發現病毒:
啟動項里面多了:
查看進程,結束mouser.exe
在C:\WINDOWS\system32\把mouser.exe刪除
打開注冊表編輯器,展開:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,將Userinit的值C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mouser.exe改為:C:\WINDOWS\system32\userinit.exe
重啟 ok!
附上一些關于系統啟動的資料,這是網上找的
Quote:
所有RUN鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
兩個SETUP鍵值:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RUNONCE\SETUP
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunONCE\SETUP
所有RUNservicesOnce鍵
所有RUNservices鍵。
查找所有RUNONCE鍵.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的兩個
重要鍵值,很隱秘:
SHELL=EXPLORER.EXE(后面可以跟上其他程序,會自啟動。格式:EXPLORER.EXE *.EXE
userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗號隔開)
LOAD鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
右邊的load,一般值為空的,加上其他程序可以自啟動。
所有用戶的啟動項:開始菜單\程序\啟動
這些啟動項的啟動順序
runservicesonce ------runservices---用戶登陸-hkey_local_machine下的runonce鍵--LOAD鍵---RUNONCE\SETUP鍵-兩個CurrentVersion\Run鍵-
開始菜單啟動
不一定注冊表中這些鍵都有值,大部分是空的,在全部都有的情況下啟動順序是上面。runservicesonce ------runservices是用來注冊啟動系統服務的,這兩個鍵能在用戶登陸前啟動,相當危險。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
兩個SETUP鍵值:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RUNONCE\SETUP
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunONCE\SETUP
所有RUNservicesOnce鍵
所有RUNservices鍵。
查找所有RUNONCE鍵.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的兩個
重要鍵值,很隱秘:
SHELL=EXPLORER.EXE(后面可以跟上其他程序,會自啟動。格式:EXPLORER.EXE *.EXE
userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗號隔開)
LOAD鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
右邊的load,一般值為空的,加上其他程序可以自啟動。
所有用戶的啟動項:開始菜單\程序\啟動
這些啟動項的啟動順序
runservicesonce ------runservices---用戶登陸-hkey_local_machine下的runonce鍵--LOAD鍵---RUNONCE\SETUP鍵-兩個CurrentVersion\Run鍵-
開始菜單啟動
不一定注冊表中這些鍵都有值,大部分是空的,在全部都有的情況下啟動順序是上面。runservicesonce ------runservices是用來注冊啟動系統服務的,這兩個鍵能在用戶登陸前啟動,相當危險。
