基本信息
當Windows(作業系統)完成登錄過程,進程表中出現了很多的進程!Windows在啟動的時候,自動載入了很多程式。
許多程式的自啟動,給我們帶來了很多方便,這是不爭的事實,但不是每個自啟動的程式對我們都有用;更甚者,也許有病毒或木馬在自啟動行列
其實Windows2000/XP中的自啟動檔案,除了從以前系統中遺留下來的
Autoexec.bat檔案中載入外,按照兩個
資料夾和9個核心註冊表子鍵來自動載入程式的。
相關問題
從系統的啟動項可以看到什麼
俗話說“萬事開頭難”, 俗話也說“良好的開頭是成功的一半”,那么XP系統“開頭”也就是“啟動”能告訴我們什麼難。
msconfig
在"開始“-“運行”對話框中輸入“msconfig”就打開“系統配置實用程式”。
msconfig是Windows系統中的“系統配置實用程式”,它可以自動執行診斷xp系統的配置問題時所用的常規解決步驟。它管的方面可夠寬,包括:一般(常規)、system.ini、
win.ini、BOOT.INI、服務、啟動。它是xp系統底層最先啟動的程式,可見它的重要性了。這裡面可是自啟動程式非常喜歡呆的地方。
系統配置實用程式中的“啟動”選項和我們在下面講的"啟動"資料夾並不是同一個東西,在系統配置實用程式中的這個啟動項目是Windows系統啟動項目的集合地,幾乎所有的啟動項目部能在這裡找到----當然,經過特殊編程處理的程式可以通過另外的方法不在這裡顯示。
打開“啟動”標籤,“啟動項目”中羅列的是開機啟動程式的名稱,“命令”下是具體的程式附加命令,最後的"位置"就是該程式在註冊表中的相應位置了,你可以對可疑的程式進行詳細的路徑、命令檢查,一旦發現錯誤,就可以用下方的"禁用"來禁止該程式開機時候的載入。
一般來講所有我們可見的程式的列表,你完全可以通過它來管理你的啟動程式,換句話,這裡可以全部是空的。
註冊表中相應的啟動載入項目
註冊表的啟動項目是病毒和
木馬程式的最愛,非常多的病毒木馬的頑固性就是通過註冊表來實現的,特別是在安裝了新的軟體程式,一定不要被程式漂亮的外表迷惑,一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程式,必要的時候可以根據備份來恢復註冊表。
我們也可以通過手動的方法來檢查註冊表中相應的位置,注意同安全、清潔的
系統註冊表相應鍵進行比較,如果發現不一致的地方,一定要弄清楚它是什麼東西!不要相信寫在外面的 “system”、
“windows”、“programfiles”等名稱,尤其是如果你仔細觀察的話,有些
字元是不一樣的,比如0和o的區別,1和l的區別等,如果經過詳細的比較,可以確定它是不明程式的話,不要手軟,馬上刪除。
主要的啟動載入鍵值有
“Explorer\Run”鍵值──在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。
“RunServicesOnce”
子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。
“RunServices”
子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。
“RunOnce”子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。
〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components)
目前幾乎被所有防毒軟體忽略的地方,病毒只需註冊一個 GUID即可在此創建子鍵
如{04800D2E-FEC3-9A23-BA95-EC1416DBFCF0},通常為 隨機生成,隱蔽性極高
在{04800D2E-FEC3-9A23-BA95-EC1416DBFCF0}下會出現字元串項目StubPath等於病毒檔案路徑。
“啟動”項目
在windows的“開始”中有自帶的
啟動資料夾,它是最常見的啟動項目。如果在安裝程式時設定成開機既啟動,這個程式就裝入到這個
資料夾中,系統啟動就會自動地載入相應程式。
具體的位置是“開始”選單中的“所有程式”-“啟動”選項。
在硬碟上的位置是:C:\Documents and Settings\你的用戶名\
「開始」選單\程式\啟動。
在註冊表中的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。
這裡最好為空,而且用戶要不時地檢查一下這裡有什麼不明的東西。
boot.ini
當用戶的電腦有ghost備份、dos工具或者是
雙系統時,在開機後就出現個讓用戶選擇,如果不選擇就以默認的啟動的視窗,(螢幕底部是F8高級啟動),
boot.ini就控制這個地方。
裡邊的內容一般是
timeout=x (x一般在1-5就可以了)
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect…………
BOOT.INI是一個非常重要的系統檔案,是系統啟動時,需要查詢的一個系統檔案,它告訴啟動程式本計算機有幾個作業系統、各系統的位置在哪裡等信息。沒有它或者誤刪了,系統還能進行引導,但是一個是只能引導默認的系統,不在有你的備份系統的引導選擇,在一個是每次開機重啟時都顯示兩行字:“
boot.ini檔案是非法的,現在正從C:/Windows/下啟動”,但是速度明顯慢了。所以我們平時除了要對其作必要的備份之外,還要編輯它的方法。特別是在安裝
多系統時,如果沒有按照從低到高(Windows 98、Windows 2000、Windows XP、Windows 2003)的安裝順序,該檔案往往會被損壞。如果我們掌握修改和編輯它的辦法,就不會到時候無計可施了。
非法關機以後的“啟動”
相信很多人都碰到過電腦開機後出現
“Checking file system on E:
The type of the file system is NTFS……然後是一些數字的變化,最後一行是類似的“??(問號代表數字) allocation units available on disk”,然後就進入系統桌面了”的情況吧。
這就是非正常關機,如斷電、按熱啟動鍵啟動、或強制按電源鍵關機在開機造成的。
由於關機的時候E盤裡面的程式還在運行,每次開機硬碟都會自動自檢,消除錯誤信息等,而如果非正常關機這些程式沒有正常退出,那么下次在開機電腦就要從新執行自檢,以便消除消除錯誤信息,正常的電腦有一次就好了,下次啟動就不會出現這種情況了。
如果每次開機都出現這樣的情況有2個可能:一個是硬碟出現
壞道了,硬碟在工作時突然關閉電源,可能會導致磁頭與碟片猛烈磨擦而損壞硬碟,還會使磁頭不能正確復位而造成硬碟的劃傷,從而在硬碟留下了壞道,但是電腦還能勉強使用,出現這種情況一般只能更換硬碟了。一個是硬碟沒有問題,但是留下了記憶的信息,結果每次都自檢,消除的辦法就是:開始-運行中輸入chkdsk E: /x/f 回車,然後就出現個自動運行的dos視窗,等他運行完畢就沒有問題了。
chkdsk E: /x /f的意思是Windows發現在E盤裡檔案系統有問題 ,運行CHKDSK <使用選項/x /f> 來更正這些問題 。
對於FAT檔案系統,可以使用win自己的磁碟修復來操作,方法是:右擊你要操作的盤符,屬性-工具,選擇查錯,把自動修復錯誤的勾打上,點擊開始就可以了。
其他情況的“啟動”
當用戶打開電源開關後從“啟動”到進入桌面以及可以登錄網路後,如果花費的時間很長,而且打開、關閉、拖動一個
程式檔案的時候顯得拖拖拉拉的,有時候還有莫名其妙的從“啟動”,這樣的“啟動”往往說明:(1)載入的啟動項目過多,(2)電腦中毒了,(3)
系統盤的空間不足了,(4)機箱該打掃一下了,(5)有關的硬體性能欠佳了
相關分解
它位於
系統分區的“documents and Settings-->User-->〔開始〕選單-->程式”目錄下。這時的User指的是登錄的用戶名。
2)“All Users”中的自啟動程式資料夾──另一個常見的自啟動程式資料夾。
它位於系統分區的“documents and Settings-->All User-->〔開始〕選單-->程式”目錄下。前面提到的“啟動”資料夾運行的是登錄用戶的自啟動程式,而“All Users”中啟動的程式是在所有用戶下都有效(不論你用什麼用戶登錄)。
3)“Load”鍵值── 一個埋藏得較深的
註冊表鍵值。
4)“Userinit”鍵值──用戶相關
它則位於〔
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主鍵下,也是用於系統啟動時載入程式的。一般情況下,其默認值為“
userinit.exe”,由於該子鍵的值中可使用逗號分隔開多個程式,因此,在鍵值的數值中可加入其它程式。
5)“Explorer\Run”鍵值──與“load”和“Userinit”兩個鍵值不同的是,“Explorer\Run”同時位於〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕兩個
根鍵中。
它在兩個中的位置分別為(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。
6)“RunServicesOnce”
子鍵──它在用戶登錄前及其它註冊表自啟動程式載入前面載入。
這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。
7)“RunServices”
子鍵──它也是在用戶登錄前及其它註冊表自啟動程式載入前面載入。
這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。
8)“RunOnce\Setup”子鍵──其默認值是在用戶登錄後載入的程式。
這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。
9)“RunOnce”
子鍵──許多自啟動程式要通過RunOnce子鍵來完成第一次載入。
這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。位於〔HKEY_CURRENT_USER〕
根鍵下的RunOnce子鍵在用戶登錄扣及其它註冊表的Run鍵值載入程式前載入相關程式,而位於〔HKEY_LOCAL_MACHINE〕主鍵下的Runonce子鍵則是在作業系統處理完其它註冊表Run子鍵及自啟動資料夾內的程式後再載入的。在Windows XP中還多出一個〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子鍵,其道理相同。
10)“Run”
子鍵──目前最常見的自啟動程式用於載入的地方。
這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。
其中位於〔HKEY_CURRENT_USER〕
根鍵下的Run鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動,但兩個鍵值都是在“啟動”
資料夾之前載入。
11)再者就是Windows中載入的服務了,它的級別較高,用於最先載入。
其位於〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下,看到了嗎,你所有的
系統服務載入程式都在這裡了!
12)Windows Shell──系統接口
它位於〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字元串類型鍵值中,基默認值為Explorer.exe,當然可能
木馬程式會在此加入自身並以木馬參數的形式調用
資源管理器,以達到欺騙用戶的目的。
13)BootExecute──屬於啟動執行的一個項目
可以通過它來實現啟動Natvice程式,Native程式在
驅動程式和系統核心載入後將被載入,此時會話管理器(
smss.exe)進行windowsNT用戶模式並開始按順序啟動native程式
它位於註冊表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\〕下面,有一個名為BootExecute的多字元串值鍵,它的默認值是"autocheck autochk *",用於系統啟動時的某些自動檢查。這個啟動項目里的程式是在系統圖形界面完成前就被執行的,所以具有很高的優先權。
14)
策略組載入程式──打開Gpedit.msc,展開“用戶配置——管理模板——系統——登錄”,就可以看到“在用戶登錄時運行這些程式”的項目,你可以在裡面添加。
在註冊表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相對應的鍵值。
備註:
Home版的XP中沒有提供gpedit工具,可到網上搜尋並下載補丁。
快速進入啟動項
快速進入啟動項的方法是在運行中輸入 msconfig ,即可看到視窗下的啟動項運行項目。
常用啟動
常用的啟動——系統配置檔案
在Windows的
配置檔案(包括Win.ini、System.ini和wininit.ini檔案)也會載入一些自動運行的程式。
Win.ini檔案
使用“記事本”打開Win.ini檔案,在[windows]段下的“Run=”和“LOAD=”語句後面就可以直接加可執行程式,只要程式名稱及路徑寫在“=”後面即可。
小提示
“load=”後面的程式在自啟動後最小化運行,而“run=”後程式則會正常運行。
System.ini檔案
使用“記事本”打開System.ini檔案,找到[boot]段下“shell=”語句,該語句默認為“shell=Explorer.exe”,啟動的時候運行Windows
外殼程式explorer.exe。病毒可不客氣,如“
妖之吻”病毒乾脆把它改成“shell=c:\yzw.exe”,如果你強行刪除“妖之吻”病毒程式yzw.exe,Windows就會提示報錯,讓你重裝Windows,也有客氣一點的病毒,如將該句變成“shell=Explorer.exe其他程式名”,看到這樣的情況,後面的其他程式名一定是病毒程式如所示。
wininit.ini
wininit.ini檔案是很容易被許多電腦用戶忽視的系統配置檔案,因為該檔案在Windows啟動時自動執後會被自動刪除,這就是說該檔案中的命令只會自動執行一次。該
配置檔案主要由軟體的安裝程式生成,對那些在Windows圖形界面啟動後就不能進行刪除、更新和重命名的檔案進行操作。若其被病毒寫上危險命令,那么後果與“C糟殺手”無異。
小提示
如果不知道它們存放的位置,按F3鍵打開“搜尋”對話框進行搜尋;
單擊“開始→運行”,輸入sysedit回車,打開“系統配置
編輯程式”,如圖2所示,在這裡也可以方便的對上述檔案進行查看與修改。
常見項目
常見的啟動項-系統ctfmon用戶輸入技術支持
internat.exe輸入法指示器程式
LoadPowerProfileWin98/Me電源管理
PCHealthWinMe系統自愈功能
ScanRegistry啟動時檢查並備份註冊表
SchedulingAgent系統計畫任務程式
SynchronizationManagerWin2000同步管理
TaskbarDisplayControls螢幕-屬性-設定-高級-在系統列中顯示圖示
TaskMonitor任務檢測程式,記錄使用軟體情況
*StateMgrWinMe系統還原常見的啟動項-軟體CnsMin3721網站的中文域名
KingsoftAntiVirus
金山毒霸的啟動項
McAfeeVirusScanService防毒軟體McAfeeVirusScanVPTRAY
諾頓防毒軟體的啟動項ccapp也是諾頓的東西
msmsgsWindowsMessenger
NDetectICQ的啟動程式
RavTimer瑞星防毒軟體
RealTrayRealplay的啟動項
TkBellExeRealOnePlayer的啟動項補充:IMSCMIG.EXE微軟IME輸入法的組件IMJPMIG,
TINTSETP,TINTSETP這三項。這三項是日文,韓文等輸入法的啟動項目,一般我們都不會使用日文,韓文這些輸入法,所以可以禁止這三項隨機啟動