捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 3600 | 回覆: 1 | 跳轉到指定樓層
CCSUN
王子 | 2009-4-16 10:19:27

Windows 開機時執行掛載的程序 就是指消耗Windows的系統資源[類似生產線工單][roy1103 個人式說明 非正式解釋]

這份文件 對 目前 木馬 kavo kxvo 效果不佳[很差]
但是 kxvo 一類 在 msconfig 會秀出程序 [且隱藏檔案無法顯示!200902 月後消失] 同樣 程序 內容會變

kxvo 預防 可以 刪除 inf 安檔案類型 減少風險!

請考慮使用 [Autoruns ][Proce XP]等工具又方便又直觀!
[Autoruns]
http://technet.microsoft.com/zh-tw/sysi ... 63902.aspx

『作者 ROY1103 歡迎轉載 但是 請保持原作之完整性!』
---------------------------------------------------------------------------------------------------------------------------------------------------------
[適合使用Windows 之 版本 Windows NT 2K 2KServer XP Home Pro 2k3Server ]
[因為Win98 WinMe 已經較少使用 如果需要 使用 regedit 後就使用搜索 找 RUN 或是下列 字串 既可 ]
---------------------------------------------------------------------------------------------------------------------------------------------------------
◎ 『regedit 之使用 如果亂刪除或修改、會使使用者系統毀損[無法開機]!下場是重新安裝』◎

【非資訊人員不建議使用!】

參考
Microsoft Windows 登錄說明 中英 甚麼是 Regedit
http://forum.icst.org.tw/phpBB2/viewtop ... 1067#21067

---------------------------------------------------------------------------------------------------------------------------------------------------------
您如何瞭解或想提供 regedit 註記檔的 run 也就是 windows 開機時 [跑 run] 「執行」 的程式;

該如何操作呢!

[開啟登錄編輯程式.操作方式:]
1.使用滑鼠點選開始[上方]>執行,
2.在[執行]工作視窗內 輸入 REGEDIT , 然後按下 Enter .
3.在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run

方式:
1.點選[開始]上方=>[執行]
2.輸入regedit 然後 按下 [Enter]
3.尋找下列路徑
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
4.右邊視窗中 = Windows 開機時執行掛載的程序

您可以先點選全部匯出 當 備份; [備份一定要先做.]

或是 可以 在 [執行][英文版 是 (run)] 輸入 regedit [按下「Enter」 鍵] 將
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
之字串 輸出 貼上

"IMJPMIG8.1"="C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
此三行是 Xp 預定

"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\SYMANT~2\\VPTray.exe"
這是 symantec 的

其實您可以把字串之數值 "ccApp.exe"
比方 "ccApp.exe" 是 symantec 的 防毒程式;

"ShStatEXE"="\"C:\\Program Files\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Program Files\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
macfee 防毒

"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
ZoneAlarm 防火牆軟體的程式;

runoence 是指執行一次 下次會看不到 ;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
跑服務 一併檢查

不熟悉在 regedit 尋找位置 就使用搜索 在搜出 輸入三個字 RUN 既可

移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.

當然不只是這裡 需要檢查

木馬可能藏匿之註冊表清單

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup

6.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup

7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

11.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

12.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

13.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

14.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon

15. HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders

16. HKEY_CLASSES_ROOT\txtfile\shell\open\command

17. HKEY_CLASSES_ROOT\Briefcase\shell\open\command

18. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

19. HKEY_CLASSES_ROOT\exefile\shell\open\command

20. HKEY_CLASSES_ROOT\???file \shell\open\command (???)表示可能為任何副檔名之名稱

沒有安裝 Notor AntiVirus 當然沒有、字串每家 AntiVrius防毒 軟體 soft 也不相同;
--------------------------------------------------------------------------------
相關工具 :
RegEditX 「加強版」登錄檔編輯程式 By Tony
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=3487
好用的工具 因為使用過會記憶 下次不需要搜索
【非資訊人員不建議使用!】
--------------------------------------------------------------------------------
不要隨便對自己的電腦 使用 非官方授權之軟體 尤其是效能調整一類
因為 電腦 可能 的 會更糟糕

電腦系統若是有異常 不如在電腦新增加一個 使用者 帳號 試試 在把資料 轉移就好 !

_________________
馬克吐溫說:[(真正可怕的)使你陷入麻煩的,並不是你不知道的東西,而是你信以為真,但其實並不正確的東西.]

最後由 Roy1103 於 週四 11月 22, 2007 1:40 pm 編輯, 總共編輯了 1 次
我回來了.
回覆 使用道具
qq822982
男爵 | 2012-5-5 19:16:55

路過看看。。。推一下。。。
捷克論壇越來越精彩了
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表