HK_C_U\Software\Microsoft\Windows\ShellNoRoam\MUICache键值作用

11密码忘记了，下了个星号查看器，结果什么也没看到（估计放到读文件），还赠送了一堆流氓软件，这也就罢了，还送一个灰鸽子。

症状就是ie8启动器显示要恢复（我关机前没有强制关ie），开机的时候显示cmd，一闪而过，自动打开瑞毅流量统计，www.tao123.com等网站，还启动write.exe进程。囧

用360扫了下，居然扫到了C:\Program Files\360\explore.exe,注册表一搜，结果发现在HK_C_U\Software\Microsoft\Windows\ShellNoRoam\MUICache

同时有:c:\Program Files\360\XXY.DLL,classid为HKEY_CLASSES_ROOT\CLSID\{B69F34DD-F0F9-42DC-9EDD-957187DA688D},控件名为BhoNew.BhoApp.1

 

搜了下说这个键值作用是：

记录运行过的可执行文件的绝对路径
键值：数值名称为绝对路径，数值数据（为空时，即为exe名称）与版本信息Version info 中 的文件描述FileDescription。
应用：
1、防火墙阻止程序名称与实际程序描述不一致时，只能通过注册表更改数值数据信息（如绝对路径不变，即不会建立新的键值时），也可直接删除整个键，系统会重新建 立新的键值。
2、个性化系统exe名称显示，更改数值数据信息。 如，查找到“回收站”键值更改为“垃圾桶”等。其它程序也可做类似的更改。

 

以后中毒岂不是可以来看看了。。。。。

参考：http://www.todo.net.cn/tech/article.asp?id=501

http://baike.baidu.com/view/21313.htm