AUTORUNS 8.53软件功能介绍
作者:超级游戏迷 日期:2007-7-12 8:03:16 来源:ikaka 点击:次 评论
4、接下来,可以再保存一份新日志,与老日志比对,寻找有差异的自启动项。如果新日志比老日志启动项目多,则先确认多的启动项目是否是恶意自启动项,可以按照案例一第2到第6步的办法检测,如果确认多出的自启动项是不正常的,参照案例一第7-8步的办法清理。
案例三、利用“跳转到……”这个AUTORUNS和注册表编辑器快速链接方式,修复被病毒修改且不能删除自启动值项值。
我们知道HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这个自启动项是不能删除的,否则系统无法登陆,其注册表值项值正常情况下“c:\windows\system32\userinit.exe ,”(注意逗号是必须有的!),当病毒或者恶意软件入侵后,可能造成该注册表值项值被改成“c:\windows\system32\userinit.exe ,ABC.EXE”,这个多出的ABC.EXE就是病毒(流氓软件)插入的病毒随系统登陆自启动的病毒进程。在AUTORUNS中是不允许修改自启动项值的,怎么办?别着急,AUTORUNS已经想到这点啦,按照下面的办法就可以搞定了:
1、双击打开autoruns.exe,进入AUTORUNS窗口,;
2、“选项”--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮,排除不必要的正常自启动项目;
3、“文件”--“查找”--输入“c:\windows\system32\userinit.exe”--回车,让AUTORUNS自动查找包括“c:\windows\system32\userinit.exe”字段的自启动值项并定位;
我们知道HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这个自启动项是不能删除的,否则系统无法登陆,其注册表值项值正常情况下“c:\windows\system32\userinit.exe ,”(注意逗号是必须有的!),当病毒或者恶意软件入侵后,可能造成该注册表值项值被改成“c:\windows\system32\userinit.exe ,ABC.EXE”,这个多出的ABC.EXE就是病毒(流氓软件)插入的病毒随系统登陆自启动的病毒进程。在AUTORUNS中是不允许修改自启动项值的,怎么办?别着急,AUTORUNS已经想到这点啦,按照下面的办法就可以搞定了:
1、双击打开autoruns.exe,进入AUTORUNS窗口,;
2、“选项”--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮,排除不必要的正常自启动项目;
3、“文件”--“查找”--输入“c:\windows\system32\userinit.exe”--回车,让AUTORUNS自动查找包括“c:\windows\system32\userinit.exe”字段的自启动值项并定位;
图25
4、右键点击此自启动值项,选择“跳转到…………”,发现弹出注册表编辑器的窗口,表示AUTORUNS已经链接到注册表编辑器。在注册表编辑器中对应的注册表值项值中,发现病毒(流氓软件)已经入侵该自启动项目,并释放了一个ABC.EXE随userinit.exe一同自启动:
图26
相关教程