登录项扫描了比较多的注册表启动项,能通过这个"版块"发现大部分可疑文件的踪影:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
这个分支下面的可疑文件比较少
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
这个分支下面可以发现可疑文件踪影
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]
这个分支下面默认是:
C:\WINDOWS\system32\UserInit.exe,
假如","后面加了一个文件名,反病毒区曾有人说过:那100%是病毒。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
这个分支下面病毒比较多,木马下载器们很喜欢这个地方。一般观察此分支之前,请先使用卡卡助手的隐私保护,清理一下Windows临时文件夹。
一般情况下的这分支的图标都是上面是蓝色,下面是白色的(普通程序的图标),清理临时文件夹之后,假如发现图标不同(不能打开的格式图标),则很可能是木马的启动项,这时可以禁止或删除。
PS:假如打开电脑弹出一个出错框,不妨在这找找有没有不能“打开格式的图标”?
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
和上面那条分析情况分支差不多。
[C:\Documents and Settings\Administrator\「开始」菜单\程序\启动]
这条下面一般是QQ或者是Adobe开头的文件。可疑文件在这创建快捷方式的比较少(恶作剧软件除外,恶作剧软件比较喜欢安些奇怪的名字:windows等)
[C:\WINDWOS\SYSTEM.INI]
此分支下比较少发现可疑文件,若此项呈红色显示,则代表危险!
