转载请注明来源 www.ourantivirus.com
http://www.ourantivirus.com/2007/03/windows_autorun_boot_start_method.html
Windows自启动方式简单总结整理
病毒、流氓软件猖獗,了解 windows 系统启动方式对查杀病毒很有用
本文根据网上资料 总结整理一下 windows 系统(win98 2k xp)的自启动方式
据此基本上可以手工杀所有的病毒和流氓软件(当然借助工具更方便快捷)
这里不讨论 IE 浏览器的问题
1. 开始菜单启动目录
这种方式是登录后才启动 基本上大家都知道 注意对号和隐藏属性就行
如:(windows 2000/xp默认)
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
相关注册表信息为:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Startup"="C:\\Documents and Settings\\Administrator\\「开始」菜单\\程序\\启动"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Startup"="C:\\Documents and Settings\\Administrator\\「开始」菜单\\程序\\启动"
windows 98 默认为
C:\windows\start menu\programs\启动
C:\WINDOWS\All Users\Start Menu\Programs\启动
如果有类似病毒或流氓软件用 msconfig 就可以修复
2. 系统配置文件win.ini system.ini启动(先于注册表)
win.ini 启动设置
[windows]
load=file.exe (后台运行)
run=file.exe (默认状态)
system.ini默认为:
[boot]
Shell=Explorer.exe
可启动文件后为:
[boot]
Shell=Explorer.exe file.exe
wininit.ini (Windows Setup Initialization Utility)
[rename]
file1=file2 (file2覆盖file1)
[rename]
nul=file2 (删除file2)
WINSTART.BAT
call filename.exe > nul
AUTOEXEC.BAT
3. 注册表启动 (Run 服务/驱动)
Run 等4个
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Run RunOnce RunServices RunServicesOnce
可执行程序的启动方式 (exe com bat pif hta)
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
服务/驱动 VxD 服务
开始 运行 Services.msc(或者管理工具 服务) 可以查看修改服务的自启动设置情况
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD]
如CNNIC中文上网流氓软件等都是做成驱动 自动修复自己
C:\WINNT\system32\drivers\CDNProt.sys
C:\WINNT\system32\drivers\CDNTran.SYS
4. 其他启动方式
注意 Explorer.EXE 的位置和名字
C:\WINNT\Explorer.EXE
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
之前的搜索顺序是 C:\ C:\WINNT\System32 C:\WINNT
Windows 2000 SP2 已修改 (CodeRed红码是在根目录放Explorer.exe 抢先执行)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"
屏幕保护启动
SYSTEM.INI
SCANSAVE.EXE=C:\WINNT\file.scr
计划任务启动
Autorun.inf 启动
依附启动 (比如 IE 被插了好多流氓插件就是 下文讨论)
Start启动(注意文件名字是不是自己装的)
控制面板启动(.cpl文件)
最后及时提醒不要运行不认识的程序
windows默认会隐藏扩展名 经常有病毒邮件是发个文件名很长的附件
让你只看到前面的假象 比如让你看到 .txt 或者 .jpg 其实是个可执行病毒
保持警惕 分析正在运行的程序进程是不是自己想要的 怎么启动的
多利用搜索引擎 看有没有别人遇到解决过类似问题
