当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 如何揪出并根除Windows系统启动项

安全基础
威胁同样巨大 基于Telnet协议的攻击
基础知识 XST攻击理论及手法讲解
黑客破解Email账号常用的三种方法
攻防技术:动态IP地址的捕获及其应用
踏雪无痕 浅析黑客避开检测的手段
黑客必学—开启肉鸡终端全攻略
黑客入侵实例 记对Discuz论坛的入侵
浅析无线入侵检测系统 的应用及优缺点
黑客种植木马新方法及防范策略
小规模DDoS(拒绝服务)用Freebsd+IPFW搞定
一次意外的入侵经历-黑冰防火墙溢出攻击
利用“http暗藏通道”大举攻破局域网
黑客如何利用Ms05002溢出找“肉鸡”
看我谋取特权 用漏洞提升计算机控制权限
互联网的巨大威胁 ICMP洪水攻击浅析
实例讲解 黑客入侵论坛各种手段大暴光
入侵技巧 通过“鼠洞”控制你的电脑
黑客攻击揭密-分析选定的网络攻击
打破常规 构造特殊字符进行渗透入侵
安全必知:黑客入侵无线网络常用手段

安全基础 中的 如何揪出并根除Windows系统启动项


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-05-03   浏览: 305 ::
收藏到网摘: n/a

  安装显卡声卡驱动、杀毒软件以及Adobe  Reader暴风影音谷歌拼音DAEMON Tools等软件之后,它们都会创建很多的开机自启动项,桌面出现后就一个接一个跳了出来。所以提到开机加速,鲜有人不提到减少启动项的:开始-运行-msconfig,在不需要自启动的项前去掉勾。这样它是不会自启动了,但信息仍然残留在注册表中。这就是为什么Msconfig里面的启动项越来越多:

run
Msconfig里令人眼花缭乱的启动项

  要想清理这个地方,还得去注册表里删除它们的注册信息,而且,开机启动项其实并不止这些,光Msconfig“启动”卡里的选项,就分布在注册表的至少五个地方:

  (1)HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  (2)HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  前者是当前用户的设置,后者则控制整个计算机。其中有一项ctfmon.exe是输入法管理器,对应着任务栏上的输入法图标,如果你只有一种输入法并已设置为默认,像笔者这样,就不需要它了,否则还是保留的好。

killctfmon
这种情况就不需要ctfmon.exe

  反过来,只要在这里新建一个字符串值,填上程序名称和地址,就可以实现开机自启动了:

runadd
添加启动项

  3)HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

  这项本来是不存在的,慢慢地竟然堆积了这么多内容:

startupreg
startupreg

  (5)HKLM\Software\Microsoft\Shared Tools\MSConfig\startupfolder

  在startupreg上面,这项很诡异,爆炸潜力相当大。试想一个文件夹自己弹出来,挡住屏幕,就像是经别人的手选择然后双击了似的……

startupfd
startupfolder

  (6)开始菜单里的“启动”文件夹

  这个最简单,拖程序到开始菜单这里即可实现自启动;但此位置也极易被忽视,病毒若选择在此自启动,不用在注册表里留下任何信息,任你搜到天边,却忘了眼前。注册表清洁器regvac在“初学者模式”下也会往这里注入一个快捷方式,下机开机它就会跳出来自动清理,那可是一个漫长的过程,而且不响应关闭键,只能结束进程。

startup
启动文件夹  

  本文探讨的只是如何揪出并根除启动项,只要把这些位置清空,Msconfig那里便成空白了。对于应用软件来说,处理这些注册信息和快捷键只是隔靴搔痒,关键在软件自身设置,像金山词霸、QQ、飞信等常用软件包括regvac都有是否开机启动的选项。

  而且路归路桥归桥,笔者并不认为启动项与开机速度有多大关系,因为启动项都是在explorer.exe启动、桌面出现之后才运行的,而我们追求的开机速度都在桌面出现之前,在滚动条和加载画面背后。关于开关机速度,当另文探讨。

  run的旁边还有一个runonce,顾名思义,就是只启动一次,然后删除此项。别小看这一次,一次就够病毒活动手脚了,笔者曾得一毒,每次开机都runonce,你求之不得它却如影随形!所以,处理完run后,顺便看一下runonce,总是有益无害的。

  (4)HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg