打印本文 
关闭窗口 1.对待一般的非法随系统启动的程序(如弹出网页,打个某些程序,还有在后台执行的木马等)可以随机启动的地方很多,在这里我只介绍常被利用的地方,有的不常见。如果是win98,winme,winxp系统,直接在[开始]菜单的[运行]中输入msconfig -6,进入后,如下图所示:
在启动项里,根据“命令”栏,可以看到启动进程的路径及命令参数等,找到可疑的,将对勾去掉,一般的如果只有启动项目,后面的命令栏什么也没有,通常为非法的。如上图,可只留下杀毒的(kav),防火墙(pfw),ctfmon三个,其它的如MSMSGS是MSN的启动进程,另外两个更是不知道,去掉选择。如果确定某个进程是可疑的,记下路径,重启后删除之。
如果是2000系统,因为没有msconfig,可以从98或是XP系统中系统中copy一份,也照样可以用,只是会弹出找不到**的提示,确定后就能用,最方便的是用第三方的,毒霸很早出的一个注册表清理工具,比较方便,可以从这里下载:
http://db.kingsoft.com/download/3/8.shtml
我比较喜欢直接对注册表修改,因为这样虽然麻烦,但是也是最直接的:)
运行 regedit,进入注册表编辑器,启动项在注册表中主要有两个大位置,分别是第二项和第三项,HKEY_CURRENT_USER和HKEY_CURRENT_MACHINE
先依次展开:
+HKEY_CURRENT_USER
+ Software
+Microsoft
+Windows
+CurrentVersion
Run
RunOnce 将这两个项的右侧的无用启动项,直接删除。
再依次展开 :
+HKEY_CURRENT_MACHINE
+ SOFTWARE
+Microsoft
+Windows
+CurrentVersion
Run
RunOnce
RunOnceEx
将以Run开头的这几个项,都打开看看,有很多木马之类的不是在run中,而是在runonceex等中,随机启动的通常都在这两个地方藏的:)
有时候会有这样的情况,有些删除不了,或者有的一删除,刷新又出来了,这说明是有进程在监测注册表,这样的话,就需要先结束掉非法的进程,结束的方法在下面提到。并且现在的木马都有三进程的,所以非常的难缠。
重启,再打开启动项时,如果启动组中原来删除的又来了,那么这个就需要用下面的方法来对付。
2.对付卷土重来的进程
记下他的准备路径,将他的启动选项去掉,
这里可以借用一个工具,进程查看工具,这个工具大家可以从海娃的网站上下载。并且站上的资源很丰富,可以学很多:)
http://www.51windows.net/share/soft/prcview.zip
这个软件使用非常简单,执行后,所有的进程都会显示出来,找到启动项中类似的进程名,记下他的具体位置,结束掉进程后,找到位置删除掉,如果怕误删,可以直接给程序改扩展名也行。
这个软件非常的实用,我一般都放U盘中,用这个软件所杀的进程,通常是杀毒软件查不出来是病毒的,其实也就是说,如果进程带病毒性质的,最好配合杀毒软件。
另外就是对付木马的过程中,最好断开网络。
由于水平有限,只希望这些会对您有些许启示。。。
| 热门推荐: | 站长教你租用服务器和选择机房 | 笔记本旅途中上网完全解决方案 |
【责任编辑 张洪】
打印本文 关闭窗口