windows启动时加载的程序和插件（病毒常用藏身处）汇总，总结不全，请大家补充

Windows启动注册表项：  
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce  
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices  
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser   Helper   Objects  
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Windows\AppInit_DLLs  
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  
  开始菜单启动目录  
  常用文件链接.exe,.txt  
  后台服务services.msc  
  ＩＥ插件（下列插件位置的含义，请高手解释）  
  HKEY_CURRENT_USER\Software\Microsoft\Internet   Explorer\Extensions\CmdMapping  
  HKEY_CURRENT_USER\Software\Microsoft\Internet   Explorer\Explorer   Bars  
  HKEY_CURRENT_USER\Software\Microsoft\Internet   Explorer\MenuExt  
  HKEY_CURRENT_USER\Software\Microsoft\Internet   Explorer\Toolbar\ShellBrowser  
  HKEY_CURRENT_USER\Software\Microsoft\Internet   Explorer\Toolbar\WebBrowser  
  HKEY_CURRENT_USER\Software\Microsoft\Internet   Explorer\URLSearchHooks  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet   Explorer\Explorer   Bars  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet   Explorer\Extensions  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet   Explorer\Toolbar  
  以上是个人积累，有些并不全面，能力有限，并没有解释启动项目的各个详细信息，希望高手作补充，给大家增长些知识。 问题点数：100、回复次数：29Top

1 楼ggg82（我喜欢...）回复于 2006-08-05 15:14:43 得分 0

 
  硬盘根目录下的Autorun.inf文件,连接到病毒体,一般隐藏,双击打开硬盘就染毒.Top

2 楼lich2005（FoR Fun）回复于 2006-08-05 15:24:18 得分 5

呵呵，不错，我也来一个吧。  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon  
   
  有些病毒也会藏这里。Top

3 楼Juchiyufei（三更半夜我送你回家.总统也许我做不到.今生难得的遇见你,我们就应该在一起.....）回复于 2006-08-05 16:56:16 得分 5

晕.  
   
  去systeminternals.com上下载一个autorun的工具下来,就什么都看到了.Top

4 楼doublefish8133（米兰王朝）回复于 2006-08-07 10:20:11 得分 4

恩！8错   都记下了   多谢LZ的总结！~Top

5 楼scz123（小章 http://blog.csdn.net/scz123/）回复于 2006-08-07 10:38:53 得分 5

推荐   autorunsTop

6 楼sergey（湮灭的思维）回复于 2006-08-07 10:40:42 得分 5

还有HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windowsload  
   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonUserinitTop

7 楼Purpleendurer（编程—>任是无情也动人^_^）回复于 2006-08-07 13:39:42 得分 5

HijackThis的启动项列表和autorun的报靠已经很全面了Top

8 楼ggg82（我喜欢...）回复于 2006-08-11 19:50:43 得分 0

别沉水呀，顶Top

9 楼love_qb（我是新人）回复于 2006-08-13 12:16:07 得分 4

比较全了啊---Top

10 楼soft_2008（冬天到了，春天还远吗？）回复于 2006-08-14 12:42:01 得分 5

AutoRunTop

11 楼ttf345（345*别傻了）回复于 2006-08-15 10:51:12 得分 4

學習Top

12 楼TSD（智之选,商欲达--智商购物系统zhishop.com）回复于 2006-08-15 16:57:30 得分 4

markTop

13 楼1t24（河山有我)(只看满分题)(qq:112456）回复于 2006-08-15 17:20:09 得分 10

我通常处理病毒方法，  
  看   注册表   、   进程（ProcessExplorer   进程文件管理器）   、   启动服务。  
  先找到病毒文件。  
   
  不认识的病毒文件先搜一下GOOGLE，看有没有专杀或病毒的其他文件。  
   
  在依次使用下面软件：  
  IE   状态恢复器.exe，金山注册表修复Duba_RegSolve.EXE，瑞星注册表修复RegClean.com  
   
  用亚虎助手，将IE恢复，SFC   /PURGECACHE   清空缓存。  
   
  重起电脑，如果启动目录或进程还有此文件运行，我将使用powerrmv   强力删除病毒，木马。ProcessExplorer查看相关文件。删除可疑软件，删除可疑插件。  
   
  一般都能搞定。Top

14 楼ggg82（我喜欢...）回复于 2006-08-23 08:14:58 得分 0

不错，看了大家的补充，受益良多，再贴几天Top

15 楼YE0515（叶子）回复于 2006-08-23 09:18:02 得分 4

大家不要抄贴好不好！  
  http://mixx.infoblog.cn/Article/483115Top

16 楼ayuan99（）回复于 2006-08-23 19:42:13 得分 4

靠~~受益~!受益~!受益呀~!!顶~!Top

17 楼yapyap（）回复于 2006-08-23 20:34:05 得分 5

恩,病毒写在服务里的时候也很多  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services  
   
  还有HKEY_USERS下面其他用户的"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"里也会设置的  
   
  很多时候还在\Windows\system32\drivers写一个.sys驱动程序文件,在HKEY_CLASSES_ROOT写一笔  
   
  有时病毒放在\System   Volume   Information目录,或者垃圾箱\Recycler,这两个地方一般人不容易想到,把目录设置得比较深,让你删不了  
   
  最厉害的病毒据说运行在ring0系统态.   还有在winlogon加载前就已经加载了.Top

18 楼xqlez（&引用）回复于 2006-08-23 20:41:29 得分 4

放在System   Volume   Information或\Recycler有什么用?不明白Top

19 楼momonoyi（）回复于 2006-08-23 21:53:45 得分 5

好象可以作成网络模块  
   
  c:\windows\webwork\webwork.nls       ---->>   病毒  
   
   
  Top

20 楼rongxiaoxie（拨皮的青蛙）回复于 2006-08-24 11:39:22 得分 4

阅过,  
  顶顶,增加人气Top

21 楼ggg82（我喜欢...）回复于 2006-08-26 16:34:10 得分 0

对呀,YE0515(叶子)怎么回事??http://mixx.infoblog.cn/Article/483115这里的内容怎么来的???Top

22 楼chinaheart1（）回复于 2006-08-28 12:26:13 得分 4

winlogon是作什么用的呀Top

23 楼ggg82（我喜欢...）回复于 2006-08-30 08:12:42 得分 0

winlogon是windows登陆进程，系统关键进程，如果终结了，系统马上会自动重新启动的。Top

24 楼scz123（小章 http://blog.csdn.net/scz123/）回复于 2006-08-30 08:22:22 得分 5

以下为Autoruns所要查找的所有地方，都可能被用为启动：HKLM\System\CurrentControlSet\Control\Terminal   Server\Wds\rdpwd\StartupPrograms  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\AppSetup  
   
  HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup  
   
  HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon  
   
  HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\Userinit  
   
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell  
   
  HKCU\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\Shell  
   
  HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\Shell  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\Taskman  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run  
   
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  
   
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx  
   
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce  
   
  D:\Documents   and   Settings\All   Users.WINDOWS\「开始」菜单\程序\启动  
   
  D:\Documents   and   Settings\username\「开始」菜单\程序\启动  
   
  HKCU\Software\Microsoft\Windows   NT\CurrentVersion\Windows\Load  
   
  HKCU\Software\Microsoft\Windows   NT\CurrentVersion\Windows\Run  
   
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run  
   
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run  
   
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run  
   
  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce  
   
  HKCU\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce  
   
  HKCU\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx  
   
  HKCU\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run  
   
  HKLM\SOFTWARE\Classes\Protocols\Filter  
   
  HKLM\SOFTWARE\Classes\Protocols\Handler  
   
  HKCU\SOFTWARE\Microsoft\Internet   Explorer\Desktop\Components  
   
  HKLM\SOFTWARE\Microsoft\Active   Setup\Installed   Components  
   
  HKCU\SOFTWARE\Microsoft\Active   Setup\Installed   Components  
   
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler  
   
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad  
   
  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad  
   
  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks  
   
  HKLM\Software\Microsoft\Windows\CurrentVersion\Shell   Extensions\Approved  
   
  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell   Extensions\Approved  
   
  HKLM\Software\Classes\Folder\Shellex\ColumnHandlers  
   
  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser   Helper   Objects  
   
  HKCU\Software\Microsoft\Internet   Explorer\UrlSearchHooks  
   
  HKLM\Software\Microsoft\Internet   Explorer\Toolbar  
   
  HKCU\Software\Microsoft\Internet   Explorer\Explorer   Bars  
   
  HKLM\Software\Microsoft\Internet   Explorer\Explorer   Bars  
   
  HKCU\Software\Microsoft\Internet   Explorer\Extensions  
   
  HKLM\Software\Microsoft\Internet   Explorer\Extensions  
   
  HKLM\System\CurrentControlSet\Services  
   
  HKLM\System\CurrentControlSet\Services  
   
  HKLM\System\CurrentControlSet\Control\Session   Manager\BootExecute  
   
  HKLM\Software\Microsoft\Windows   NT\CurrentVersion\Image   File   Execution   Options  
   
  HKLM\Software\Microsoft\Command   Processor\Autorun  
   
  HKCU\Software\Microsoft\Command   Processor\Autorun  
   
  HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Windows\Appinit_Dlls  
   
  HKLM\System\CurrentControlSet\Control\Session   Manager\KnownDlls  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\System  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\UIHost  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\Notify  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\GinaDLL  
   
  HKLM\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Winlogon\Taskman  
   
  HKCU\Control   Panel\Desktop\Scrnsave.exe  
   
  HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName  
   
  HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9  
   
  HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors  
   
  HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication   Packages  
   
  HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification   Packages  
   
  HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security   Packages  
   
  Top

25 楼Brunhild（）回复于 2006-08-30 16:48:26 得分 4

markTop

26 楼zz95469（）回复于 2006-08-31 09:54:33 得分 5

我把windows   目录改成管理员只读，装好系统谁也写不进东西，够狠把。要求ntfs文件系统Top

27 楼ilovechao1314（有点晕了）回复于 2006-10-16 15:52:57 得分 0

mark  
  tksTop

28 楼daiybh（）回复于 2006-10-19 13:30:04 得分 0

markTop

29 楼letusgo123（飞舞的书页~~~）回复于 2006-12-10 16:20:05 得分 0

收藏Top

相关问题

• 帖主：ggg82
• lich2005
• Juchiyufei
• doublefish8133
• scz123
• sergey
• Purpleendurer
• love_qb
• soft_2008
• ttf345
• TSD
• 1t24
• YE0515
• ayuan99
• yapyap
• xqlez
• momonoyi
• rongxiaoxie
• chinaheart1
• scz123
• Brunhild
• zz95469

• CSDN Blog
• 技术文档
• 代码下载
• 第二书店
• 读书频道