这类病毒一般是以进程的方式运行这类病毒一般是比较好被发现的下边先说下这类病毒是在哪里启动的
注册表
如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/<br>Explorer/ShellFolders
Startup="C:/windows/start menu/programs/startup
系统WININI文件内
在 winini文件中“run=”和“load=”是可能加载“木马”程序的途径必须仔细留心它们一般情况下它们的等号后面什么都没有如果发现 后面跟有路径与文件名不是你熟悉的启动文件你的计算机就可能中上“木马”了当然你也得看清楚因为好多“木马”如“AOL Trojan木马”它把自身伪装成commandexe文件如果不注意可能不会发现它不是真正的系统启动件也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了下边就是正常的WININI(XP) ; for bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=
CMCDLLNAME=mapidll
CMCDLLNAME=mapidll
CMC=
MAPIX=
MAPIXVER=
OLEMessaging=
[MCI ExtensionsBAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
mv=MPEGVideo
mu=MPEGVideo
mp=MPEGVideo
mpv=MPEGVideo
mp=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wvx=MPEGVideo
wpl=MPEGVideo
SYSTEMINI文件中
在 systemini文件中在[BOOT]下面有个“shell=文件名”正确的文件名应该是“explorerexe”如果不是 “explorerexe”而是“shell= explorerexe 程序名”那么后面跟着的那个程序就是“木马”程序就是说你已经中“木马”了又会有人问了我是XP系统怎么又不一样呢?给你个正常的XP系统的 SYSTEMINI请大家可以参考下正常的SYSTEMINI文件
; for bit app support
[drivers]
wave=mmdrvdll
timer=timerdrv
[mci]
[driver]
[enh]
woafont=appFON
EGAWOAFON=EGAWOAFON
EGAWOAFON=EGAWOAFON
CGAWOAFON=CGAWOAFON
CGAWOAFON=CGAWOAFON
在Configsys内
这类加载方式比较少见但是并不是没有如果上述方法都找不到的话请来这里也许会有收获的
在Autuexecbat内
这类加载方式也是比较少见建议跟Configsys方法一样
和的加载方式建议大家先必须确定计算机有病毒并且上边的方法都找不到后最后来这里进行查找
总结这类病毒是比较容易暴露的建议手动删除时最好进入安全模式下因为安全模式只运行WINDOWS必备的系统进程EXE型病毒很容易暴露出来的下边附上一张WINDOWS安全模式的必须进程表
smssexe Session Manager
csrssexe 子系统服务器进程
winlogonexe 管理用户登录
servicesexe 包含很多系统服务
lsassexe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序(系统服务) 产生
会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)(系统服务) >netlogon
svchostexe 包含很多系统服务 !!!>eventsystem(SPOOLSVEXE 将文件加载到内存中以便迟后打
印)
explorerexe 资源管理器 (internatexe 托盘区的拼音图标)
system
System Idle Process 这个进程是不可以从任务管理器中关掉的这个进程是作为单线程运行在每个处
理器上并在系统不处理其他线程的时候分派处理器时间
taskmagrexe 就是任务管理器了