全面找出自啟動程序

[psac]

全面找出自啟動程序

閒逛中看到的一篇文章，個人感覺還不錯，希望對大家有說明 ！
一、傳統的啟動——「啟動」資料夾
按下「開始→程序」，你會發現一個「啟動」表單，這就是最傳統的windows啟動位置，右
擊「啟動」表單選項「開啟」即可將其開啟，如所顯示，其中的程序和建立捷逕都會在系統啟
動時自動執行。最一般的啟動位置如下：
當前用戶：<c:\documents and settings\用戶名\「開始」表單\程序\啟動>
所有用戶：<c:\documents and settings\all users\「開始」表單\程序\啟動>

　　

二、有名的啟動——註冊表啟動項
註冊表是啟動程序藏身之處最多的地方，主要有以下幾項：
1.run鍵
run鍵是病毒最青睞的自啟動之所，該鍵位置是[hkey_current_
user\software\microsoft\windows\currentversion\run]和[hkey_
local_machine\software\microsoft\windows\currentversion\run]，其下的所有程式在每
次啟動登入時都會按順序自動執行。
還有一個不被注意的run鍵，位於註冊表[hkey_current_
user\software\microsoft\windows\currentversion\policies\explorer\run]和
[hkey_local_machine\software\microsoft\windows\currentversion\
policies\explorer\run]，也要仔細檢視。

2.runonce鍵
runonce位於[hkey_current_user\software\microsoft\windows\
currentversion\runonce]和[hkey_local_machine\software\microsoft\
windows\currentversion\runonce]鍵，與run不同的是，runonce下的程序僅會被自動執行
一次。

3.runservicesonce鍵
runservicesonce鍵位於[hkey_current_user\software\microsoft\
windows\currentversion\runservicesonce]和[hkey_local_machine\
software\microsoft\windows\currentversion\runservicesonce]下，其中的程序會在系統
載入時自動啟動執行一次。

4.runservices鍵
runservices繼runservicesonce之後啟動的程序，位於註冊表
[hkey_current_user\software\microsoft\windows\currentversion\runservices]和
[hkey_local_machine\software\microsoft\windows\currentversion\
runservices]鍵。

5.runonceex鍵
該鍵是windows xp/2003特有的自啟動註冊表項，位於[hkey_
current_user\\software\microsoft\windows\currentversion\runonceex]和
[hkey_local_machine\software\microsoft\windows\currentversion\runonceex]。

6.load鍵
[hkey_current_user\software\microsoft\windowsnt\currentversion\windows]下的load
鍵值的程序也可以自啟動。

7.winlogon鍵
該鍵位於位於註冊表[hkey_current_user\software\
microsoft\windows nt\currentversion\winlogon]和[hkey_local_machine\
software\microsoft\windows nt\currentversion\winlogon]，注意下面的notify、
userinit、shell鍵值也會有自啟動的程序，而且其鍵值可以用逗號分隔，從而實現登入的
時候啟動多個程序。

8.其他註冊表位置
還有一些其他鍵值，經常會有一些程序在這裡自動執行，如：
[hkey_current_user\software\microsoft\windows\currentversion\policies\system\she
ll]
[hkey_local_machine\software\microsoft\windows\currentversion\shellserviceobject
delayload]
[hkey_current_user\software\policies\microsoft\windows\system\ＳＣＲＩＰＴs]
[hkey_local_machine\software\policies\microsoft\windows\system\ＳＣＲＩＰＴs]
小提示:

註冊表的[hkey_local_machine]和[hkey_current_user]鍵的區別：前者對所有用戶有效，
後者只對當前用戶有效。

三、古老的啟動——自動批次處理文件
從dos時代過來的朋友肯定知道autoexec.bat（位於系統碟根目錄）這個自動批次處理文件，
它會在電腦啟動時自動執行，早期許多病毒就看中了它，使用deltree、format等危險指令
來破壞硬碟資料。如「c碟殺手」就是用一句「deltre e /y c:\*.*」指令，讓電腦一啟動
就自動移除c碟所有文件，害人無數。

小提示:

★在windows 98中，autoexec.bat還有一個哥們——winstart.bat文件，winstart.bat位於
windows資料夾，也會在啟動時自動執行。
★在windows me/2000/xp中，上述兩個批次處理文件預設都不會被執行。

四、常用的啟動——系統組態文件
在windows的組態文件（包括win.ini、system.ini和wininit.ini文件）也會載入一些自動
執行的程序。
1.win.ini文件
使用「記事本」開啟win.ini文件，在[windows]段下的「run=」和「load=」語句後面就可
以直接加可執行程序，只要程式名稱稱及路徑寫在「＝」後面即可。

小提示:
「load=」後面的程序在自啟動後最小化執行，而「run=」後程序則會正常執行。

2.system.ini文件
使用「記事本」開啟system.ini文件，找到[boot]段下「shell=」語句，該語句預設為「
shell=explorer.exe」，啟動的時候執行windows外殼程序explorer.exe。病毒可不客氣，
如「妖之吻」病毒乾脆把它改成「shell=c:\yzw.exe」，如果你強行移除「妖 之吻」病毒
程序yzw.exe，windows就會提示報告錯誤，讓你重裝windows，嚇人不？也有客氣一點的病毒，
如將該句變成「shell=explorer.exe 其他程式名稱」，看到這樣的情況，後面的其他程式名稱
一定是病毒程序如所顯示。

3.wininit.ini
wininit.ini文件是很容易被許多電腦用戶忽視的系統組態文件，因為該檔案在windows啟動
時自動執後會被自動移除，這就是說該檔案中的指令只會自動執行一次。該組態文件主要由
軟體的安裝程序產生，對那些在windows圖形界面啟動後就不能 進行移除、更新和重新命名的
文件進行操作。若其被病毒寫上危險指令，那麼後果與「c碟殺手」無異。

小提示:
★如果不知道它們存放的位置，按f3鍵開啟「搜尋」對話視窗進行搜尋；
★按下「開始→執行」，輸入syseditEnter鍵，開啟「系統組態編輯程序」，如圖2所顯示，在這
裡也可以方便的對上述文件進行檢視與修改。

　　
五、智能的啟動——開/關機/登入/註銷指令碼

在windows 2000/xp中，按下「開始→執行」，輸入gpedit.mscEnter鍵可以開啟「群組原則編輯
器」，在左側視窗展開「本機電腦原則→用戶組態→管理範本→系統→登入」，然後在右
視窗中雙按「在用戶登入時執行這些程序」，按下「顯示」按鈕，在「登入時執行的項目」
下就 顯示了自啟動的程序。


六、定時的啟動——排定的工作
在預設情況下，「排定的工作」程序隨windows一起啟動並在後台執行。如果把某個程序增加
到計劃工作資料夾，並將計劃工作設定為「系統啟動時」或「登入時」，這樣也可以實現程
序自啟動。通過「計劃工作」載入的程序一般會在工作管理欄系統工作列區裡有它們的圖示 。大
家也可以雙按「控制台」中的「計劃工作」圖示檢視其中的項目。

小提示:

「排定的工作」也是一個特殊的系統檔案夾，按下「開始→程序→附件→系統工具→排定的工作
」即可開啟該檔案夾，從而方便進行檢視和管理。

七、跟著別人的啟動——隨軟體開啟的程序
隨myie2啟動的程序，詳見本刊2004年第3期、4期《讓你受用終生的瀏覽器─myie2實用技巧
大放送》一文。

下篇 全方位作戰
　
徹底清查windows自啟動
一、從「系統資訊」檢視啟動程序
按下「開始→程序→附件→系統工具→系統資訊」，雙按「軟體環境」，按下「啟動程序」
，在右邊視窗出現的程序就是所有自啟動程序，在「安裝載入源」或「位置」下顯出該程序是由
註冊表還是「啟動」資料夾啟動的。從這裡只能檢視自啟動程序，不能對自啟動程序進行禁
止自啟動等任何更改操作。
軟體性質： windows自身功能
推薦指數： ★★★★


二、msconfig
在windows 98/me/xp/2003中，按下「開始→執行」，輸入msconfigEnter鍵即可開啟「系統配
置實用程序」視窗，按下「啟動」標籤，在列表項中顯示的就是從註冊表、「啟動」資料夾
和系統組態文件中自啟動的程序。程序前有對號的是允許自啟動的程序，沒有對號的則不會
自啟動。 如果想取消某個程序的自啟動，按下取消程序前的對勾即可。還可以在
autoexec.bat、system.ini和win.ini標籤裡面對它們進行編輯，取消其中的自啟動程序。

小提示:

★所有的修改都需要重新啟動才能生效。
★windows 2000沒有msconfig程序，但是我們可以從windows 98或者xp拷貝一個到
system32目錄，同樣可以起作用。
軟體性質： 免費，微軟原裝
推薦指數： ★★★★


三、startup.cpl
只需要將startup.cpl檔案拷貝到windows安裝目錄下的system32資料夾下面即可，按下「開
始→設定→控制台」開啟控制台，你會發現裡面多了一個startup項，雙按開啟它，在
開啟的對話視窗中，可以方便地對「啟動」資料夾和註冊 表中的啟動項目進行管理，如右擊
空白處新增一個啟動項，右擊已有的啟動項目可以對其進行編輯、移除、禁用和立刻執行等
操作。
軟體性質： 免費，綠色軟體
推薦指數： ★★★★★

四、startupmonitor
雙按startupmonitor.msi執行安裝，安裝完成後，它就乖乖的在後台執行，只佔據100多kb
的記憶體，什麼時候才顯示出它的本事呢？當你安裝了一個軟體的時候，如果它想自己偷偷自
啟動，嘿嘿，就必須通過startupmonitor的這一關 ，如所顯示，它管得非常寬，無論是什麼
程序，它都不放過！漁歌強烈推薦。
軟體性質： 免費，小巧實用
推薦指數： ★★★★★

五、startstop
軟體安裝後它會將自己加到註冊表的runonce自啟動，啟動後會自動縮小到工作列區一個小圖
標，雙按即可開啟startstop主界面，在這裡列出了本地機啟動程序，右擊某個程序可以選項
總是啟動、從不啟動還是每次詢問是否啟動，如所顯示，它有特色的一個地方 是按下表單「
options→startup delay」，可以設定啟動時延遲多少時間啟動程序。
軟體性質： 免費， 有特色
推薦指數： ★★★★

六、autoruns
下載autoruns.zip後解壓縮直接執行裡面的autoruns.exe即可，由於它不會在啟動時載入，
顯得更綠色。雙按autoruns.exe開啟程序界面，它不僅僅列出的是非常全的啟動項，而且詳
細地列出了啟動程序的公司和路徑，如果還不滿意 ，右擊某個啟動項目，選項內容，可以
檢視該啟動項的文件內容。它還有兩個特色功能，一個是右擊任何一個啟動項，選項jump
to就會立刻跳轉到具體的位置，如跳轉到註冊表的具體鍵值、開啟啟動檔案夾、開啟ini文
件等，非常方便！還有一個功能是按下view表單，可以切換是否顯示所有的啟動位置、是否
顯示啟動的服務、是否只顯示非microsoft公司的項目，這對於檢查啟動 項目和過濾項目非
常有用。
軟體性質： 免費，綠色軟體
推薦指數： ★★★★★

七、startup organizer
startup organizer的組織和管理自啟動項功能很強大，它在控制啟動項目方面做的也比較
細，如為某個啟動設定聲音提示，還能設定在windows啟動時按某個鍵來控制某些程序啟動
與否，還可以制作備份自啟動組態文件以便應急恢復、比較啟動程序的變化、恢復第一次 執行
時的預設組態，操作也比較簡單，遺憾之處就是不是免費的。
軟體性質： 共享軟體，30天免費試用

[pc123]

Thank Your Shared

[六翼黑帝斯]

感謝大大分享
內容還真多

[psac]

WindowsXP系統中如何取消D碟自動播放

筆者最近遇這樣的一件事情，在Windows XP操作系統中雙按打不開D碟，出現一個對話視窗，提求Windows系統無法找到Pagefile.pif
，並且右鍵表單中多了一個「自動播放」功能。這個東西雖然不至於對系統造成危害，但是使用起來也很麻煩。必須給取消。



未找到程序


自動播放
試了很多種辦法，筆者終於找到解決這個故障的方法。
在「執行」中輸入「regedit」開啟註冊表編輯器，在註冊表中使用「尋找」功能尋找「自動播放」…… 找出了「autorun=自動播放」、「open=Pagefile.pif」、STARTUPIMAGEDIRECTORY=D\自動播放(圖3)、「icon=Fwrite.ico」等鍵值，筆者一一移除了。在D碟根目錄下發現一個「autorun.inf」文件。開啟一看裡面的內容正是我要移除的內容!筆者一起給移除了。好了，重啟電腦，大功告成，所有的問題都解決了。





圖3 註冊編輯器
小知識:什麼是Autorun.inf
Autorun.inf一個文本形式的組態文件，我們可以用文本編輯軟體進行編輯，它只能位於驅動器的根目錄下。這個文件包含了需要自動執行的指令，如改變的驅動器圖示、執行的程式文件、可選快捷表單等內容。
事實上，大多數的用戶並不需要AutoRun.inf文件來執行程序，因此，我們完全可以將
硬碟
的AutoRun功能關閉，這樣即使在
硬碟
根目錄下有AutoRun.inf這個文件，Windows也不會去執行其中指定的程序，從而黑客可能利用AutoRun.inf文件達到入侵的目的。
怎樣禁止光碟AutoRun功能?
其實很簡單，就是將DRIVE_CDROM設為1，這樣「No Drive TypeAutoRun」鍵值中的第一個值就變成了10110101，也就是16進制的B5。將第一個值改為B5後關閉註冊表編輯器，重啟電腦後就會關閉CDROM的Autorun功能。如果僅想禁止軟體光碟的AutoRun功能，但又保留對CD音瀕碟的自動播放能力，這時只需將「No Drive Type AutoRun」的鍵值改為:BD，00，00，00即可。如果想要恢復
硬碟
或
光碟
的AutoRun功能，進行反方向操作即可。
注:造成上面這種問題還有可能是病毒造成的，所以筆者建議大家先在「安全模式」下對系統進行一個全面的病毒掃瞄後，再用上面的方法進行故障解除。

[boss]

收下了
謝謝分享