木馬病毒,提起來都讓人害怕,因為他們的破壞性很大,能竊取你的數據如密碼,銀行帳號,游戲帳號,破壞你的硬盤,等等。舊的木馬殺毒軟件可以殺了,但是如果你的電腦中一種新型的木馬病毒你能怎么辦?特別是一些未知類型的木馬病毒,使用一般的殺毒軟件或防木馬軟件是很難將其根除的,這時候我們就需要手動來清除這些病毒文件了。
現在就要我們來認識一下這些木馬病毒的啟動方式:
其實我們只要能破壞這些病毒的啟動條件,就可以達到清除病毒的目的,為此,就本人在這方面的一些經驗提供給大家,以供參考。
病毒的啟動主要分為3類,分別是:一、隨windows系統啟動,二、映像劫持啟動,三、捆綁和嵌入正常程序中啟動。下面我們主要就第一和第二點進行詳細介紹。
第一部分:Windows自啟動程序
一、經典的啟動——“啟動”文件夾
單擊“開始→程序”,你會發現一個“啟動”菜單,這就是最經典的Windows啟動位置,右擊“啟動”菜單選擇“打開”即可將其打開,如所示,其中的程序和快捷方式都會在系統啟動時自動運行。最常見的啟動位置如下:
當前用戶:
所有用戶:
二、有名的啟動——注冊表啟動項
注冊表是啟動程序藏身之處最多的地方,主要有以下幾項:
1.Run鍵
Run鍵是病毒最青睞的自啟動之所,該鍵位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]
和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run],其下的所有程序在每次啟動登錄時都會按順序自動執行。
還有一個不被注意的Run鍵,位于注冊表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run],也要仔細查看。
2.RunOnce鍵
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\ RunOnce]
[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]鍵,與Run不同的是,RunOnce下的程序僅會被自動執行一次。
3.RunServicesOnce鍵
RunServicesOnce鍵位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\Current Version\RunServicesOnce]
和[HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\Current Version\RunServicesOnce]下,其中的程序會在系統加載時自動啟動執行一次。
4.RunServices鍵
RunServices繼RunServicesOnce之后啟動的程序,位于注冊表[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]
和[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]鍵。
5.RunOnceEx鍵
該鍵是Windows XP/2003特有的自啟動注冊表項,位于[HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
6.load鍵
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load鍵值的程序也可以自啟動。
7.Winlogon鍵
該鍵位于位于注冊表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]
和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell鍵值也會有自啟動的程序,而且其鍵值可以用逗號分隔,從而實現登錄的時候啟動多個程序。
8.其他注冊表位置
還有一些其他鍵值,經常會有一些程序在這里自動運行,如:
[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
小提示:注冊表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]鍵的區別:前者對所有用戶有效,后者只對當前用戶有效。
三、古老的啟動——自動批處理文件
從DOS時代過來的朋友肯定知道autoexec.bat(位于系統盤根目錄)這個自動批處理文件,它會在電腦啟動時自動運行,早期許多病毒就看中了它,使用deltree、format等危險命令來破壞硬盤數據。如“C盤殺手”就是用一句“deltree /y c:\*.*”命令,讓電腦一啟動就自動刪除C盤所有文件,害人無數。
小提示:
*在Windows 98中,Autoexec.bat還有一個哥們——Winstart.bat文件,winstart.bat位于Windows文件夾,也會在啟動時自動執行。
*在Windows Me/2000/XP中,上述兩個批處理文件默認都不會被執行。
四、常用的啟動——系統配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也會加載一些自動運行的程序。
1.Win.ini文件
使用“記事本”打開Win.ini文件,在[windows]段下的“Run=”和“LOAD=”語句后面就可以直接加可執行程序,只要程序名稱及路徑寫在“=”后面即可。
小提示:
“load=”后面的程序在自啟動后最小化運行,而“run=”后程序則會正常運行。
2.System.ini文件
使用“記事本”打開System.ini文件,找到[boot]段下“shell=”語句,該語句默認為“shell=Explorer.exe”,啟動的時候運行Windows外殼程序explorer.exe。病毒可不客氣,如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”,如果你強行刪除“妖之吻”病毒程序yzw.exe,Windows就會提示報錯,讓你重裝Windows,嚇人不?也有客氣一點的病毒,如將該句變成 “shell=Explorer.exe 其他程序名”,看到這樣的情況,后面的其他程序名一定是病毒程序如所示。
3.wininit.ini
wininit.ini文件是很容易被許多電腦用戶忽視的系統配置文件,因為該文件在Windows啟動時自動執后會被自動刪除,這就是說該文件中的命令只會自動執行一次。該配置文件主要由軟件的安裝程序生成,對那些在Windows圖形界面啟動后就不能進行刪除、更新和重命名的文件進行操作。若其被病毒寫上危險命令,那么后果與“C盤殺手”無異。
小提示:
*如果不知道它們存放的位置,按F3鍵打開“搜索”對話框進行搜索;
*單擊“開始→運行”,輸入sysedit回車,打開“系統配置編輯程序”,在這里也可以方便的對上述文件進行查看與修改。
現在就要我們來認識一下這些木馬病毒的啟動方式:
其實我們只要能破壞這些病毒的啟動條件,就可以達到清除病毒的目的,為此,就本人在這方面的一些經驗提供給大家,以供參考。
病毒的啟動主要分為3類,分別是:一、隨windows系統啟動,二、映像劫持啟動,三、捆綁和嵌入正常程序中啟動。下面我們主要就第一和第二點進行詳細介紹。
第一部分:Windows自啟動程序
一、經典的啟動——“啟動”文件夾
單擊“開始→程序”,你會發現一個“啟動”菜單,這就是最經典的Windows啟動位置,右擊“啟動”菜單選擇“打開”即可將其打開,如所示,其中的程序和快捷方式都會在系統啟動時自動運行。最常見的啟動位置如下:
當前用戶:
所有用戶:
二、有名的啟動——注冊表啟動項
注冊表是啟動程序藏身之處最多的地方,主要有以下幾項:
1.Run鍵
Run鍵是病毒最青睞的自啟動之所,該鍵位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]
和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run],其下的所有程序在每次啟動登錄時都會按順序自動執行。
還有一個不被注意的Run鍵,位于注冊表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run],也要仔細查看。
2.RunOnce鍵
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\ RunOnce]
[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]鍵,與Run不同的是,RunOnce下的程序僅會被自動執行一次。
3.RunServicesOnce鍵
RunServicesOnce鍵位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\Current Version\RunServicesOnce]
和[HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\Current Version\RunServicesOnce]下,其中的程序會在系統加載時自動啟動執行一次。
4.RunServices鍵
RunServices繼RunServicesOnce之后啟動的程序,位于注冊表[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]
和[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]鍵。
5.RunOnceEx鍵
該鍵是Windows XP/2003特有的自啟動注冊表項,位于[HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
6.load鍵
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load鍵值的程序也可以自啟動。
7.Winlogon鍵
該鍵位于位于注冊表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]
和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell鍵值也會有自啟動的程序,而且其鍵值可以用逗號分隔,從而實現登錄的時候啟動多個程序。
8.其他注冊表位置
還有一些其他鍵值,經常會有一些程序在這里自動運行,如:
[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
小提示:注冊表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]鍵的區別:前者對所有用戶有效,后者只對當前用戶有效。
三、古老的啟動——自動批處理文件
從DOS時代過來的朋友肯定知道autoexec.bat(位于系統盤根目錄)這個自動批處理文件,它會在電腦啟動時自動運行,早期許多病毒就看中了它,使用deltree、format等危險命令來破壞硬盤數據。如“C盤殺手”就是用一句“deltree /y c:\*.*”命令,讓電腦一啟動就自動刪除C盤所有文件,害人無數。
小提示:
*在Windows 98中,Autoexec.bat還有一個哥們——Winstart.bat文件,winstart.bat位于Windows文件夾,也會在啟動時自動執行。
*在Windows Me/2000/XP中,上述兩個批處理文件默認都不會被執行。
四、常用的啟動——系統配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也會加載一些自動運行的程序。
1.Win.ini文件
使用“記事本”打開Win.ini文件,在[windows]段下的“Run=”和“LOAD=”語句后面就可以直接加可執行程序,只要程序名稱及路徑寫在“=”后面即可。
小提示:
“load=”后面的程序在自啟動后最小化運行,而“run=”后程序則會正常運行。
2.System.ini文件
使用“記事本”打開System.ini文件,找到[boot]段下“shell=”語句,該語句默認為“shell=Explorer.exe”,啟動的時候運行Windows外殼程序explorer.exe。病毒可不客氣,如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”,如果你強行刪除“妖之吻”病毒程序yzw.exe,Windows就會提示報錯,讓你重裝Windows,嚇人不?也有客氣一點的病毒,如將該句變成 “shell=Explorer.exe 其他程序名”,看到這樣的情況,后面的其他程序名一定是病毒程序如所示。
3.wininit.ini
wininit.ini文件是很容易被許多電腦用戶忽視的系統配置文件,因為該文件在Windows啟動時自動執后會被自動刪除,這就是說該文件中的命令只會自動執行一次。該配置文件主要由軟件的安裝程序生成,對那些在Windows圖形界面啟動后就不能進行刪除、更新和重命名的文件進行操作。若其被病毒寫上危險命令,那么后果與“C盤殺手”無異。
小提示:
*如果不知道它們存放的位置,按F3鍵打開“搜索”對話框進行搜索;
*單擊“開始→運行”,輸入sysedit回車,打開“系統配置編輯程序”,在這里也可以方便的對上述文件進行查看與修改。
上一篇:文件夾病毒清除方法
下一篇:如何徹底刪除木馬小技巧
