2012-09-28

Windows開機時掛載程序 Regedit註記檔操作方式

Windows開機時掛載程序 Regedit註記檔操作方式


Windows 開機時執行掛載的程序 就是指消耗Windows的系統資源[類似生產線工單][roy1103 個人式說明 非正式解釋]

這份文件 對 目前 木馬 kavo kxvo 效果不佳[很差]
但是 kxvo 一類 在 msconfig 會秀出程序 [且隱藏檔案無法顯示!200902 月後消失] 同樣 程序 內容會變
kxvo 預防 可以 刪除 inf 安檔案類型 減少風險!
請考慮使用 [Autoruns ][Proce XP]等工具又方便又直觀!

[Autoruns]
http://technet.microsoft.com/zh-tw/sysi ... 63902.aspx
『作者 ROY1103 歡迎轉載 但是 請保持原作之完整性!』

-------------------------------------------------------------------------------------------------------------------

[適合使用Windows 之 版本 Windows NT 2K 2KServer XP Home Pro 2k3Server ]
 [因為Win98 WinMe 已經較少使用 如果需要 使用 regedit 後就使用搜索 找 RUN 或是下列 字串 既可 ]

-------------------------------------------------------------------------------------------------------------------

◎ 『regedit 之使用 如果亂刪除或修改、會使使用者系統毀損[無法開機]!下場是重新安裝』◎ 

【非資訊人員不建議使用!】

參考
Microsoft Windows 登錄說明 中英 甚麼是 Regedit
http://forum.icst.org.tw/phpBB2/viewtop ... 1067#21067

-------------------------------------------------------------------------------------------------------------------

您如何瞭解或想提供 regedit 註記檔的 run 也就是 windows 開機時 [跑 run] 「執行」 的程式;

該如何操作呢!

[開啟登錄編輯程式.操作方式:]
1.使用滑鼠點選開始[上方]>執行,
2.在[執行]工作視窗內 輸入 REGEDIT , 然後按下 Enter .
3.在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run

方式:
1.點選[開始]上方=>[執行]
2.輸入regedit 然後 按下 [Enter]
3.尋找下列路徑
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
4.右邊視窗中 = Windows 開機時執行掛載的程序

您可以先點選全部匯出 當 備份; [備份一定要先做.]

或是 可以 在 [執行][英文版 是 (run)] 輸入 regedit [按下「Enter」 鍵] 將
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
之字串 輸出 貼上

"IMJPMIG8.1"="C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" "PHIME2002ASync"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"

此三行是 Xp 預定

"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\SYMANT~2\\VPTray.exe"

這是 symantec 的

其實您可以把字串之數值 "ccApp.exe"
比方 "ccApp.exe" 是 symantec 的 防毒程式;

"ShStatEXE"="\"C:\\Program Files\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Program Files\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"

macfee 防毒

"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
ZoneAlarm 防火牆軟體的程式;

runoence 是指執行一次 下次會看不到 ;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
跑服務 一併檢查

不熟悉在 regedit 尋找位置 就使用搜索 在搜出 輸入三個字 RUN 既可
移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.
當然不只是這裡 需要檢查

木馬可能藏匿之註冊表清單


1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup

6.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup

7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

11.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

12.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

13.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

14.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon

15. HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders

16. HKEY_CLASSES_ROOT\txtfile\shell\open\command

17. HKEY_CLASSES_ROOT\Briefcase\shell\open\command

18. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

19. HKEY_CLASSES_ROOT\exefile\shell\open\command

20. HKEY_CLASSES_ROOT\???file \shell\open\command (???)表示可能為任何副檔名之名稱

沒有安裝 Notor AntiVirus 當然沒有、字串每家 AntiVrius防毒 軟體 soft 也不相同;

-------------------------------------------------------------------------------------------------------------------
相關工具 :
RegEditX 「加強版」登錄檔編輯程式 By Tony
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=3487
好用的工具 因為使用過會記憶 下次不需要搜索

【非資訊人員不建議使用!】

-------------------------------------------------------------------------------------------------------------------

不要隨便對自己的電腦 使用 非官方授權之軟體 尤其是效能調整一類,因為電腦可能會變的更糟糕!!!
電腦系統若是有異常 不如在電腦新增加一個 使用者 帳號 試試 在把資料 轉移就好 !



※上述的機碼都是指具有實體(instance),能夠單獨執行的程式(.exe)
    但現在的木馬通常是以dll或是hook的形式存在,不容易發覺 ,而跟dll或是hook啟動相關的機碼如下

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

沒有留言:

張貼留言