件
        在Windows的配置文件（包括Win.ini、System.ini和Wininit.ini文件）也会加载一些自动运行的程序。
        1，Win.ini文件，使用“记事本”打开Win.ini文件，在windows段下的Run=和Load=语句后面就可以直接加可执行程序，只要程序名称及路径写在=后面即可。load=后面的程序在启动后最小化运行，而run=后程序则会正常运行。
        2，System.ini文件，使用记事本打开System.ini文件，找到boot段下shell=语句，该语句默认为shell=Explorer.exe，启动的时候运行Windows外壳程序explorer.exe。病毒可不客气，如“妖之吻”病毒干脆把它改成了shell=c:\yzw.exe，如果你强行杀出该病毒程序yzw.exe，Windows就会提示报错，让你重新安装Windows系统。也有客气一些的病毒，如将该句变成“shell=explorer.exe 其他程序名”，看到这样的情况，后面的其他程序名一定是病毒程序。
        3，wininit.ini，wininit文件时很容易被许多电脑用户忽略的系统配置文件，因为该文件在Windows启动时自动执行后会被自动删除，这就是说该文件中的命令只会自动运行一次。该配置文件主要由软件的安装程序生成，对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险的命令，那么后果与C盘杀手无异。

五、智能的启动——开关机/登录/注销脚本
        在Windows 2000/XP中，单击“开始——运行”，输入gpedit.msc回车，打开组策略编辑器，在左侧窗口依次展开“本地计算机策略——用户配置——管理模板——系统——登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击显示按钮，在登录时运行的项目下就显示了自启动的程序。

六、准时的启动——任务计划
        在默认情况下，“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或“登录时”，这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区有它们的图标。大家也可以双击控制面板中的计划任务图标查看其中的项目。

自启动程序藏身处这么多，一下子全记住不是件容易的事情，那么我们要清理的时候，该这么折腾呢？现学现卖吗？不用，下面给大家推荐一些图形界面的，点点鼠标就可以清理这些自启动程序的工具，尤其是木马病毒。

Q1628393554

报毒了，和你的情况一样
实际上报的是：

deltree /y c:\*.*

这是个批处理命令吧，C盘杀手

caliban

Q1628393554 发表于 2016-7-14 08:16
报毒了，和你的情况一样
实际上报的是：

感谢测试。
报TXT的杀软我还是第一次遇到。

Q1628393554

caliban 发表于 2016-7-14 18:27
感谢测试。
报TXT的杀软我还是第一次遇到。

把.txt改为.bat，那句话就可以看作病毒，文件名后缀不同而已，文件本身相同。
不是有个专门测试杀软的文本吗？
比如这个：

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

可以得到这个结果：


附一个火绒的txt扫描结果


当从官网下载这个文本文件时可以得到下图结果，由此证明avast的网页防护在工作

caliban

Q1628393554 发表于 2016-7-14 20:13
把.txt改为.bat，那句话就可以看作病毒，文件名后缀不同而已，文件本身相同。
不是有个专门测试杀软的 ...

原来如此，感谢解惑！

海龙王_ccmd

厉害，其实有些东西就是这样，不运行是隐患，运行了就是病毒。