Windows系统运行位置大全 执行程序
下面把各种随Windows运行而启动的程序可能躲藏的地方,一一给大家指出来:
第1步:清理注册表启动项目。
注册表是启动程序藏身之处最多的地方,主要有以下几项:
①Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
②还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionPolicies/Explorer/Run],也要仔细查看。
③RunOnce键RunOnce
位于[HKEY_CURRENT_USER/Software/Microsoft/WindowsCurrentVersion/RunOnce]和[HKEY_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersion/RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
④RunServicesOnce键
RunServicesOnce键位于[HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion/RunServicesOnce]和[HKEY_LOCAL_MACHINESoftware/Microsoft/Windows/CurrentVersion/RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
⑤RunServices键
RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRunServices]键。
⑥RunOnceEx键
该键是WinXP特有的自启动注册表项,位于[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]。
⑦load键
[HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows]下的load键值的程序也可以自启动。
⑧Winlogon键
该键位于位于注册表[HKEY_CURRENT_USER/SOFTWAREMicrosoft/Windows NT/CurrentVersion/Winlogon]和[HKEY_LOCAL_MACHINESOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且云操作系统其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
⑨其他注册表位置还有一些其他键值,经常会有一些程序在这里自动运行,如:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/Shell]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/Scripts]
[HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/System/Scripts]
第2步:清理系统配置文件。
在Windows的配置文件(主要是Win.ini、System.ini和wininit.ini这三个文件),也可以加载一些自动运行的程序。
①Win.ini文件
使用“记事本”打开“C:\Windows\Win.ini”文件,在[windows]段下的“Run=”和“LOAD=”语句后面就信息安全可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
小提示:“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
②System.ini文件
使用“记事本”打开“C:\Windows\System.ini”文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序Explorer.exe。如果是病毒,可能是这样“shell=c:/xxxx.exe”。当然,除了Explorer.exe外,也可以执行其他的系统程序,如“Shell "C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.XXX.com" ”,这就是启动自动用浏览器打开“http://www.XXX.com”网站。
③Wininit.ini
Wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。Wininit.ini文件在系统中起到一个延迟删除的积分管理作用,我们都知道在Windows中,一个可执行文件如果正在运行或某个库文件(*. dll 、*.vxd、*.sys 等)正在被打开使用,则不能被改写或删除。如果我们要对这样文件(比如驱动)进行升级或改动,就必须在Windows保护模式下进行,于是Windows就提供了这样一个机制,即在系统重启时将在Windows目录下搜索Wininit.ini文件,如果找到就遵照该文件指令删除、改名、更新文件,完成任务后,将删除Wininit.ini文件本身,然后继续启动。当然,这个机制可以被病毒所用的。比如病毒可以利用Wininit.ini文件感染DLL文件,Wininit.ini的文件内容如下:
[rename]
nul=c:\windows\dll.lzh
c:\windows\system\wsock33.dll=c:\windows\system\wsock32.dll
c:\windows\system\wsock32.dll=c:\windows\dll.tmp
第一行是删除dll.lzh ,第二行是把原wsock32.dll改名为wsock33.dll,第三行用dll.tmp替换wsock32.dll。下一次启动时指令将生效,这样wsock32.dll就被感染了。
小提示:
★如果不知道Win.ini、System.ini和wininit.ini存放的位置,按F3键打开“搜索”对话框进行搜索;
★单击“开始→运行”,输入“sysedit”回车,打开“系统配置编辑程序”,在这里也可以方便的对上述文件进行查看与修改(如图2)。
第3步:清理开/关机/登录/注销脚本。
单击“开始→运行”,输入“gpedit.msc”后回车,可以打开“组策略编辑器”,依次展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗口中双击“在用户登录时运行这些程序”,将该项目设置为“已禁用”,单击“确定”后关闭组策略编辑器。
第4步:清理任务计划。
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动,这时可以双击“控制面板”中的“计划任务”图标查看有哪些其中的项目,将不必要的计划删除即可。编辑:xiaorecollect
第1步:清理注册表启动项目。
注册表是启动程序藏身之处最多的地方,主要有以下几项:
①Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
②还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionPolicies/Explorer/Run],也要仔细查看。
③RunOnce键RunOnce
位于[HKEY_CURRENT_USER/Software/Microsoft/WindowsCurrentVersion/RunOnce]和[HKEY_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersion/RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
④RunServicesOnce键
RunServicesOnce键位于[HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion/RunServicesOnce]和[HKEY_LOCAL_MACHINESoftware/Microsoft/Windows/CurrentVersion/RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
⑤RunServices键
RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRunServices]键。
⑥RunOnceEx键
该键是WinXP特有的自启动注册表项,位于[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]。
⑦load键
[HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows]下的load键值的程序也可以自启动。
⑧Winlogon键
该键位于位于注册表[HKEY_CURRENT_USER/SOFTWAREMicrosoft/Windows NT/CurrentVersion/Winlogon]和[HKEY_LOCAL_MACHINESOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且云操作系统其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
⑨其他注册表位置还有一些其他键值,经常会有一些程序在这里自动运行,如:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/Shell]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/Scripts]
[HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/System/Scripts]
第2步:清理系统配置文件。
在Windows的配置文件(主要是Win.ini、System.ini和wininit.ini这三个文件),也可以加载一些自动运行的程序。
①Win.ini文件
使用“记事本”打开“C:\Windows\Win.ini”文件,在[windows]段下的“Run=”和“LOAD=”语句后面就信息安全可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
小提示:“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
②System.ini文件
使用“记事本”打开“C:\Windows\System.ini”文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序Explorer.exe。如果是病毒,可能是这样“shell=c:/xxxx.exe”。当然,除了Explorer.exe外,也可以执行其他的系统程序,如“Shell "C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.XXX.com" ”,这就是启动自动用浏览器打开“http://www.XXX.com”网站。
③Wininit.ini
Wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。Wininit.ini文件在系统中起到一个延迟删除的积分管理作用,我们都知道在Windows中,一个可执行文件如果正在运行或某个库文件(*. dll 、*.vxd、*.sys 等)正在被打开使用,则不能被改写或删除。如果我们要对这样文件(比如驱动)进行升级或改动,就必须在Windows保护模式下进行,于是Windows就提供了这样一个机制,即在系统重启时将在Windows目录下搜索Wininit.ini文件,如果找到就遵照该文件指令删除、改名、更新文件,完成任务后,将删除Wininit.ini文件本身,然后继续启动。当然,这个机制可以被病毒所用的。比如病毒可以利用Wininit.ini文件感染DLL文件,Wininit.ini的文件内容如下:
[rename]
nul=c:\windows\dll.lzh
c:\windows\system\wsock33.dll=c:\windows\system\wsock32.dll
c:\windows\system\wsock32.dll=c:\windows\dll.tmp
第一行是删除dll.lzh ,第二行是把原wsock32.dll改名为wsock33.dll,第三行用dll.tmp替换wsock32.dll。下一次启动时指令将生效,这样wsock32.dll就被感染了。
小提示:
★如果不知道Win.ini、System.ini和wininit.ini存放的位置,按F3键打开“搜索”对话框进行搜索;
★单击“开始→运行”,输入“sysedit”回车,打开“系统配置编辑程序”,在这里也可以方便的对上述文件进行查看与修改(如图2)。
第3步:清理开/关机/登录/注销脚本。
单击“开始→运行”,输入“gpedit.msc”后回车,可以打开“组策略编辑器”,依次展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗口中双击“在用户登录时运行这些程序”,将该项目设置为“已禁用”,单击“确定”后关闭组策略编辑器。
第4步:清理任务计划。
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动,这时可以双击“控制面板”中的“计划任务”图标查看有哪些其中的项目,将不必要的计划删除即可。编辑:xiaorecollect
作者: 小马子abc 发布时间: 2011-11-28
当有一个好贴诞生时,最好的效果就是能上图说明结果。达到有图有真相,图文并茂!
作者: lihong 发布时间: 2011-11-29