提到開機加載(load)項�,大家不要以為就是系統(tǒng)啟動(run)項�。最簡單的例子是,殺毒軟件或者用戶手動刪除病毒文件后�����,注冊表中的自動加載信息仍在����,登陸系統(tǒng)時就會提示“加載*dll出錯�����,系統(tǒng)找不到指定的模塊”�����,這些dll就是病毒寄生在系統(tǒng)進程之下的加載項����。
加載dll出錯
病毒本身被阻止運行��,卻“挾系統(tǒng)以令用戶”�,輾轉(zhuǎn)藏在系統(tǒng)進程后面繼續(xù)狐假虎威���,大行其道����;它們被發(fā)現(xiàn)并刪除后�,下次系統(tǒng)登陸、啟動服務����、初始化用戶配置���、啟動外殼explorer.exe時,依然會按注冊表的指示運行rundll32.exe調(diào)用這些加載項���,這時系統(tǒng)找不到文件實體�����,就會提示加載失敗���。雖然不影響使用,但那“嗡”的一聲����,有如晴天霹靂,讓人一開機就憋得慌����!點擊確定后也一直如坐針氈,總感覺自己中毒了�����。
其實,只要在注冊表中搜索這個dll刪掉�����,一般就能就地解決��。問題是���,很多dll在注冊表中根本搜索不到����,但開機時它就是要彈框����!別慌��,只要去注冊表中如下固定位置掃蕩一遍��,疏而不漏���,總能找到蛛絲馬跡���。以下位置最前四字母均為首字母縮寫��,在注冊表利器Registry Workshop的地址欄中通用�,可直接粘貼回車轉(zhuǎn)到����,并加入收藏,收藏還可分類哦~Let's Go���!
?。?span lang=EN-US>1)WinLoad
HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload
Windows_load
如圖�,這項原本不存在,或者默認為空�����。如果病毒將自己的dll添加到這里����,可想而知系統(tǒng)啟動時就會自動加載它。
?�。?span lang=EN-US>2)Notify
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
Winlogon_notify
這里是windows登陸“通知”����,圖中的項都是正常項�����。以前Windows 正版增值計劃通知(WGA)提示Windows不是正版��,就是通過wgalogon.dll在這里添加了一個項���,登陸時通知調(diào)用WgaTray.exe,在托盤彈出提示的�����。如果病毒也在這里嵌入一個“通知”�����,開機時當然會有所表現(xiàn)并有所動作�����。
?���。?span lang=EN-US>3)Userinit
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit
Winlogon_Userinit
當“歡迎使用”或“正在加載個人配置”的窗口飄過后,我們打開任務管理器�,可以看到這個Userinit.exe進程逗留了很久方去,它就是用戶個人配置初始化程序���。其默認值是C:WINDOWSsystem32userinit.exe,(帶英文半角逗號)�����,如果這項被修改��,加載個人配置時就會難產(chǎn)彈錯�;如果被改成病毒程序��,后果不堪設想�����。
(4)LogonShell
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell
Winlogon_Shell
Shell外殼指的是可視化的用戶資源管理界面��,默認值Explorer.exe�����,即顯示資源管理器�����、“我的電腦”、文件夾�����、桌面�、開始菜單、任務欄��、托盤的程序���。當我們從任務管理器結(jié)束Explorer.exe����,可看到桌面只剩一張壁紙�,文件夾界面全體消失,應用程序窗口仍在�。
如果開機進入桌面后出現(xiàn)這種情況,說明Explorer.exe程序被修改了或在注冊表此項被阻止啟動了���。這時先可試著從資源管理器運行explorer��,不行的話從別人電腦里拷貝explorer.exe到Windows文件夾覆蓋�����,同時還要進入這里查看Shell的默認值Explorer.exe有沒有被篡改��,后面有沒有被加上“尾巴”即病毒附著在Explorer.exe上面的加載項�����。
?��。?span lang=EN-US>5)ExplorerAutoRun
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
ExplorerAutoRun
圖中項為Windows某更新所產(chǎn)生的正常項,但注意這里也可以被病毒嵌入加載項�����。
?���。?span lang=EN-US>6)ShellServiceObjectDelayLoad
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
ShellSvcLoad
這些是“外殼服務”,例如CDBurn是鮮為人知的Window自帶刻錄功能�����,SysTray是系統(tǒng)托盤顯示程序����,這項沒了開機后一些托盤圖標就會消失����。當然病毒加載項也可在這里濫竽充數(shù)���。
?��。?span lang=EN-US>7)ShellExecuteHooks
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
ShellExeHook
這是“外殼掛鉤程序”,圖中正常項對應shell32.dll����,包括系統(tǒng)圖標、工具欄等界面元素�。如果病毒在這里有眼線,它生前一定會隨外殼運行�,死后也會繼續(xù)彈框出錯。
以上七家�,圍剿完畢,加載dll紛紛原形畢露�����,刪之����,就能徹底告別那當頭一棒的“加載失敗”框了�����!把這些常見位置加入Registry Workshop的收藏夾,以后就再也不怕它彈了��!當然更多隱秘期待諸君自己積累���。
這里談的都是加載項��,不是大家平時熟悉的啟動項����。即便是啟動項����,也有很多的注冊表位置,遠不止Msconfig那么簡單�。
