西西軟件園多重安全檢測(cè)下載網(wǎng)站、值得信賴的軟件下載站!
軟件
軟件
文章
搜索

首頁(yè)西西教程軟件使用 → Autoruns怎么用?Autoruns詳細(xì)圖文教程

Autoruns怎么用?Autoruns詳細(xì)圖文教程

相關(guān)軟件相關(guān)文章發(fā)表評(píng)論 來(lái)源:西西整理時(shí)間:2015/1/26 11:56:35字體大小:A-A+

作者:西西點(diǎn)擊:356次評(píng)論:1次標(biāo)簽: Autoruns

  • 類型:注冊(cè)表工具大。1.2M語(yǔ)言:中文 評(píng)分:10.0
  • 標(biāo)簽:
立即下載

autoruns是一款功能強(qiáng)大的軟件,特別是對(duì)自啟動(dòng)項(xiàng)添加前后的比較功能,PS:“AUTO”=“自動(dòng)”;“RUN”=“運(yùn)行”;因此,“AUTORUNS”=自啟動(dòng)項(xiàng)目組,想必大家已經(jīng)明白其用途了--用于管理開(kāi)機(jī)自啟動(dòng)項(xiàng)目組的一款軟件。

這里雙擊軟件包中的AUTORUNS.EXE這個(gè)文件,就可以進(jìn)入該軟件主程序的窗口:

圖2 

AUTORUNS程序主界面如圖3:

圖3 

工欲善其事,必先利其器。由于軟件首次使用時(shí),默認(rèn)字體是8號(hào)字,比較小,對(duì)于近視眼的同志來(lái)講簡(jiǎn)直是折磨。按照下圖步驟,在彈出的對(duì)話框中把字體調(diào)到10號(hào)字以上吧(可惜的是菜單和標(biāo)簽的中文字體大小不能更改,湊活用吧):

圖4 


圖5

調(diào)整字體后,我們放眼睛望去,可以見(jiàn)到15個(gè)標(biāo)簽,列表下的內(nèi)容全部是用類似注冊(cè)表編輯器的方式顯示的。 

圖6

啟動(dòng)項(xiàng)目管理工具(Autoruns)
10.0
類別: 系統(tǒng)優(yōu)化    大。637KB    語(yǔ)言: 中文
查看詳細(xì)信息 >>

下面簡(jiǎn)單介紹一下各標(biāo)簽的含義:

“全部”--顧名思義,全部的開(kāi)機(jī)自啟動(dòng)項(xiàng)都在這個(gè)標(biāo)簽下啦。另外,它也是雙擊autoruns.exe彈出窗口缺省定位的標(biāo)簽,包括其他標(biāo)簽的所有內(nèi)容。

“登陸”- -細(xì)心的朋友可以發(fā)現(xiàn),該標(biāo)簽下HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun、HKCU SoftwareMicrosoftWindowsCurrentVersionRun這兩個(gè)注冊(cè)表子項(xiàng)的內(nèi)容與系統(tǒng)配置實(shí)用程序“啟動(dòng)”標(biāo)簽下打勾的項(xiàng)目是完全一樣的,甚至“登陸”的圖標(biāo)也和系統(tǒng)配置實(shí)用程序MSCONFIG.EXE的圖標(biāo)完全相同,呵呵!當(dāng)然,除了以上項(xiàng)目外,該標(biāo)簽還包括 HKLMSystemCurrentControlSetControlTerminal ServerWdsrdpwdStartupPrograms、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell這三個(gè)自啟動(dòng)子項(xiàng)的內(nèi)容,這些是用系統(tǒng)配置實(shí)用程序“啟動(dòng)”標(biāo)簽看不到的內(nèi)容。

資源管理器”:對(duì)應(yīng)資源管理器在注冊(cè)表上的子項(xiàng)和值項(xiàng)。

“英特網(wǎng)瀏覽器”:對(duì)應(yīng)的是IE所有瀏覽器幫助對(duì)象(BHO)、網(wǎng)絡(luò)URL地址搜索鉤子、各類IE工具條以及IE常用工具欄按鈕所對(duì)應(yīng)的注冊(cè)表子項(xiàng)和注冊(cè)表值項(xiàng)值。

“計(jì)劃任務(wù)”:和“開(kāi)始”--“程序”--“附件”--“系統(tǒng)信息”--“任務(wù)計(jì)劃”中的內(nèi)容是完全一致的,一般為空。

“服務(wù)”:即HKLMSystemCurrentControlSetServices對(duì)應(yīng)的開(kāi)機(jī)自啟動(dòng)服務(wù)的項(xiàng)目。由于具備開(kāi)機(jī)自啟動(dòng)功能,而且依靠ROOTKIT技術(shù)可以隱蔽運(yùn)行,所以是病毒(流氓軟件)最愛(ài)光臨的地方。

“驅(qū)動(dòng)”:即HKLMSystemCurrentControlSetServices對(duì)應(yīng)的開(kāi)機(jī)自啟動(dòng)驅(qū)動(dòng)程序的項(xiàng)目。同上,又一個(gè)病毒經(jīng)常光臨的樂(lè)園。

“啟動(dòng)執(zhí)行”:在系統(tǒng)登陸前啟動(dòng)的本地映像文件(即WINDOWS映像文件的對(duì)稱)及自啟動(dòng)項(xiàng)的情況。形象地理解一下,就是貌似瑞星的系統(tǒng)登陸前掃描這樣的自啟動(dòng)項(xiàng)。

“映像劫持”:在此標(biāo)簽下的內(nèi)容對(duì)應(yīng)的應(yīng)用程序,開(kāi)機(jī)后即被系統(tǒng)強(qiáng)制劫持而不能運(yùn)行(就是我們經(jīng)常說(shuō)的IFEO,即系統(tǒng)自帶的應(yīng)用程序映像劫持功能)。

“APPINIT”:初始化動(dòng)態(tài)鏈接庫(kù),其內(nèi)容是開(kāi)機(jī)時(shí)系統(tǒng)加載的必要的初始化動(dòng)態(tài)鏈接庫(kù)文件。除了卡巴斯基等少數(shù)軟件需要通過(guò)添加DLL文件到此處實(shí)現(xiàn)從開(kāi)機(jī)就接管系統(tǒng)底層的目的外,一般此項(xiàng)目應(yīng)為空。

“KNOWNDLLS”:系統(tǒng)中已知的DLL文件。

“WINLOGON”:WINLOGON登陸項(xiàng)對(duì)應(yīng)的自啟動(dòng)注冊(cè)表子項(xiàng)及值項(xiàng)。

“WINSOCK提供商”:顯示已注冊(cè)的WINSOCK協(xié)議,包括WINSOCK服務(wù)商。由于目前只有很少的工具能夠移除該項(xiàng)目下的內(nèi)容,惡意軟件經(jīng)常偽裝成WINSOCK服務(wù)商實(shí)現(xiàn)自我安裝。AUTORUNS可以卸載此項(xiàng)目下的內(nèi)容,但不能禁用他們。

“打印監(jiān)視器”:顯示在PRINT SPOOLER服務(wù)中被加載的DLL文件。一些惡意軟件可能利用此服務(wù)項(xiàng)目實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。

“LSA提供商”: LSA的全稱為“Local Security Authority”——本地安全授權(quán),Windows系統(tǒng)中一個(gè)相當(dāng)重要的服務(wù),所有安全認(rèn)證相關(guān)的處理都要通過(guò)這個(gè)服務(wù)。它從 Winlogon.exe中獲取用戶的賬號(hào)和密碼,然后經(jīng)過(guò)密鑰機(jī)制處理,并和存儲(chǔ)在賬號(hào)數(shù)據(jù)庫(kù)中的密鑰進(jìn)行對(duì)比,如果對(duì)比的結(jié)果匹配,LSA就認(rèn)為用戶的身份有效,允許用戶登錄計(jì)算機(jī)。如果對(duì)比的結(jié)果不匹配,LSA就認(rèn)為用戶的身份無(wú)效。這時(shí)用戶就無(wú)法登錄計(jì)算機(jī)。

下面該進(jìn)入正題了。之前,我們需要一一了解該軟件窗口下菜單欄的用法,講解菜單功能之前,先統(tǒng)一一下思想:本軟件窗口項(xiàng)目列表中灰色的部分,我這里叫自啟動(dòng)子項(xiàng)(不能也不允許你刪除,不能使用“驗(yàn)證”、“屬性”菜單功能,想想這應(yīng)該是當(dāng)然的羅),白色的部分,我稱之為自啟動(dòng)值項(xiàng),記住了!

一、主要功能菜單的介紹:

(一)“文件”

該菜單項(xiàng)目的下拉菜單項(xiàng)目包括:

1、“查找”:可以用來(lái)查找和定位包含輸入字段的所有自啟動(dòng)子項(xiàng)和值項(xiàng)。比較實(shí)用的功能。

2、 “比較”:用于比較當(dāng)前狀態(tài)和以前保存過(guò)的日志的差異并設(shè)置標(biāo)記。如果選擇這個(gè)菜單項(xiàng)目,則彈出一個(gè)對(duì)話框要求你選擇一個(gè)你保存過(guò)的以前的日志,選定所需要的日志后,點(diǎn)“打開(kāi)”,如果選定的日志的自啟動(dòng)子項(xiàng)、自啟動(dòng)值項(xiàng)與當(dāng)前的狀態(tài)有差異,AUTORUNS將以綠色突出顯示,表示前后的自啟動(dòng)項(xiàng)存在不符。超有用的功能(后面有介紹)。

3、“保存”、“另存為”:保存日志用的,這里就不多講了。

4、“刷新”:…………過(guò)。

5、“退出”:…………。

圖7

(二)“項(xiàng)目”(其下拉菜單和在項(xiàng)目條上點(diǎn)右鍵彈出的快捷菜單內(nèi)容、功能完全相同)

該菜單項(xiàng)目的下拉菜單項(xiàng)目包括:

1、“刪除”:如果選定了一個(gè)自啟動(dòng)值項(xiàng),該菜單項(xiàng)即可用,可以用來(lái)刪除所選擇的啟動(dòng)項(xiàng)目(可惜不能一次刪除多個(gè)項(xiàng)目,當(dāng)然,也不能刪除開(kāi)機(jī)自啟動(dòng)項(xiàng)目注冊(cè)表子項(xiàng));

2、“復(fù)制”:可以復(fù)制所選擇自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng),可用“粘貼”將啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)的內(nèi)容復(fù)制到其他需要用的地方。

3、“驗(yàn)證”:選擇這個(gè)菜單項(xiàng)后,軟件將自動(dòng)對(duì)列表中所選自啟動(dòng)值項(xiàng)進(jìn)行數(shù)字簽名驗(yàn)證,可以通過(guò)它發(fā)現(xiàn)病毒和流氓軟件的破綻。

4、“跳轉(zhuǎn)到”:選擇這個(gè)菜單項(xiàng)后,將自動(dòng)定位到所選自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)在注冊(cè)表的相應(yīng)位置,比較實(shí)用的功能,多用來(lái)對(duì)有問(wèn)題但不能刪除的自啟動(dòng)值項(xiàng)進(jìn)行編輯,以修改被病毒強(qiáng)行修改的一些系統(tǒng)核心的自啟動(dòng)值項(xiàng)的注冊(cè)表值項(xiàng)值。

5、“GOOGLE/MSN”:選定某個(gè)自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)后,選擇這個(gè)菜單項(xiàng)目將以被選擇內(nèi)容為字段在GOOGLE/MSN上進(jìn)行搜索。

6、“進(jìn)程瀏覽器”:這玩意我用不了,提示有錯(cuò)誤,無(wú)奈先過(guò)了。

7、“屬性”:可以快速顯示自啟動(dòng)值項(xiàng)對(duì)應(yīng)文件的屬性,十分方便的功能,一些時(shí)候可以通過(guò)查找文件屬性相關(guān)數(shù)據(jù)判斷該文件是否正常(如創(chuàng)建時(shí)間等數(shù)據(jù))。

該菜單項(xiàng)目的下拉菜單項(xiàng)目包括:

1、“包括空白啟動(dòng)位置”:如果AUTORUNS找不到自啟動(dòng)值項(xiàng)的啟動(dòng)位置,該值項(xiàng)將以空白顯示。也就是說(shuō),如果AUTORUN找不到映像文件對(duì)應(yīng)的自啟動(dòng)項(xiàng)目,選擇這個(gè)菜單將顯示這個(gè)AUTORUNS不能識(shí)別的自啟動(dòng)項(xiàng)(雖然自啟動(dòng)項(xiàng)目的名稱和說(shuō)明可能都是空的)。勾選或取消勾選后要用“刷新”才有效。

2、“驗(yàn)證代碼簽名”:一個(gè)很實(shí)用的功能,是用來(lái)指驗(yàn)證所有自啟動(dòng)值項(xiàng)的文件簽名(Windows下的硬件有一個(gè)簽名的功能,它是為了保證所有的驅(qū)動(dòng)文件是經(jīng)過(guò)MICROSOFT CORPORATION測(cè)試,符合HAL兼容性),如果核對(duì)通過(guò),則可基本排除自啟動(dòng)值項(xiàng)是惡意軟件的啟動(dòng)項(xiàng)目。勾選后要用“刷新”才有效。

3、“隱藏微軟項(xiàng)目”:同樣是一個(gè)很實(shí)用的功能,可以隱藏微軟認(rèn)證的項(xiàng)目,因?yàn)槲④浾J(rèn)證的項(xiàng)目不再顯示,可供懷疑的自啟動(dòng)子項(xiàng)、自啟動(dòng)值項(xiàng)大幅度減少,使發(fā)現(xiàn)不正常的自啟動(dòng)值項(xiàng)的難度和工作量降低。勾選后要用“刷新”才有效。

4、“字體”:前面都用過(guò)了…………直接過(guò)。

5、“搜索引擎”:有GOOGLE和MSN兩個(gè)子菜單項(xiàng),選擇其中一個(gè)后,被選擇的就被作為AUTORUNS的默認(rèn)搜索引擎,并直接在“項(xiàng)目”下拉菜單或在自啟動(dòng)子項(xiàng)、自啟動(dòng)值項(xiàng)點(diǎn)右鍵彈出菜單的第五項(xiàng)反映出來(lái)。

(四)“用戶”

該菜單項(xiàng)目的下拉菜單項(xiàng)目(根據(jù)操作系統(tǒng)的不同、用戶帳戶的不同,顯示的菜單項(xiàng)目的名稱和個(gè)數(shù)也不同,我的是WINXPSP2操作系統(tǒng),一個(gè)管理員帳戶)包括:

“操作系統(tǒng)版本-用戶帳戶名”和“操作系統(tǒng)版本-超級(jí)管理員用戶帳戶名”。有多少用戶帳戶就有多少個(gè)菜單項(xiàng)目(沒(méi)有試驗(yàn),不知道有興趣的朋友不妨試下)。比如該菜單項(xiàng)的下拉菜單,在我機(jī)只有“WINXPSP2-***”和“WINXPSP2-ADMINISTRATOR”兩個(gè)子項(xiàng)目。用鼠標(biāo)左鍵勾選擇不同項(xiàng)目可以實(shí)時(shí)切換不同帳戶下自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)(哪個(gè)菜單項(xiàng)前打勾,就表示當(dāng)前顯示的是哪個(gè)帳戶的自啟動(dòng)子項(xiàng)目和自啟動(dòng)值項(xiàng))。

(五)“幫助”:直接略過(guò)。

二、常用工具欄的介紹

在菜單欄下面,有一排按鈕組成的常用工具欄,根據(jù)下圖的標(biāo)記的順序,簡(jiǎn)單介紹一下:

1號(hào)按鈕:“保存”按鈕(等同于菜單欄的“文件”--“保存”功能)

2號(hào)按鈕:“刷新”按鈕(等同于菜單欄的“文件”--“刷新”功能)

3號(hào)按鈕:“查找”按鈕(等同于菜單欄的“文件”--“查找”功能)

4號(hào)按鈕:“屬性”按鈕(等同于菜單欄的“項(xiàng)目”--“屬性”功能)

5號(hào)按鈕:“刪除”按鈕(等同于菜單欄的“項(xiàng)目”--“刪除”功能)

6號(hào)按鈕:“跳轉(zhuǎn)”按鈕(等同于菜單欄的“項(xiàng)目”--“跳轉(zhuǎn)到”功能)

圖10

三、特色功能

(一)比起注冊(cè)表編輯器龐大的數(shù)據(jù)庫(kù)來(lái)說(shuō),AUTORUNS顯得更加專業(yè)--只管理開(kāi)機(jī)自啟動(dòng)項(xiàng),別的不管,使用起來(lái)更簡(jiǎn)便和有針對(duì)性。這也是AUTORUNS軟件的最大特色。

(二)利用“文件”--“比較”功能,可輕易找出當(dāng)前系統(tǒng)自啟動(dòng)項(xiàng)比以前保存日志時(shí)系統(tǒng)增加的自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng),使檢驗(yàn)添加自啟動(dòng)項(xiàng)的正常與否變得更加方便。

(三)“驗(yàn)證代碼簽名”、“隱藏微軟項(xiàng)目”這兩個(gè)功能,使得判斷某個(gè)自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)是否是惡意軟件更加簡(jiǎn)單,否則項(xiàng)目太多(一般有200多個(gè)),會(huì)看著發(fā)暈的。

(四)用“跳轉(zhuǎn)到”菜單項(xiàng)目建立了與注冊(cè)表之間的快速切換,特別適合用來(lái)調(diào)用注冊(cè)表編輯器來(lái)編輯一些被惡意軟件強(qiáng)行插入病毒模塊字段的注冊(cè)表值項(xiàng)值。

(五) “屬性”菜單項(xiàng)目可以直接在自啟動(dòng)項(xiàng)目上用右鍵調(diào)出,也可以在選擇該項(xiàng)目后用“項(xiàng)目”--“屬性”調(diào)出,直接定位并顯示自啟動(dòng)項(xiàng)指向映像文件的“屬性”,由此可以方便地利用文件的創(chuàng)建時(shí)間、大小、版本號(hào)等要素判斷映像文件(自啟動(dòng)項(xiàng))是否正常,應(yīng)該是很方便也很有特色的一個(gè)功能!

四、實(shí)戰(zhàn)案例

案例一、刪除有問(wèn)題的驅(qū)動(dòng)保護(hù)

如通過(guò)SRENG掃描日志發(fā)現(xiàn)有個(gè)不明驅(qū)動(dòng)項(xiàng)目USBVM31B.SYS在機(jī)中活動(dòng)。ㄟ@里僅僅是在舉例,實(shí)際上這個(gè)服務(wù)項(xiàng)目是攝像頭驅(qū)動(dòng),而且為了說(shuō)明問(wèn)題我對(duì)該映像文件的“屬性”做了修改,實(shí)際該文件并非病毒驅(qū)動(dòng)文件,不可照搬使用哦。

怎么辦?按照下列步驟,你會(huì)發(fā)現(xiàn),原來(lái)查殺病毒驅(qū)動(dòng)保護(hù)也不復(fù)雜:

1、雙擊autoruns.exe,進(jìn)入AUTORUNS窗口, 

圖12 

2、選項(xiàng)--勾選“隱藏微軟項(xiàng)目”--按菜單欄下常用工具欄的“刷新”按鈕,排除不必要的正常自啟動(dòng)項(xiàng)目; 

圖13

3、“文件”--“查找”--輸入“USBVM31B.SYS”--回車,讓AUTORUNS自動(dòng)查找包括“USBVM31B.SYS”字段的自啟動(dòng)值項(xiàng)并定位; 

圖14 

圖15

如上圖,發(fā)現(xiàn)USBVM31B.SYS這個(gè)DD有驅(qū)動(dòng)保護(hù),且驅(qū)動(dòng)保護(hù)項(xiàng)目為ZSMC301B

圖16

4、右鍵找到的項(xiàng)目條,選擇“驗(yàn)證”,按菜單欄下的“刷新”按鈕刷新一下,發(fā)現(xiàn)AUTORUNS提示“未通過(guò)驗(yàn)證”,有點(diǎn)懷疑;

圖17

5、右鍵該項(xiàng)目條,選擇“屬性”,發(fā)現(xiàn)該映像文件創(chuàng)建時(shí)間是今天。因?yàn)樽罱鼪](méi)有安裝新軟件和硬件,感覺(jué)其有重大安全隱患。

圖18

6、右鍵該項(xiàng)目條,選擇“GOOGLE/MSN”,在網(wǎng)上查找該映像文件的相關(guān)資料:

圖19

7、經(jīng)過(guò)在網(wǎng)絡(luò)上查找資料確認(rèn),認(rèn)定該文件為病毒文件(為說(shuō)明問(wèn)題才這樣說(shuō)的,別當(dāng)真。,這就證明ZSMC301B這個(gè)自啟動(dòng)項(xiàng)目就是病毒的驅(qū)動(dòng)保護(hù)。在該項(xiàng)目條上右鍵,選擇“刪除”,刪除了該自啟動(dòng)項(xiàng)之后, USBVM31B.SYS這個(gè)病毒文件失去了驅(qū)動(dòng)保護(hù),也就無(wú)用武之地了,而且可以直接用“SHIFT”+“DEL”刪除(如果不刪除此驅(qū)動(dòng)保護(hù),你會(huì)發(fā)現(xiàn)在刪除“USBVM31B.SYS”這個(gè)映像文件時(shí),會(huì)出現(xiàn)“該文件正在運(yùn)行,請(qǐng)關(guān)閉相關(guān)的程序后再刪除”之類的提示,或者即便能刪除也會(huì)很快復(fù)活。這就是病毒或流氓軟件熱衷于此的根本原因)。

圖20

8、為了徹底不留后患,按照AUTORUNS提供的信息找到該映像文件(刪除ZSMC301B這個(gè)自啟動(dòng)項(xiàng)前可以在其項(xiàng)目條上右鍵,選擇“復(fù)制”,將復(fù)制內(nèi)容粘貼到寫(xiě)字板或記事本中,以便刪除映像文件時(shí)查找該文件的路徑和文件名),刪除c:windowssystem32driversUSBVM31B.SYS這個(gè)文件。

圖21

案例二、通過(guò)“比較”檢驗(yàn)自己當(dāng)前的自啟動(dòng)項(xiàng)是否有問(wèn)題。

如果以前在機(jī)器正常時(shí)保存了AUTORUNS的日志,而當(dāng)前感覺(jué)機(jī)器明顯有問(wèn)題,可以通過(guò)以下辦法簡(jiǎn)單確認(rèn)惡意軟件可能添加的自啟動(dòng)項(xiàng):

1、雙擊打開(kāi)autoruns.exe,進(jìn)入AUTORUNS窗口,依次點(diǎn)“文件”--“比較”;

圖22

2、在彈出的對(duì)話框中選定前面保存的日志后,點(diǎn)“打開(kāi)”;

圖23

3、這時(shí)AUTORUNS將會(huì)對(duì)當(dāng)前自啟動(dòng)項(xiàng)同打開(kāi)日志的自啟動(dòng)項(xiàng)進(jìn)行比較,對(duì)當(dāng)前自啟動(dòng)項(xiàng)如果比老日志多或者少,整個(gè)列表的項(xiàng)目將以綠色突出顯示!

圖24

4、接下來(lái),可以再保存一份新日志,與老日志比對(duì),尋找有差異的自啟動(dòng)項(xiàng)。如果新日志比老日志啟動(dòng)項(xiàng)目多,則先確認(rèn)多的啟動(dòng)項(xiàng)目是否是惡意自啟動(dòng)項(xiàng),可以按照案例一第2到第6步的辦法檢測(cè),如果確認(rèn)多出的自啟動(dòng)項(xiàng)是不正常的,參照案例一第7-8步的辦法清理。

案例三、利用“跳轉(zhuǎn)到……”這個(gè)AUTORUNS和注冊(cè)表編輯器快速鏈接方式,修復(fù)被病毒修改且不能刪除自啟動(dòng)值項(xiàng)值。

我們知道HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit這個(gè)自啟動(dòng)項(xiàng)是不能刪除的,否則系統(tǒng)無(wú)法登陸,其注冊(cè)表值項(xiàng)值正常情況下“c: windowssystem32userinit.exe ,”(注意逗號(hào)是必須有的。,當(dāng)病毒或者惡意軟件入侵后,可能造成該注冊(cè)表值項(xiàng)值被改成“c:windowssystem32 userinit.exe ,ABC.EXE”,這個(gè)多出的ABC.EXE就是病毒(流氓軟件)插入的病毒隨系統(tǒng)登陸自啟動(dòng)的病毒進(jìn)程。在AUTORUNS中是不允許修改自啟動(dòng)項(xiàng)值的,怎么辦?別著急,AUTORUNS已經(jīng)想到這點(diǎn)啦,按照下面的辦法就可以搞定了:

1、雙擊打開(kāi)autoruns.exe,進(jìn)入AUTORUNS窗口,;

2、“選項(xiàng)”--勾選“隱藏微軟項(xiàng)目”--按菜單欄下常用工具欄的“刷新”按鈕,排除不必要的正常自啟動(dòng)項(xiàng)目;

3、“文件”--“查找”--輸入“c:windowssystem32userinit.exe”--回車,讓AUTORUNS自動(dòng)查找包括“c:windowssystem32userinit.exe”字段的自啟動(dòng)值項(xiàng)并定位;

圖25

4、右鍵點(diǎn)擊此自啟動(dòng)值項(xiàng),選擇“跳轉(zhuǎn)到…………”,發(fā)現(xiàn)彈出注冊(cè)表編輯器的窗口,表示AUTORUNS已經(jīng)鏈接到注冊(cè)表編輯器。在注冊(cè)表編輯器中對(duì)應(yīng)的注冊(cè)表值項(xiàng)值中,發(fā)現(xiàn)病毒(流氓軟件)已經(jīng)入侵該自啟動(dòng)項(xiàng)目,并釋放了一個(gè)ABC.EXE隨userinit.exe一同自啟動(dòng):

圖26

5、用注冊(cè)表編輯器修改[HKLMSOFTWAREMicrosoft Windows NTCurrentVersionWinlogonUserinit]這個(gè)值項(xiàng)的值,由被病毒修改后的“c:windowssystem32 userinit.exe ,ABC.EXE”改為正常的“c:windowssystem32userinit.exe,”(修改注冊(cè)表值項(xiàng)值的操作這里就不羅嗦了)

圖27

7、手工刪除c:windowssystem32ABC.EXE這個(gè)病毒進(jìn)程文件,清除結(jié)束。

小知識(shí):有些自啟動(dòng)值項(xiàng)值是不能刪除的,除了以上說(shuō)的[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit]的“c:windowssystem32userinit.exe,” 外,還有以下幾個(gè)常用的自啟動(dòng)子項(xiàng)也屬于這種情況:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsappinit_dlls,其正常值項(xiàng)值一般為空(安裝卡巴斯基殺軟的除外);

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUIHost,其正常值項(xiàng)值應(yīng)為“l(fā)ogonui.exe”。

總結(jié):

按照登陸啟動(dòng)方式的不同分類表示,也便于使用者縮小范圍,提高效率。當(dāng)然, autoruns8.53的不足之處也是很明顯的,主要是對(duì)不能刪除的核心自啟動(dòng)項(xiàng)的保護(hù)不足,一旦誤操作將造成嚴(yán)重后果,比如刪除了[HKLM SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit]自啟動(dòng)項(xiàng)后,將直接造成開(kāi)機(jī)反復(fù)注銷帳戶,連安全模式都進(jìn)入不了,只能采取重裝系統(tǒng)或用第三方軟件(如ERD2003)來(lái)修復(fù)(這點(diǎn)上,瑞星卡卡貌似也差不多),因此,新手使用時(shí)請(qǐng)一定要慎重;還有,日志比較的功能不太人性化,當(dāng)前自啟動(dòng)項(xiàng)和日志自啟動(dòng)項(xiàng)的差異不能準(zhǔn)確定位,只能讓使用者知道現(xiàn)在的自啟動(dòng)項(xiàng)與以前有變化,但不知道變化在哪里,還要通過(guò)再保存日志與老日志手工比較,有點(diǎn)麻煩;另外,隨著SRENG等老牌系統(tǒng)掃描工具功能的加強(qiáng),AUTORUNS的優(yōu)勢(shì)越來(lái)越不明顯,最新版本AUTORUNS8.61還居然搞成了安裝版…………。

不管怎么樣,對(duì)于常在病毒身邊走的我們,有一些好的系統(tǒng)掃描和檢查工具是必要的,autoruns8.53雖然功能有一定局限性,但簡(jiǎn)單易學(xué),也許能如你所愿。

    注冊(cè)表工具
    (13)注冊(cè)表工具
    西西軟件園提供好用的注冊(cè)表編輯器,注冊(cè)表清理工具,注冊(cè)表修復(fù)工具,很多朋友會(huì)問(wèn)注冊(cè)表編輯器怎么打開(kāi)西西小編解答開(kāi)始運(yùn)行中輸入就可以了.通常我們卸載軟件的時(shí)候是不可能卸載掉注冊(cè)表的,除非是專業(yè)工具,西西小編整理了一些非常好用的注冊(cè)表清理工具。注冊(cè)表?yè)p壞,我們電腦中的一些文件就不能打開(kāi),西西小編推薦的注冊(cè)表修復(fù)工具輕松解決。...更多>>
    • NG Regedit(注冊(cè)表編輯器)v1.0 綠色

      05-11 / 291KB

      推薦理由:  NG Regedit是增強(qiáng)版的注冊(cè)表編輯器。與系統(tǒng)自帶的注冊(cè)表編輯器相比,它支持移動(dòng)鍵值、類型轉(zhuǎn)換,以及更
    • 注冊(cè)表編輯器(Reg Workshop)4.0.2.

      07-06 / 662KB

      推薦理由:Registry Workshop 是一個(gè)高級(jí)注冊(cè)表編輯器。這是一個(gè)完美的替代RegEdt32或RegEdit的工具。除了所有的標(biāo)準(zhǔn)功
    • 360注冊(cè)表清理獨(dú)立版綠色版

      04-09 / 1.1M

      推薦理由:注冊(cè)表垃圾清理功能能夠識(shí)別注冊(cè)表錯(cuò)誤,清除無(wú)效注冊(cè)表實(shí)體,使你的系統(tǒng)更加穩(wěn)定流暢。全部掃描結(jié)果項(xiàng)無(wú)效
    • 注冊(cè)表清理(PC Tools Registry Mec

      09-23 / 18.2M

      推薦理由:Registry Mechanic 是一款“傻瓜型”注冊(cè)表檢測(cè)修復(fù)工具。即使您一點(diǎn)都不懂注冊(cè)表,也可以在幾分鐘之內(nèi)修復(fù)
    • Wise Registry Cleaner free(注冊(cè)表

      07-11 / 1.9M

      推薦理由:Wise Registry Cleaner是用來(lái)掃描Windows注冊(cè)表并查找注冊(cè)表中的不正確或過(guò)時(shí)的信息。其特點(diǎn)是只需要幾秒鐘
    • 硬盤(pán)和注冊(cè)表清理工具(Wise PC Eng

      05-15 / 7.8M

      推薦理由: wise pc engineer漢化版是一款集注冊(cè)表整理、硬盤(pán)清理、文件加密解密等多功能于一體的系統(tǒng)優(yōu)化軟件。

    相關(guān)評(píng)論

    閱讀本文后您有什么感想? 已有人給出評(píng)價(jià)!

    • 8 喜歡喜歡
    • 3 頂
    • 1 難過(guò)難過(guò)
    • 5 囧
    • 3 圍觀圍觀
    • 2 無(wú)聊無(wú)聊

    熱門(mén)評(píng)論

    最新評(píng)論

    發(fā)表評(píng)論 查看所有評(píng)論(1)

    昵稱:
    表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
    字?jǐn)?shù): 0/500 (您的評(píng)論需要經(jīng)過(guò)審核才能顯示)