手工杀毒拾零 - 注册表中的自启动项及其详解.docxVIP

手工杀毒拾零 - 注册表中的自启动项及其详解 这是手工杀毒知识当中比较重要的一个方面。所以大家要多思考，多实践，多提问，能够举一反三，灵活运用。 先来列举一下注册表中的启动项吧，这是doit软件自启动项这个功能中收集的注册表中的自启动项，现分享于大家： 1、 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\load 这个，load是指“值”，在注册表中，位于右边窗口的“名称”一列。一般新安装的操作系统，他的数据是空的。病毒可以把自身路径写到他的数据里，这样实现开机自启动。如下 图所示： 其它的注册表中的自启动项都是如此实现开机启动了。后面的教程不再重复。 2、 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 这里\是在左边窗口中找，也就是说它是个“项”。我们的输入法指示器，也就是右下角更改输入法的地方的图标，就是从这里自启动的。启动项名称为“ctfmon.exe”。注意不是ctfmon。要想找ctfmon.exe，请在注册表的窗口的右边找。 3、 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce 这里\是在左边窗口中找，也就是说它是个“项”。它的启动项请从右侧找。当然可能没有。 4、 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run 这里\是在左边窗口中找，也就是说它是个“项”。它的启动项请从右边找，当然可能没有。这个启动项可能会被很多人包括很多杀毒辅助工具所忽略 5、 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\run 这个，run是指“值”，在注册表中，位于右边窗口的“名称”一列。默认的可能没有此run值。病毒会修改run的数据一列的数据。 6、 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Command Processor\\autorun 这个启动项，是随cmd程序一起启动的。也就是说，只有当打开cmd窗口的时候，才会启动相应的项。要想找到“autorun”，请从右侧窗口找。 7、 HKEY_CURRENT_USER\\Software\\Microsoft\\Command Processor\\autorun 这个和上面的一样。 8、 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 这个和前面第2个相同。 9、 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce 这个和前面第3个相同。 10、 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 这个和前面第4个相同。 11、 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell 找到这个项之后，请从右边找到名称为“shell”的一个字符串值。它的默认值是“Explorer.exe”。也就是我们的桌面。而病毒会利用这个项来启动自身，比如病毒路径名是：c:\\windows\\abc.exe，那么病毒会如此修改数据：\c:\\windows\\abc.exe\。注意explorer.exe和后面的部分中间有空格。这样在打开桌面的同时，abc.exe这个病毒也同时启动了。 12、 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit 要找到“userinit”，请从右边窗口找。该值的数据默认是“C:\\WINDOWS\\system32\%