您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 食品饮料 > 病毒隐藏在注册表中的位置总结
1病毒隐藏在注册表中的位置总结作者:信宫网来源:本网原创时间:2010-11-17一、Run启动项。常见的启动项如下:1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run2、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce5、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run6、HKCU\Software\Microsoft\Windows\CurrentVersion\Run7、HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce8、HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices9、HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce10、HKCU\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run确定以上这些启动项包含病毒的方法:1)根据已确定的病毒文件确定。键值即为该文件的路径。2)只有Run项是有键值的,如图1,其它的都只有一个默认串(98除外),所以若其它项中有键值,就可能是病毒启动项。图13)若键值是糊乱的文件名,如1.exe;或路径是在临时文件夹的;也可能是病毒启动项。2二、驱动启动项位置:HKLM\System\CurrentControlSet\Services这里的项比较多,可以根据windows/system32/drivers目录下已确定的文件来确定。三、Winlong启动项位置:HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon主要检查Userinit、Shell、Notify,看看键值是否有异常。四、windows启动项1、HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows下若有Load键,该键值是空的,若不为空可是病毒启动项。2、HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders该项也是病毒常常出现的位置,注意检查。3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks若杀毒软件被关闭了,很可能病毒的启动项就写在这里;通常,很少有正常程序会写在这里。4、HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls若安全模式下杀毒软件被关闭了,病毒可能就写在这里,很少有正常程序会写在这里,如图2。3图25、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell一般该项的AppInit_DLLs键值是空的,若有异常的文件名,可能是病毒启动项。6、其它启动项HKLM\SOFTWARE\Microsoft\ActiveSetup\InstalledComponentsHKLM\SOFTWARE\Microsoft\CommandProcessor\AutorunHKCU\Software\Microsoft\CommandProcessor\Autorun五、explorer启动项位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\BrowserHelperObjects一般系统不会在此建立项,只有某些软件,如QQ,迅雷等会,同时若有一些ddl文件对启动也是有影响的。如果发现一些异常名称的键,可能是病毒。六、有一些变种病毒可以把杀毒软件安装文件删除,并且会修改hosts文件、在QQ目录下写入隐藏的病毒dll且修改APIHOOH。这时可以重点检查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler4七、文件关联启动项。位置:HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)有些病毒会把该项的键值改为自己的关联文件,如“冰河”木马会把键值修改为“C:\WINDOWS\System32\Sysexplr.exe%1”。被修改后,就要用对应的注册表项值或已知的程序文件修改回来。修改后有些文件不能正常运行,如.exe;此时就需要用命令恢复他们的关联。以.exe为例,打开命令提示符(运行CMD)窗口,输入命令assoc.exe=exefile执行后就可修复此类文件关联,还不行就重启试试。八、ShellServiceObjectDelayLoad启动项。位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad可以把组件关联到这个键。如果有组件关联到这里,系统启动时,EXPLORER将自动加载目标组件。有是会遇到这样的事情,IE的首页设置为Blank,注册表Run键的值也为空,但每隔一会儿,有网页自动弹出,这就是ShellServiceObjectDelayLoad被修改了,可把弹出的网址去掉。九、IE启动项1、IE默认页位置:HKLM\SOFTWARE\Microsoft\InternetExplorer\MAIN\HKCU\Software\Microsoft\InternetExplorer\Main\如图3,主要检查StartPage(IE默认首页)、Default_Page_URL(IE默认页)、SearchPage(IE搜索默认首页)、Default_Search_URL(IE搜索默认页),把这些键值修改about:blank(空白页)或者自己的主页。5图3位置:HKLM\SOFTWARE\Microsoft\InternetExplorer\UrlSearchHooksHKCU\Software\Microsoft\InternetExplorer\UrlSearchHooks处理方法同上。2、IE默认首页被禁止修改回来位置:HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel把该项下的Settings=dword:1、Links=dword:1、SecAddSites=dword:1中的1改为0就可恢复。3、IE默认首页修改按扭被禁用(变灰色)位置:HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel把该项下的“homepage”的键值改为0即可。4、ToolsTars和ActiveX加载项位置:HKLM\SOFTWARE\Microsoft\InternetExplorer\ToolbarHKLM\SOFTWARE\Microsoft\InternetExplorer\ExplorerbarsHKCU\Software\Microsoft\InternetExplorer\Toolbar6HKLCU\Software\Microsoft\InternetExplorer\ExplorerbarsToolBars主要在工具栏上显示一些快捷方式,如QQ、迅雷等,发现有可疑的软件可删除;ActiveX是一些插件,发现有可疑的也可删除。5、IE默认搜索引擎被修改位置:HKLM\SOFTWARE\Microsoft\InternetExplorer\Search\CustomizeSearchHKLM\SOFTWARE\Microsoft\InternetExplorer\Search\SearchAssistant把“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。6、IE右键菜单被修改位置:HKLCU\Software\Microsoft\InternetExplorer\MenuExt删除被恶意添加的选项即可,注意不要把正常的选项也删除。7、浏览网页注册表被禁用位置:HKLCU\Software\Microsoft\Windows\CurrentVersion\Policies\System该项下的“DisableRegistryTools”被修改为1,注册表就被禁用,将其键值恢复为“0”即可。用记事本建立以reg为后缀名的文件,将下面这些代码复制到里面双击导入注册表就可以了:REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]DisableRegistryTools=dword:000000008、浏览网页开始菜单被修改这项涉及内容较多,包括禁止关闭系统、禁止注销、隐藏C盘等,具体请看《浏览网页注册表被修改及解决办法》一文。
本文标题:病毒隐藏在注册表中的位置总结
链接地址:https://www.777doc.com/doc-4982568 .html