一、如何从SRENG扫描日志中找到异常的“启动文件夹”在SRENG扫描工具主窗口,点击“启动项目”--“启动文件夹”,会出现一个项目列表,这些项目也是开机自启动项目,与扫描日志也是一一对应的,比如:
==================================
启动文件夹
[腾讯QQ]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>
==================================
这里:[腾讯QQ]表示出现在“开始”--“程序”--“启动”下级子菜单项下的内容;“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk”表示引导文件(或者叫链接文件);“C:\PROGRA~1\Tencent\QQ\QQ.exe”表示链接文件实际运行的程序文件。综合来看,这一堆字符串表示开机登陆系统后,系统通过“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk”这个链接文件自动运行“C:\PROGRA~1\Tencent\QQ\QQ.exe”这个程序文件。
从中我们可以得出几个关键常识:一般情况下,正常的“启动文件夹”下的内容,链接文件应该与所引导运行的程序文件同时在日志内容中出现,且文件名(不含扩展名)一致(如比较QQ.LNK及QQ.EXE),被引导执行的程序文件,一般是在c:\program files\这个目录下(因为这是引用程序安装的默认路径)。
上面说的都搞清楚后,“启动文件夹”下的病毒“李鬼”就很容易现形了。现在拿一个病毒创建的启动文件夹来比较下:
———————————————————————————————————————
启动文件夹
[msword]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\msword.lnk --> C:\WINDOWS\system32\CCWLAE~1.EXE [N/A]><N>
———————————————————————————————————————
从以上内容,我们至少可以发现以下两个疑点:
1、链接文件和其引导运行的程序文件,两着文件名不匹配;
2、被引导执行的程序文件路径异常。
经过GOOGLE检测,以上启动文件夹的内容确实是病毒添加的。
还有一个例子,
———————————————————————————————————————
启动文件夹
[]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\木马.HTA --> [][N/A]><N>
———————————————————————————————————————
这里我们可以发现两个疑点:
1、链接文件的位置上出现了一个陌生扩展名的文件(木马.HTA );
2、链接文件没有对应的引导执行的可执行文件。
实际上,木马.HTA既是引导文件,也是所要引导的“可执行文件”,功能合二为一了,采取了瞒天过海的招数,鄙视之。
【注】以上仅是抛砖引玉之说,自己实在吃不准的,可以GOOGLE下被引导执行的可执行文件(如本例的CCWLAE~1.EXE),
二、如何处理已经发现的异常的“启动文件夹”内容这个可以多讲一下,我们可以用三种方法灭了它:
1、开始--程序--启动,展开启动的下级子菜单,将鼠标悬停在有问题的启动文件夹项目上(比如上例,应该将鼠标悬停在“msword”这个菜单项上),右键,选择“删除”;
2、直接进入C:\Documents and Settings\All Users\「开始」菜单\程序\启动\这个文件夹下,手工删除该文件夹下的msword.lnk这个链接文件;
3、在SRENG扫描工具主窗口,启动项目--启动文件夹-找到问题项目单击选定--点“删除”。
【注】本例中问题链接文件对应的可执行程序C:\WINDOWS\system32\CCWLAE~1.EXE,在手工杀毒时不可放过……
三、个人的一点建议我们知道,通过在“开始--程序--启动”菜单项下添加需要引导执行的应用程序可执行文件,好象方便了不少(至少省了我们寻找并双击应用程序可执行文件的时间),但是,这个设置将严重影响开机登陆系统的速度。有鉴于此,个人建议将“开始--程序--启动”菜单项下的内容全部删除,以加快系统登陆速度----登陆了以后,想执行哪个程序自己再定吧
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
