【灵异事件，见16楼】ctfmon.exe 要创建开机启动程序 internat.exe

zapple

回复 10# 穿越星空


    请问[HKEY_USERS\UserSID\Software\Microsoft\Windows\CurrentVersion\Run]项里除了ctfmon.exe键值，还存在internat.exe键值吗？

穿越星空

回复 11# zapple
　　internat.exe本就不出现在该项下，建议你还是用可以查看完整启动项的工具看看它的启动信息，个人推荐用AutoRuns。

byxiaochen

没发现有这个文件,如果你没中毒的感觉,请无视

wangyunxi80

扫扫木马看看

chncwk

你没有用第三方软件，Internat.exe不会自动进入你的XP系统的。
如果你确信没有人在你的系统里专门设置过，请考虑木马的可能性。
可把文件提交到Virustotal检查。

zapple

主楼的图是在进入系统加载各种服务、驱动的时候拦截的，但是我的ctfmon.exe规则“受保护的注册表键”设置为“询问”，奇怪的是一直到系统加载完毕后也没有弹窗，马上打开日志就出现这条拦截。

尝试把[HKEY_USERS\UserSID\Software\Microsoft\Windows\CurrentVersion\Run]项加入例外，看Run项会不会出现internat.exe，结果是没有，全注册表搜索也没有找到。打开日志查看，这条拦截没有出现。

这是灵异事件？

chncwk

从楼上的描述来看，很不正常。
我的Internat.exe大小是20,752 字节，版本号是5.0.2920.0，MD5值是d7a0878d2cd84f9cb540bcd7456ef431

深度扫描

学习。。。顺便顶顶！

fdsafdsa

既然是ghost那就肯定不是原版了.原版是安装模式的

zapple

回复 19# fdsafdsa


    我什么时候说过装的是GHOST版？