HK_C_U\Software\Microsoft\Windows\ShellNoRoam\MUICache键值作用

最新推荐文章于 2023-08-29 17:36:03 发布
最新推荐文章于 2023-08-29 17:36:03 发布
阅读量3.9k 收藏
点赞数
分类专栏: 电脑安全 文章标签: microsoft windows c exe 防火墙 360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dragoo1/article/details/7791479
版权

11密码忘记了,下了个星号查看器,结果什么也没看到(估计放到读文件),还赠送了一堆流氓软件,这也就罢了,还送一个灰鸽子。

症状就是ie8启动器显示要恢复(我关机前没有强制关ie),开机的时候显示cmd,一闪而过,自动打开瑞毅流量统计,www.tao123.com等网站,还启动write.exe进程。囧

用360扫了下,居然扫到了C:\Program Files\360\explore.exe,注册表一搜,结果发现在HK_C_U\Software\Microsoft\Windows\ShellNoRoam\MUICache

同时有:c:\Program Files\360\XXY.DLL,classid为HKEY_CLASSES_ROOT\CLSID\{B69F34DD-F0F9-42DC-9EDD-957187DA688D},控件名为BhoNew.BhoApp.1

 

搜了下说这个键值作用是:

记录运行过的可执行文件的绝对路径
键值:数值名称为绝对路径,数值数据(为空时,即为exe名称)与版本信息Version info 中 的文件描述FileDescription。
应用:
1、防火墙阻止程序名称与实际程序描述不一致时,只能通过注册表更改数值数据信息(如绝对路径不变,即不会建立新的键值时),也可直接删除整个键,系统会重新建 立新的键值。
2、个性化系统exe名称显示,更改数值数据信息。 如,查找到“回收站”键值更改为“垃圾桶”等。其它程序也可做类似的更改。

 

以后中毒岂不是可以来看看了。。。。。

参考:http://www.todo.net.cn/tech/article.asp?id=501

http://baike.baidu.com/view/21313.htm

dragoo1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows取证——ShellBags
记录并分享学习安全的知识点..
01-05 1046
Windows取证——ShellBags
中软防水坝 怎么卸载_卸载中软防水墙软件 | 学步园
weixin_42501077的博客
01-30 2869
http://hi.baidu.com/lnhndx/item/cf8f1426c0051e0a43634af7卸载中软防水墙软件我这里所谓的卸载就是使得它不能运行步骤如下:1. 新建c:\a.bat批处理, 放在C:\Windows\System32目录下该文件的目的就是重命名防水墙的相关文件rename CSSSP aaaCSSSP2rename SPAstMgr.dll aaaSPAstMg...
HK_C_U/Software/Microsoft/Windows/ShellNoRoam/MUICache键值作用
chinalog的专栏
08-29 5242
注册表中HK_C_U/Software/Microsoft/Windows/ShellNoRoam/MUICache键值作用:记录运行过的可执行文件的绝对路径键值:数值名称为绝对路径,数值数据(为空时,即为exe名称)与版本信息Version info 中的文件描述FileDescription。应用:1、防火墙阻止程序名称与实际程序描述不一致时,只能通过注册表更改数值数据信息(如绝对路径不变,即
Win7 下的local settings
kkmmnn的专栏
03-13 828
想访问local settings ,却总是拒绝。 在win7和win8中, Local Settings是一个隐藏的文件。事实上它改头换面,变成这个样子。把下面的换成自己的就OK了。 C:\Users\\AppData\Local
如何清理系统应用程序名称缓存
羽木落凡的博客
05-16 2280
在日常开发工作中,会遇到修改应用程序集名称(AssemblyTitle)的情况。该属性会被显示在任务栏右击弹出菜单中,如下: 但是,该属性和应用程序图标一样,会被缓存在系统注册表中。一旦创建,只要路径不变就不会更新。因此,在修改完AssemblyTitle之后,还应该清除系统注册表缓存,保证及时更新。 这里就将清理注册表缓存的方式列举如下: 1、找到注册表路径 HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCach
Windows修改打开方式列表中程序的名称
Need not to know
04-03 2299
两个地方 1.HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache FriendlyAppName改成自定义的名称 2.如果上面的注册表位置没有出现自己要修改的程序,进入 HKEY_CLASSES_ROOT\Applications 找到要修改的程序\shell\open,修改FriendlyAppName ...
如何确定恶意软件是否在自己的电脑中执行过?
weixin_30745641的博客
08-21 300
很不幸,你在自己的电脑里发现了一个恶意的可执行程序!那么问题来了:这个文件到底有没有执行过? 在这篇文章中,我们会将注意力放在Windows操作系统的静态取证分析之上,并跟大家讨论一些能够帮助你回答上面那个问题的方法以及证据源,其中涉及到的四大主要的证据源包括Windows Prefetch、注册表、日志文件以及文件信息。 Windows Prefetch Windows Prefetc...
自动让Windows XP轻松记忆更多文件夹视图
09-16
- 在`HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell`和`HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam`分支下找到或创建`BagMRUSize`键值,并将其值修改为想要系统记忆的最大文件夹视图数量。...
java服务_【JavaService】使用Java编写部署windows服务
weixin_31155097的博客
02-12 1723
如果你玩windows系统,你对服务这个东西并不会陌生,服务可以帮我们做很多事情,在不影响用户正常工作的情况下,可以完成很多我们需要的需求。众所周知,微软的visio studio内置的Service类可以编写windows服务,对于一个Java开发人员来说,想要编写一个windows服务部署到服务器里面,还要在自己的开发环境装一个visio studio,那太麻烦了。那么问题来了,我想用java...
03pe修改计算机名称,[U盘PE教程]03PE注册表修改与优化总结
weixin_35457696的博客
07-28 1640
03PE注册表修改与优化总结PE中的系统内部注册表就是拿winpe内部的三个注册表,即:default,software,setupreg.hiv。它们编辑方法就是打开注册表编辑器(在windows下),定位到hklm —> 文件 —> 加载配置单元。选定上面三个文件,加载名称随意,不过为了直接使用下面提供的注册表。这里规定一下,不然下面的注册表就没法直接导入了!在所有的名称前,加个_...
Win 10 清除多余无效的打开方式
最新发布
天泽岁月
08-29 1万+
Win 10 删除多余无效的打开方式
Axure RP 10怎么卸载干净,Axure RP 10怎么在注册表卸载清除
gmm313的博客
01-05 5703
Axure RP 10怎么卸载干净,Axure RP 10怎么在注册表卸载清除
win10彻底删除软件
winsomeWin的博客
05-26 4114
我有洁癖,删除软件就得删得彻底 软件除了本身的目录以外还要检查这些路径: C:\Users\Admin\AppData\Roaming HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\S-1-5-21-2471916610-1624442852-1845872672-1001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\User
解决windows桌面《网络》图标变Network
m0_47164587的博客
04-29 920
1、快捷键win+r打开运行窗口 2、输入regedit 3、地址栏输入:HKEY_CLASSES_ROOT\Local Settings\MuiCache 回车进入该目录 4、展开MuiCache项(文件夹),进入下面一级(名字可能不同),然后继续展开进入下面一级,点击AAF68885项 5、怕危险就:鼠标右击AAF68885,选择“导出”,放一个安全的目录 6、在注册表右侧找到@C:\WINDOWS\system32\NetworkExplorer.dll,-1,并双击 7、修改数值数据为:网络 原
右击图片出现Microsoft WinRT Storage API,点击提示找不到元素的解决思路
四海一叶秋的博客
08-12 6349
右击图片出现Microsoft WinRT Storage API,点击提示找不到元素的解决思路
c++程序影像读取_应急响应手册程序执行痕迹
weixin_39719042的博客
01-15 283
接上一篇应急响应手册-Windows排查流程,程序的执行痕迹可以从注册表、文件、日志三个方面介绍。01—注册表(1) ShimCache微软使用了ShimCache或“AppCompatCache”来识别应用程序的兼容性问题。缓存数据能够追踪文件路径、大小、最后修改时间和最后一次运行的时间。如果一个文件以Windows进程的形式执行过,那么它的信息将会被记录到ShimCache中,但是S...
腾讯电脑管家卸载后的残留信息有哪些,及删除方法总结
m0_72347309的博客
08-23 6787
文章介绍作者在卸载电脑管家的过程中,找出的残留信息,以及删除残留信息的简便方法。 如: C:\ProgramData\Tencent\QMStart C:\ProgramData\Tencent\QQPCMgr HKEY_CLASSES_ROOT\.qmgc HKEY_CLASSES_ROOT\qmgcfiles,等等。 上面列出的注册表项有那么多,一个一个删很麻烦。解决的方法之一是编写reg文件。reg文件相当于修改注册表的脚本,可以直接导入注册表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值