1、一、启动项管理 在win7系统运行其中的“HA_Autoruns9.57_LRH.exew文件完成程序的安装后,双击桌面上的“Autoruns”即可出现程序窗口并会自动定位到“全部启动项”选项卡界面。
2、在这个列表中,罗列出了其他所有选项卡中的项目。也就是说,如果想一次性査看所有的启动项目,那么切換到“全部启动项”即可。如果希望查看某一方面的启动项目,那么,单击切換到相应的选项卡界面即可。比方说,现在想看看用户登录过程中都加载了哪些启动项目,那么单击切換到“登录”选项卡界面后,即可看到相应的列表。
3、二、进程实战解析 在上图中我们看到了一个很奇怪的启动项目,即“HKLMSOFTWAR苇质缵爨EMicrosoftWmdowsNTCurrent蕺清寤凯VersionWiniogonShelT下居然有两个启动项目,即: •%WINDIR%System32wincmrl.exe.Explorer.exe 经验告诉我们这里只应该存在Explorer.exe,wincmd.exe是不应该出现在这里的。在单击选中wincmd.exe项目后,可以在下方的状态栏中通过描述对这个文件敢初步的了解,这里从描述上没有发现什么有用的内容。但是,通过“。/oWINDIR%System32wincmd.exec:windowssystem32wincmd.exe”这行基本信息,我们知道了wincmrt.exe文件的存储路径,这一点是非常重要的,因为解决问题时非常需要寻根挖源。 由于这个文件的名称中含有win的宇样,所以很可能与Windows有关,为了避免误删除橾作的出现。现在,我们需要从“c:windowssystem32”目录中,将“wincmd.exe”文件复制到另一个分区中,准备使用杀毒软件进行初步分析,令人高兴地是,卡巴斯基禁止复制此文件并给出了如图所示的提示框。
4、从提示框中可以看出,这是一个木马程序,其病毒特征为“Backdoor.Win32.Wollf.aa”。在谷歌搜索引擎中将特征名称为关键宇进行搜索,获得了如图所示的由瑞星公司给出的结果。
5、需要说什么呢?现在赶紧把这个病毒文竭惮蚕斗件删除吧!接着,在AutoRuns工具中可以选择两种操作,右键单击“%WIN肛舀辨乔DIR%System32wincmrUxe”项并在弹出的菜单中选择“注册表”。 win7在弹出的“注册表编辑器”窗口中,可以看到已经自动定位到“[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]"分支的shell值,其右侧的“数据”列显示结果为“Explorer.exe%WINDIR%System32wincmd.exeM。
