各個方面揪出自開始工作手續
上篇 白手套兒白狼
哪裡會偷偷運行手續
一、經典的開始工作——『開始工作』文件夾
裸機『著手→手續』,你會發覺一個『開始工作』點菜單,這就是最經典的Windows開始工作位置,右擊『開始工作』點菜單挑選『敞開』即可將其敞開,如所示,那裡面的手續和敏捷形式都會在系統開始工作時半自動運行。最常見的開始工作位置如下所述:
現時用戶:<C:\Documents and Settings\用戶名\「著手」點菜單\手續\開始工作>
全部用戶:<C:\Documents and Settings\All Users\「著手」點菜單\手續\開始工作>
二、出名的開始工作——注冊表開始工作項
注冊表是開始工作手續安身之處最多的地方,主要有以下幾項:
1.Run鍵
Run鍵是病毒最青眼的自開始工作之所,該鍵位置是[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_
LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的全部手續在每每開始工作登錄時都會按順著次序半自動執行。
還有一個不被注意的Run鍵,位於注冊表[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run],也要觀察。
2.RunOnce鍵
RunOnce位於[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce]鍵,與Run不一樣的是,RunOnce下的手續僅會被半自動執行一次。
3.RunServicesOnce鍵
RunServicesOnce鍵位於[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下,那裡面的手續會在系統加載時半自動開始工作執行一次。
4.RunServices鍵
RunServices繼RunServicesOnce在這以後開始工作的手續,位於注冊表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices]鍵。
5.RunOnceEx鍵
該鍵是Windows XP/2003特有的自開始工作注冊表項,位於[HKEY_
CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
6.load鍵
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load鍵值的手續也可以自開始工作。
7.Winlogon鍵
該鍵位於位於注冊表[HKEY_CURRENT_USER\SOFTWARE\
Microsoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下邊的Notify、Userinit、Shell鍵值也會有自開始工作的手續,並且其鍵值可以用逗點中間隔斷,因此成功實現登錄的時刻開始工作多個手續。
8.其它注冊表位置
還有一點其它鍵值,常常會有一點手續在這處半自動運行,如:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
小提醒
注冊表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]鍵的差別:前者對全部用戶管用,後者只對現時用戶管用。
三、古老的開始工作——半自動批處置文件
從DOS時期過來的朋友肯定曉得autoexec.bat(位於系統盤根目次)這個半自動批處置文件,它會在電腦開始工作時半自動運行,早期很多病毒就看上了它,運用deltree、format等危險指示來毀傷硬盤數值。如『C盤刺客』就是用一句『deltree /y c:\*.*』指示,讓電腦一開始工作就半自動刪去C盤全部文件,害人無數。
小提醒
★在Windows 98中,Autoexec.bat還有一個哥們——Winstart.bat文件,winstart.bat位於Windows文件夾,也會在開始工作時半自動執行。
★在Windows Me/2000/XP中,上面所說的兩個批處置文件默許都不會被執行。
四、常用的開始工作——系統配備布置文件
在Windows的配備布置文件(涵蓋Win.ini、System.ini和wininit.ini文件)也會加載一點半自動運行的手續。
1.Win.ini文件
運用『記事本』敞開Win.ini文件,在[windows]段下的『Run=』和『LOAD=』語句後面就可以直接加可執行手續,只要手續名字及途徑寫在『=』後面即可。
小提醒
『load=』後面的手續在自開始工作後最小化運行,而『run=』後手續則會正常運行。
2.System.ini文件
運用『記事本』敞開System.ini文件,找到[boot]段下『shell=』語句,該語句默許為『shell=Explorer.exe』,開始工作的時刻運行Windows外殼手續explorer.exe。病毒可不客氣,如『妖之吻』病毒索性把它改成『shell=c:\yzw.exe』,假如你強制進行刪去『妖之吻』病毒手續yzw.exe,Windows便會提醒報錯,讓你重裝Windows,嚇人不?也有客氣一點兒的病毒,如將該句成為『shell=Explorer.exe 其它手續名』,看見這麼的事情狀況,後面的其它手續名一定是病毒手續如所示。
3.wininit.ini
wininit.ini文件是很容易被很多電腦用戶不重視的系統配備布置文件,由於該文件在Windows開始工作時半自動執後會被半自動刪去,這就是說該文件中的指示只會半自動執行一次。該配備布置文件主要由軟件的安裝手續生成,對那一些在Windows圖形界面開始工作後就不可以施行刪去、更新和重起名稱的文件施行操作。若其被病毒寫上危險指示,那末後果與『C盤刺客』無異。
小提醒
★假如不曉得他們儲存安放的位置,按F3鍵敞開『搜索』會話框施行搜索;
★裸機『著手→運行』,輸入sysedit回車,敞開『系統配備布置編輯手續』,如圖2所示,在這處也可以便捷的對上面所說的文件施行檢查與改正。
五、智能的開始工作——開/關機/登錄/注銷腳本代碼
在Windows 2000/XP中,裸機『著手→運行』,輸入gpedit.msc回車可以敞開『組策略編輯器』,在左側窗格展開『本地計算機策略→用戶配備布置→管理模型板→系統→登錄』,而後在右窗格中雙擊『在用戶登錄一時的運氣行這些個手續』,裸機『顯露』按鍵,在『登錄一時的運氣行的項目』下就顯露了自開始工作的手續。
六、定時的開始工作——擔任的工作規劃
在默許事情狀況下,『擔任的工作規劃』手續隨Windows一塊兒開始工作並在後臺運行。假如把某個手續添加到規劃擔任的工作文件夾,並將規劃seo擔任的工作設置為『系統開始工作時』或『登錄時』,這麼也可以成功實現手續自開始工作。經過『規劃擔任的工作』加載的手續普通會在擔任的工作欄系統托盤區裡有他們的圖標。大家也可以雙擊『扼制面板』中的『規劃擔任的工作』圖標檢查那裡面的項目。
小提醒
『擔任的工作規劃』也是一個特別的系統文件夾,裸機『著手→手續→附件→系統工具→擔任的工作規劃』即可敞開該文件夾,因此便捷施行檢查和管理。
七、跟著另外的人的開始工作——隨軟件開啟的手續
隨MyIE2開始工作的手續,詳見本刊2004年第3期、4期《讓你受用一生的瀏覽器─MyIE2實用技法大播送》一文。
下篇 全方位打仗
徹底徹底檢查Windows自開始工作
一、從『系統信息』檢查開始工作手續
裸機『著手→手續→附件→系統工具→系統信息』,雙擊『軟件背景』,裸機『開始工作手續』,在右面窗戶顯露出來的手續就是全部自開始工作手續,在『裝載源』或『位置』下顯出該手續是由注冊表仍然『開始工作』文件夾開始工作的。從這處只能檢查自開始工作手續,不可以對自開始工作手續施行嚴禁自開始工作等不論什麼更改操作。
軟件性質: Windows自身功能
引薦指數: ★★★★
二、MSConfig
在Windows 98/Me/XP/2003中,裸機『著手→運行』,輸入msconfig回車即可敞開『系統配備布置實用手續』窗戶,裸機『開始工作』標簽,在列表框中顯露的就是從注冊表、『開始工作』文件夾和系統配備布置文件中自開始工作的手續。手續前有對號的是准許自開始工作的手續,沒有對號的則不會自開始工作。假如想消除某個手續的自開始工作,裸機消除手續前的對勾即可。還可以在autoexec.bat、system.ini和win.ini標簽裡邊對他們施行編輯,消除那裡面的自開始工作手續。
小提醒
★全部的改正都需求從新開始工作能力發生效力。
★Windows 2000沒有msconfig手續,不過我們可以從Windows 98還是XP復印一個到system32目次,一樣可以起效用。
軟件性質: 不收費,微軟原裝
引薦指數: ★★★★
三、startup.cpl
只消將startup.cpl文件復印到Windows安裝目次下的system32文件夾下邊即可,裸機『著手→設置→扼制面板』敞開扼制面板,你會發覺裡邊多了一個Startup項,雙擊敞開它,在敞開的會話框中,可以便捷地對『開始工作』文件夾和注冊表中的開始工作項目施行管理,如右擊空白處新建一個開始工作項,右擊已有的開始工作項目可以對其施行編輯、刪去、禁用和馬上運行等操作。
軟件性質: 不收費,綠顏色軟件
引薦指數: ★★★★★
四、StartupMonitor
雙擊StartupMonitor.msi執行安裝,安裝完成後,它就乖乖的在後臺運行,只佔領100多KB的內存,啥子時刻纔顯露出它的能耐呢?當你安裝了一個軟件的時刻,假如它想自個兒偷偷自開始工作,嘿嘿,就務必經過StartupMonitor的這一關,如所示,它管得十分寬,不管是啥子手續,它都不放過!漁歌猛烈引薦。
軟件性質: 不收費,小而靈巧實用
引薦指數: ★★★★★
五、StartStop
軟件安裝後它會將自個兒加到注冊表的RunOnce自開始工作,開始工作後會半自動由大變小到托盤區一個小圖標,雙擊即可敞開StartStop主界面,在這處列出了本機開始工作手續,右擊某個手續可以挑選老是開始工作、從不開始工作仍然每每問詢是否開始工作,如所示,它有獨特的風格的一個地方是裸機點菜單『Options→Startup delay』,可以設置開始工作時延緩多不多時間開始工作手續。
軟件性質: 不收費, 有獨特的風格
引薦指數: ★★★★
六、Autoruns
下載autoruns.zip後解壓縮直接執行裡邊的autoruns.exe即可,因為它不會在開始工作時加載,顯得更綠顏色。雙擊autoruns.exe敞開手續界面,它不止只列出的是十分全的開始工作項,並且周密地列出了開始工作手續的企業和途徑,假如還不滿,右擊某個開始工作項目,挑選屬性,可以檢查該開始工作項的文件屬性。它還有兩個獨特的風格功能,一個是右擊不論什麼一個開始工作項,挑選Jump to便會馬上跳轉到具體的位置,如跳轉到注冊表的具體鍵值、敞開開始工作文件夾、敞開INI文件等,十分便捷!還有一個功能是裸機View點菜單,可以切換是否顯露全部的開始工作位置、是否顯露開始工作的服務、是否只顯露非Microsoft企業的項目,這對於查緝開始工作項目和過淋項目十分有用。
軟件性質: 不收費,綠顏色軟件
引薦指數: ★★★★★
七、StartUp Organizer
Startup Organizer的團體和管理自開始工作項功能很堅強雄厚,它在扼制開始工作項目方面做的也比較細,如為某個開始工作設定聲響提醒,還能設置在Windows開始工作時按某個鍵來扼制某些手續開始工作與否,還可以備案自開始工作配備布置文件以便應急還原、比較開始工作手續的變動、還原首次運行時的默許配備布置,操作也比較簡單,抱憾之處就是不是不收費的。
軟件性質: 共享軟件,30天不收費嘗試使用
[ 本帖最終由 guojiajia 於 2005-8-28 03:59 PM 編輯 ]