123   1  /  3  页   跳转

【分享】你认识卡卡助手启动项管理吗?

【分享】你认识卡卡助手启动项管理吗?

卡卡助手有一项功能非常强大——系统启动项管理,假如你拥有一定的可疑文件启动项分析水平,使用该项功能你将能自己发现、处理未知病毒。
  假如你是个新手,有个比较好奇的心,请看下文:

引言:
    本文适合新手、老菜鸟等,旨在抛砖引玉,希望高手能指出不足,新手能有所收获。
在卡卡助手区,发现比较多的关于卡卡助手的“奇怪现象”,其中有些帖有流氓、病毒的影子,希望大家看了这篇帖子之后能有所帮助,发现“奇怪现象”的原因,揪出“作怪”的恶意文件。


注明:因为卡卡助手的系统启动项功能很强大,错误操作可能会带来很严重的后果,所以,希望大家找出可疑启动项之后,最后是帖出日志或者是截图帖上来,大家分析之后再执行:禁止\删除操作,切记!

卡卡助手系统启动项管理界面:

“编辑、工作区”——可以执行“删除”、“禁止”、“跳转到”、“属性”等功能。

“属性区”——提供“文件名”、“大小”、“公司签名”、“创建时间”等信息,

“启动项菜单”——使用启动项菜单可以针对“某一版块”进行分析,节约时间、提高分析效率及准确性。

登录项:

一般可疑文件的文件名比较特殊,如:svch0st.exe,iexpl0rer.exe,winl0gon.exe等。

他们还有一个特征:没有描述、没有公司签名。一般呈灰蓝显示。

如下图,一般正常程序都具有公司签名及描述。

假如没有则可以列为可疑文件。

可疑文件处理办法:

1、是自己利用百度搜索,一般的可疑文件都能搜索得到相关信息。

2、扫描日志,帖到反病毒,请反病毒高手分析。

3、截屏,帖上图片,大家一块分析。

4、对于已经确定是可疑文件的,可以禁止或删除。(禁止即是指取消前面小方框的“”)
 







附件附件:

下载次数:1030
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 17:01:28
描述:



最后编辑2007-09-12 16:02:52.077000000
分享到:
gototop
 

登录项扫描了比较多的注册表启动项,能通过这个"版块"发现大部分可疑文件的踪影:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

这个分支下面的可疑文件比较少

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]

这个分支下面可以发现可疑文件踪影

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

这个分支下面默认是:

C:\WINDOWS\system32\UserInit.exe,

假如","后面加了一个文件名,反病毒区曾有人说过:那100%是病毒。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

这个分支下面病毒比较多,木马下载器们很喜欢这个地方。一般观察此分支之前,请先使用卡卡助手的隐私保护,清理一下Windows临时文件夹。

一般情况下的这分支的图标都是上面是蓝色,下面是白色的(普通程序的图标),清理临时文件夹之后,假如发现图标不同(不能打开的格式图标),则很可能是木马的启动项,这时可以禁止或删除。
PS:假如打开电脑弹出一个出错框,不妨在这找找有没有不能“打开格式的图标”?

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

和上面那条分析情况分支差不多。

[C:\Documents and Settings\Administrator\「开始」菜单\程序\启动]

这条下面一般是QQ或者是Adobe开头的文件。可疑文件在这创建快捷方式的比较少(恶作剧软件除外,恶作剧软件比较喜欢安些奇怪的名字:windows等)

[C:\WINDWOS\SYSTEM.INI]

此分支下比较少发现可疑文件,若此项呈红色显示,则代表危险!


附件附件:

下载次数:997
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 17:30:40
描述:



gototop
 

因为可疑文件比较青睐“服务项”所以提前说明:

服务项比较好区别:

没有说明、描述的一般都可以列入分析视线。

一般可疑文件有以下几个特征,假如拥有其中的一个特征都有可能是可疑文件:

文件名随机的、描述和公司和名字都是一样的或者是空的;

遇到此类可疑文件,可以通过搜索文件名、截图或者请求大家帮忙分析来排除。

附件附件:

下载次数:1017
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 17:43:45
描述:



gototop
 

应用程序劫持项,是比较多恶意病毒喜欢使用的。

一般默认分支下只有一行的,如图:

假如有很多.dll  .exe结尾的程序,则说明这些程序被劫持了。

解除劫持就是:删除掉这些程序。(PS:虽然很累~)

附件附件:

下载次数:985
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 17:46:53
描述:



gototop
 

引导执行,一般比较少。

假如有可疑文件的话,一般会呈红色显示;

默认如图:

附件附件:

下载次数:982
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 17:47:32
描述:



gototop
 

登录通知项,在这里登录的病毒比较少,这里一般都是微软使用的地方。

一般都具有微软的签名,假如没有签名则很有可能是可疑文件。

PS:曾经在这里发现过“盗版验证”的启动项,曾实践过,是可以禁止五角星启动的。

附件附件:

下载次数:995
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 18:18:07
描述:



gototop
 

Winsock 服务提供者(LSP)

假如无法上网的话,可以看看这里是不是红色显示?

修复办法:

使用高级功能中的“IE及系统修复”修复。

附件附件:

下载次数:993
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 18:22:17
描述:



gototop
 

IE插件和资源管理器插件类似,一般在此项的都是下载工具等。
假如不是下载工具,说明及公司签名都是值得怀疑的




资源管理器插件

一般比较少恶意程序,但多恶意插件。

此分支多数是微软的插件(拥有微软的数字签名),呈白蓝显示,其它比较多见的常用插件有:

RAR、7Z等解压软件。(一般是灰蓝显示)。

如图:

附件附件:

下载次数:965
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 18:36:48
描述:



gototop
 

驱动

因为此版块的文件名比较随便,所以,一般只能通过路径、描述、数字签名来判断。

一般值得关注的是灰蓝显示的,因为是驱动,所以很多灰蓝的项目大多是显卡或主板光驱等驱动,假如具有一定的硬件知识,那就比较好区分了。

PS:因为是驱动,所以一般不推荐直接禁止甚至删除。

发现可疑项目,推荐到“数码硬件”或者“反病毒区”请高手人确认,方可禁止,假如禁止之后重启,一切正常就可以删除了。

不慎禁止或删除驱动,从而直接造成系统无法启动的情况,急救办法:

开机按住F8直到出现启动菜单,这时选择:

最后一次正确配置

一般情况下等大概十几二十分钟,就能恢复了。

(此方法适合大部分因为错误操作卡卡助手删除重要项目,而造成系统崩溃的情况。)

附件附件:

下载次数:1046
文件类型:image/pjpeg
文件大小:
上传时间:2007-7-20 18:47:27
描述:



gototop
 

楼主辛苦,领教了
ps:支持LZ成为本版版主
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT