更加多的启动项就要到注册表里寻找了。运行regedit启动注册表编辑器,查找定位到一些启动位置看看是否又异常。以比较常见的位置来说,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion下的Run、RunOnce、RunOnceEx、RunOnceSetup、RunServices、RunServicesOnce以及HKEY_CURRENT_USER分支下对应的这些位置,都可以被利用,其中又尤以Run下的改动最为常见。事实上msconfig所列出的也就是注册表里的东西。另外还有HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionPoliciesExplorerRun及HKEY_CURRENT_USER对应位置等,网上搜索应可以找到一些更加偏的位置,虽然同样可以利用,但是通常比较少见。而对于“C:Documents and Settings用户名开始菜单程序启动”里的所有快捷方式,系统会自动启动。这可以方便的先自己希望自启动的程序。此位置并不常被利用,但还是要留意下。更详细的启动项位置关系可以google下,知道了启动的顺序、作用可以更清楚地了解这个过程,在此不再复述。
对于可疑的自启动项,可以直接删除。并且还要对注册表全面关键字搜索,直接确定的就删除,无法确定的就上网查找信息。而在修改之前,对于犹如系统数据库般的注册表,同样要本着备份的思想。备份的方法是在注册表编辑器里右击要备份的分支,然后“导出”。现在形形色色注册表备份工具,也给注册表的备份和恢复提供了便利。
运行services.msc可以启动系统服务配置。如果病毒成功的获取了系统权限,成功的注册成了系统服务,那么这里也是不能放过的。通常在这里优化系统的服务可以减少必要的进程从而达到优化系统的目的。这些服务设置为自动则会在开机时自启动,设置为手动则是在必要是调用启动。对于危险项(比如Remote Registry)则通常是禁用的。
病毒注册成服务后,有些很明显,没有描述启动位置也很可疑,有些则会伪装。下图是我以前遇到过的一个例子,这让人想起了进程里的伪装,虽然拙劣但是用心良苦。
修改服务时,最好也做好备份,可以导出注册表对应分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。
还有一个地方值得一看,那就是启动/关机脚本。运行gpedit.msc启动组策略编辑器,在位于用户配置-Windows设置-脚本(登录/注销)位置,在这里设置的脚本将会在登录或注销自动执行。
但是很多时候处理问题并不是这么复杂,使用集成工具可以大大简化这些操作。我用的是功能强大的Autoruns(呵呵,又是一个Sysinternals的东西)。这个工具把系统的启动项统统笼络在一个界面里提供管理和查询,有用的描述和映像路径帮助我们找出可疑文件。当然,工具越是强大也就越是危险,以前我还在琢磨Autoruns的使用的时候就搞的系统崩溃了,以后用的时候格外小心...
相关视频
相关阅读 autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法高手支招 巧妙利用系统进程手工杀毒进程与病毒—妙用系统进程手工杀毒王者荣耀人脸识别可以用照片吗王者荣耀人脸识别怎么用王者荣耀人脸识别在哪开启zepeto人脸识别失败怎么办 zepeto识别不了人脸处理方法王者荣耀人脸识别怎么设置
热门文章 Petya勒索病毒怎么预防金山毒霸怎么关闭热点APK在线检测杀毒网址推360安全卫士怎么恢复文
最新文章
美国起诉Adobe 指控隐飞沫传播 罕见“食人细
什么杀毒软件好用清理手机垃圾的软件手机安全保护APP软件哪个好用?推荐常用的手360win7盾甲在哪里 360win7遁甲怎么开启
人气排行 qq电脑管家和360哪个好?和360冲突吗怎么释放c盘空间 360安全卫士怎么清理c盘360防蹭网在哪里?怎么用?APK在线检测杀毒网址推荐手机杀毒软件哪个最好 2014手机杀毒软件排行360杀毒阻止的程序怎么恢复360软件管家下载的东西在哪 360软件管家怎360杀毒的隔离区在哪 360杀毒隔离文件在哪里
查看所有0条评论>>