6,849
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
bean_123 2009-05-10
- 打赏
- 举报
手动杀毒涉及的知识很多哦,这里没办法说清楚的,你可以根据自己的实际情况对照下面的分类学习相关的知识,不断提高充实自己。
1. 菜鸟型。完全依赖杀毒软件,平时不关注计算机安全知识,自己不会重装系统。杀毒软件不做过多评价,推荐卡巴。
2. 重装系统型。能够病毒发作后的明显症状,比如杀毒软件不能启动,CPU占用率100%,双击磁盘打不开,应用程序图标被修改,隐藏文件不能显示(这里要注意,文件夹选项里面有两个选项与隐藏文件相关,隐藏系统文件和不显示隐藏文件,大部分的病毒会允许显示隐藏文件但是禁止显示系统文件),发现这些病毒症状后重装系统。
3. 手动杀毒型。能够发现一些更隐蔽的病毒或者木马,会利用一些辅助工具手动清除大部分常见的病毒或者木马。这种类型的人对windows系统有一定的了解,特别是进程、启动项和服务等知识,了解常见病毒的行为和工作原理,比如应用程序镜像劫持、SSDT以及dll注入(可以baidu一下看看介绍)。学会利用各种工具是这类人的特点,比如wsyscheck(进程和文件管理)、冰刃(进程和文件管理)、unlocker(删除文件)、sreng2(启动项分析)、瑞星卡卡(不是瑞星杀毒软件)或者360卫士(启动项分析)。
4. 专家型。熟悉windows核心编程和windows驱动编程,对windows系统工作原理和目前流行的病毒技术有深入的了解,没事的时候喜欢写一些专杀或者病毒。
看看自己现在还欠缺哪些知识,赶紧找书找资料学习学习吧!^_^
1. 菜鸟型。完全依赖杀毒软件,平时不关注计算机安全知识,自己不会重装系统。杀毒软件不做过多评价,推荐卡巴。
2. 重装系统型。能够病毒发作后的明显症状,比如杀毒软件不能启动,CPU占用率100%,双击磁盘打不开,应用程序图标被修改,隐藏文件不能显示(这里要注意,文件夹选项里面有两个选项与隐藏文件相关,隐藏系统文件和不显示隐藏文件,大部分的病毒会允许显示隐藏文件但是禁止显示系统文件),发现这些病毒症状后重装系统。
3. 手动杀毒型。能够发现一些更隐蔽的病毒或者木马,会利用一些辅助工具手动清除大部分常见的病毒或者木马。这种类型的人对windows系统有一定的了解,特别是进程、启动项和服务等知识,了解常见病毒的行为和工作原理,比如应用程序镜像劫持、SSDT以及dll注入(可以baidu一下看看介绍)。学会利用各种工具是这类人的特点,比如wsyscheck(进程和文件管理)、冰刃(进程和文件管理)、unlocker(删除文件)、sreng2(启动项分析)、瑞星卡卡(不是瑞星杀毒软件)或者360卫士(启动项分析)。
4. 专家型。熟悉windows核心编程和windows驱动编程,对windows系统工作原理和目前流行的病毒技术有深入的了解,没事的时候喜欢写一些专杀或者病毒。
看看自己现在还欠缺哪些知识,赶紧找书找资料学习学习吧!^_^
小y正在思考人生 2009-05-08
- 打赏
- 举报
病毒是在无外呼就是在windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件,然后自动插入进程,照成电脑等等的问题
你监视进程里可疑的上诉的三文件,基本就是病毒
你监视进程里可疑的上诉的三文件,基本就是病毒
等待戈多12 2009-05-08
- 打赏
- 举报
[Quote=引用 8 楼 chenmeiling2008 的回复:]
楼上的fkcqzwx谢谢啦,但是额滴双眼只有两个大问号哦 !我慢慢研究一下~~~
[/Quote]
病毒大的来说分两种吧,一种是运行它才会启动,一般通过绑定文件的方式传播运行。从网上下载的一些东西,如一首歌,别人用一个文件捆绑工具,可以轻易地把病毒跟这首歌捆绑起来,你一运行这首歌,就中病毒了,然后病毒就会实施它的目的。另一种是自启动,就是一进入系统或一开机就会启动,这种病毒最常见,经常会导致系统启动、运行速度变慢,这还是比较明显的,有时候中了病毒(也包含木马),潜伏在计算机里面,获取用户信息,所以你需要熟悉系统常见进程,还有病毒的启动方式,才能彻底根除。
楼上的fkcqzwx谢谢啦,但是额滴双眼只有两个大问号哦 !我慢慢研究一下~~~
[/Quote]
病毒大的来说分两种吧,一种是运行它才会启动,一般通过绑定文件的方式传播运行。从网上下载的一些东西,如一首歌,别人用一个文件捆绑工具,可以轻易地把病毒跟这首歌捆绑起来,你一运行这首歌,就中病毒了,然后病毒就会实施它的目的。另一种是自启动,就是一进入系统或一开机就会启动,这种病毒最常见,经常会导致系统启动、运行速度变慢,这还是比较明显的,有时候中了病毒(也包含木马),潜伏在计算机里面,获取用户信息,所以你需要熟悉系统常见进程,还有病毒的启动方式,才能彻底根除。
大魔玲 2009-05-08
- 打赏
- 举报
[Quote=引用 18 楼 bean_123 的回复:]
平时多关注一下进程是个好方法。
对付病毒:平时打开系统文件及隐藏文件(如果系统文件都看不找肯定中过病毒了),关注一下硬盘各个根目录下有没有异常文件,RECYCLER和System Volume Information文件夹属于正常,如果有autorun.inf肯定中病毒了。
对付木马:有些木马隐藏的很好,不容易看出来,需要查看防火墙的监控,看有没有异常连接。
还想更仔细一点,可以下载个SREng,没事的时候扫描一下,另外,瑞星卡卡里面的高…
[/Quote]
autorun.inf我以前中毒过,也中过.exe病毒,我的文件全部隐藏了,我重装系统也没办法看到我的文件,只好搬到学校修电脑的地方,他给我恢复了部分文件也重装了系统。我现在用的是江民,没有用瑞星。软件是买电脑的时候送的,里面也有防火墙,但是那个防火墙不能用,我只好卸载了,我以前也安装过防火墙,但是没有一次能用的,所以再也没有用过了。
楼上说的,检查系统文件,如果我真的能确定这个那个系统文件是什么,那我也不用在这里发帖子问怎么检查电脑是否中毒了,那我也是高手了。我是一个彻彻底底的菜鸟,C盘里的东西我从不动,C盘我也几乎不打开。我连装什么软件也装到别的盘子里……我记得以前我电脑出问题,刚好我们老师来宿舍检查,我就让他帮我看看,他一打开电脑噼噼啪啪打开这个那个啥的,然后就扔下几句话“中毒了,太深了,重做个系统吧”完事,当时挺诧异的,也挺佩服的。我重装系统往往是在电脑实在不好用的时候。这次同学的同学看了一下就说“同学,劝你还是重做个系统吧,中毒太深了”我又开始诧异了,到底是怎么检查出来的呢,所以下定决心要弄个明白……
我不想用杀毒软件或者啥去检查,不是每一个病毒都能用查到的……那种办法用来检查病毒也太木了……
平时多关注一下进程是个好方法。
对付病毒:平时打开系统文件及隐藏文件(如果系统文件都看不找肯定中过病毒了),关注一下硬盘各个根目录下有没有异常文件,RECYCLER和System Volume Information文件夹属于正常,如果有autorun.inf肯定中病毒了。
对付木马:有些木马隐藏的很好,不容易看出来,需要查看防火墙的监控,看有没有异常连接。
还想更仔细一点,可以下载个SREng,没事的时候扫描一下,另外,瑞星卡卡里面的高…
[/Quote]
autorun.inf我以前中毒过,也中过.exe病毒,我的文件全部隐藏了,我重装系统也没办法看到我的文件,只好搬到学校修电脑的地方,他给我恢复了部分文件也重装了系统。我现在用的是江民,没有用瑞星。软件是买电脑的时候送的,里面也有防火墙,但是那个防火墙不能用,我只好卸载了,我以前也安装过防火墙,但是没有一次能用的,所以再也没有用过了。
楼上说的,检查系统文件,如果我真的能确定这个那个系统文件是什么,那我也不用在这里发帖子问怎么检查电脑是否中毒了,那我也是高手了。我是一个彻彻底底的菜鸟,C盘里的东西我从不动,C盘我也几乎不打开。我连装什么软件也装到别的盘子里……我记得以前我电脑出问题,刚好我们老师来宿舍检查,我就让他帮我看看,他一打开电脑噼噼啪啪打开这个那个啥的,然后就扔下几句话“中毒了,太深了,重做个系统吧”完事,当时挺诧异的,也挺佩服的。我重装系统往往是在电脑实在不好用的时候。这次同学的同学看了一下就说“同学,劝你还是重做个系统吧,中毒太深了”我又开始诧异了,到底是怎么检查出来的呢,所以下定决心要弄个明白……
我不想用杀毒软件或者啥去检查,不是每一个病毒都能用查到的……那种办法用来检查病毒也太木了……
bean_123 2009-05-08
- 打赏
- 举报
平时多关注一下进程是个好方法。
对付病毒:平时打开系统文件及隐藏文件(如果系统文件都看不找肯定中过病毒了),关注一下硬盘各个根目录下有没有异常文件,RECYCLER和System Volume Information文件夹属于正常,如果有autorun.inf肯定中病毒了。
对付木马:有些木马隐藏的很好,不容易看出来,需要查看防火墙的监控,看有没有异常连接。
还想更仔细一点,可以下载个SREng,没事的时候扫描一下,另外,瑞星卡卡里面的高级工具有个启动项管理,里面的启动项非常全面,不必自己去找注册表了。有好的工具为什么不好好利用呢~ ^_^
对付病毒:平时打开系统文件及隐藏文件(如果系统文件都看不找肯定中过病毒了),关注一下硬盘各个根目录下有没有异常文件,RECYCLER和System Volume Information文件夹属于正常,如果有autorun.inf肯定中病毒了。
对付木马:有些木马隐藏的很好,不容易看出来,需要查看防火墙的监控,看有没有异常连接。
还想更仔细一点,可以下载个SREng,没事的时候扫描一下,另外,瑞星卡卡里面的高级工具有个启动项管理,里面的启动项非常全面,不必自己去找注册表了。有好的工具为什么不好好利用呢~ ^_^
herohlq 2009-05-08
- 打赏
- 举报
要这么费神吗?杀毒软件更新包是最新的,开着防护,防火墙开着,反木马开着。机子不会特别慢或进程名称基本是很眼熟的就OK了。
zhao_999 2009-05-08
- 打赏
- 举报
可以通过进程查看是否有陌生的进程,
但是有些病毒会伪造系统进程,
但是可以查看文件的路径,
有这些方法可以识别大多数病毒了
但是有些病毒会伪造系统进程,
但是可以查看文件的路径,
有这些方法可以识别大多数病毒了
larenv 2009-05-08
- 打赏
- 举报
可以利用这个工具:Wsyscheck
可以到资源里下载。
很不错的
可以到资源里下载。
很不错的
baby88699 2009-05-08
- 打赏
- 举报
众说纷纭
janser08 2009-05-07
- 打赏
- 举报
呵呵呵,很有钻研精神,不错不错!!!!!!!!!!!!
akinicn 2009-05-07
- 打赏
- 举报
其实很简单,比如你的账号是否有异常,机器启动后是不是比平时慢很多。这些简单的表面现象还是可以帮你判断出是否有病毒的存在。
fairchild811 2009-05-06
- 打赏
- 举报
杀毒软件吧,占进程等正常情况也可能发生
liudongyue1987 2009-05-06
- 打赏
- 举报
不是吧。你啥电脑。天天要杀毒?!我电脑半年没杀毒了。平时不上非法网站就不用担心。难道你是。。。。。。。。。。。。
嘿嘿嘿嘿
嘿嘿嘿嘿
大魔玲 2009-05-06
- 打赏
- 举报
[Quote=引用 1 楼 liudongyue1987 的回复:]
这个问题问的啊!!!
你感觉不对劲了,有杀毒软件杀杀吗!
[/Quote]
呵呵,我需要“专业”的“鉴定",这种方法太老套、太平常,我几乎天天在用~~~
这个问题问的啊!!!
你感觉不对劲了,有杀毒软件杀杀吗!
[/Quote]
呵呵,我需要“专业”的“鉴定",这种方法太老套、太平常,我几乎天天在用~~~
liudongyue1987 2009-05-06
- 打赏
- 举报
这个问题问的啊!!!
你感觉不对劲了,有杀毒软件杀杀吗!
你感觉不对劲了,有杀毒软件杀杀吗!
大魔玲 2009-05-06
- 打赏
- 举报
楼上的fkcqzwx谢谢啦,但是额滴双眼只有两个大问号哦 !我慢慢研究一下~~~
等待戈多12 2009-05-06
- 打赏
- 举报
五.其他启动方式:
(1).C:\Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
搜索顺序如下:
(1). 搜索当前目录.
(2). 如果没有搜索到Explorer.exe则系统会获取
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.
(3). 如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
(1). %SystemDrive%(例如C:\)
(2). %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
(3). %SystemRoot%(例如C:\WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr
这种启动方式具有一定危险.
(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=*.exe
ICON=icon(图标文件).ico
1.如一个木马,为*.exe.那么Autorun.inf则可以如下:
OPEN=Windows\*.exe
ICON=*.exe
这时,每次双击C盘的时候就可以运行*.exe.
2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:\*.exe
ICON=*.exe
这时,双击C盘则可以运行D盘的*.exe
(5).更改扩展名启动方式:
更改扩展名:(*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.
六.Vxd虚拟设备驱动启动方式:
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.
七.Service[服务]启动方式:
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.
八.驱动程序启动方式:
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
windir\Start Menu\Programs\Startup\
User\Startup\
All Users\Startup\
windir\system\iosubsys\
windir\system\vmm32\
windir\Tasks\
c:\explorer.exe
c:\autoexec.bat
c:\config.sys
windir\wininit.ini
windir\winstart.bat
windir\win.ini - [windows] "load"
windir\win.ini - [windows] "run"
windir\system.ini - [boot] "shell"
windir\system.ini - [boot] "scrnsave.exe"
windir\dosstart.bat
windir\system\autoexec.nt
windir\system\config.nt
(1).C:\Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
搜索顺序如下:
(1). 搜索当前目录.
(2). 如果没有搜索到Explorer.exe则系统会获取
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.
(3). 如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
(1). %SystemDrive%(例如C:\)
(2). %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
(3). %SystemRoot%(例如C:\WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr
这种启动方式具有一定危险.
(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=*.exe
ICON=icon(图标文件).ico
1.如一个木马,为*.exe.那么Autorun.inf则可以如下:
OPEN=Windows\*.exe
ICON=*.exe
这时,每次双击C盘的时候就可以运行*.exe.
2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:\*.exe
ICON=*.exe
这时,双击C盘则可以运行D盘的*.exe
(5).更改扩展名启动方式:
更改扩展名:(*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.
六.Vxd虚拟设备驱动启动方式:
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.
七.Service[服务]启动方式:
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.
八.驱动程序启动方式:
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
windir\Start Menu\Programs\Startup\
User\Startup\
All Users\Startup\
windir\system\iosubsys\
windir\system\vmm32\
windir\Tasks\
c:\explorer.exe
c:\autoexec.bat
c:\config.sys
windir\wininit.ini
windir\winstart.bat
windir\win.ini - [windows] "load"
windir\win.ini - [windows] "run"
windir\system.ini - [boot] "shell"
windir\system.ini - [boot] "scrnsave.exe"
windir\dosstart.bat
windir\system\autoexec.nt
windir\system\config.nt
等待戈多12 2009-05-06
- 打赏
- 举报
四. 注册表启动:(2006.10.3整理更新
通过注册表来启动,是WINDOWS中使用最频繁的一种.
-----------------------------------------------------------------------------------------------------------------
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\System\CurrentControlSet\Services\VxD\
HKCU\Control Panel\Desktop
HKLM\System\CurrentControlSet\Services\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKCU\ftp\shell\open\command
HKCR\ftp\shell\open\command
HKCU\Software\Microsoft\ole
HKCU\Software\Microsoft\Command Processor
HKLM\SOFTWARE\Classes\mailto\shell\open\command
HKCR\PROTOCOLS
HKCU\Control Panel\Desktop
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
HKLM\SYSTEM\CurrentControlSet\Services\WinSock
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Command Processor
添加一些病毒经常会修改的地方[07.1.17]:
HKLM\SOFTWARE\Microsoft\Ras
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
HKCU\Software\Microsoft\Security Center
HKLM\Software\Microsoft\Security Center
HKLM\SOFTWARE\Microsoft\Netcache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
HKCU\Software\Microsoft\Internet explorer\Main\\*page
HKCU\Software\Microsoft\Internet explorer\Main\\Enable Browser Extensions
HKCU\Software\Microsoft\Internet explorer\Main\Featurecontrol
HKCU\Software\Microsoft\Internet explorer\Menuext
HKCU\Software\Microsoft\Internet explorer\Styles
HKLM\Software\Clients\Startmenuinternet
HKLM\Software\Microsoft\Code store database\Distribution units
HKCU\Software\Microsoft\Internet explorer\Abouturls
HKLM\Software\Microsoft\Internet explorer\Activex compatibility
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet explorer\Main\\*page
HKLM\Software\Microsoft\Internet explorer\Styles
HKLM\Software\Microsoft\Internet explorer\Menuext
HKLM\Software\Microsoft\Internet explorer\Plugins
HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Browser helpr objects
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\*zones
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Safesites
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Url
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Protocoldefaults
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Domains
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Ranges
通过注册表来启动,是WINDOWS中使用最频繁的一种.
-----------------------------------------------------------------------------------------------------------------
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\System\CurrentControlSet\Services\VxD\
HKCU\Control Panel\Desktop
HKLM\System\CurrentControlSet\Services\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKCU\ftp\shell\open\command
HKCR\ftp\shell\open\command
HKCU\Software\Microsoft\ole
HKCU\Software\Microsoft\Command Processor
HKLM\SOFTWARE\Classes\mailto\shell\open\command
HKCR\PROTOCOLS
HKCU\Control Panel\Desktop
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
HKLM\SYSTEM\CurrentControlSet\Services\WinSock
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Command Processor
添加一些病毒经常会修改的地方[07.1.17]:
HKLM\SOFTWARE\Microsoft\Ras
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
HKCU\Software\Microsoft\Security Center
HKLM\Software\Microsoft\Security Center
HKLM\SOFTWARE\Microsoft\Netcache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
HKCU\Software\Microsoft\Internet explorer\Main\\*page
HKCU\Software\Microsoft\Internet explorer\Main\\Enable Browser Extensions
HKCU\Software\Microsoft\Internet explorer\Main\Featurecontrol
HKCU\Software\Microsoft\Internet explorer\Menuext
HKCU\Software\Microsoft\Internet explorer\Styles
HKLM\Software\Clients\Startmenuinternet
HKLM\Software\Microsoft\Code store database\Distribution units
HKCU\Software\Microsoft\Internet explorer\Abouturls
HKLM\Software\Microsoft\Internet explorer\Activex compatibility
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet explorer\Main\\*page
HKLM\Software\Microsoft\Internet explorer\Styles
HKLM\Software\Microsoft\Internet explorer\Menuext
HKLM\Software\Microsoft\Internet explorer\Plugins
HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Browser helpr objects
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\*zones
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Safesites
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Url
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Protocoldefaults
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Domains
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Ranges
等待戈多12 2009-05-06
- 打赏
- 举报
比较长,希望对你有所帮助。
病毒程序启动方式
一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动
二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:\Documents and Settings\User\「开始」菜单\程序\启动
三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
1)WIN.INI启动:
启动位置(*.exe为要启动的文件名称):
[windows]
load=*.exe[这种方法文件会在后台运行]
run=*.exe[这种方法文件会在默认状态下被运行]
2)SYSTEM.INI启动:
启动位置(*.exe为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
可启动文件后为:
[boot]
Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!
3) WININIT.INI启动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:
[rename]
*=*2
意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件
如果要把某文件删除,则可以用以下命令:
[rename]
nul=*2
以上文件名都必须包含完整路径.
4) WINSTART.BAT启动:
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
“@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT”
这里是执行*.BAT文件的意思
5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.
6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
病毒程序启动方式
一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动
二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:\Documents and Settings\User\「开始」菜单\程序\启动
三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
1)WIN.INI启动:
启动位置(*.exe为要启动的文件名称):
[windows]
load=*.exe[这种方法文件会在后台运行]
run=*.exe[这种方法文件会在默认状态下被运行]
2)SYSTEM.INI启动:
启动位置(*.exe为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
可启动文件后为:
[boot]
Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!
3) WININIT.INI启动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:
[rename]
*=*2
意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件
如果要把某文件删除,则可以用以下命令:
[rename]
nul=*2
以上文件名都必须包含完整路径.
4) WINSTART.BAT启动:
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
“@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT”
这里是执行*.BAT文件的意思
5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.
6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
puheavy123 2009-05-06
- 打赏
- 举报
看任务管理器里面的进程数是不是很多。。。看cpu是不是使用率很高。。。。
如果有其中之一高的话,就看看是哪个进程占用内存和cpu过高(不正常的过高)。。。那么那个进程可能就是问题进程了。。。。
如果有其中之一高的话,就看看是哪个进程占用内存和cpu过高(不正常的过高)。。。那么那个进程可能就是问题进程了。。。。
