超级游戏迷 - 2008-5-11 21:22:00
一、如何从SRENG扫描日志中找到异常的“启动文件夹”
在SRENG扫描工具主窗口,点击“启动项目”--“启动文件夹”,会出现一个项目列表,这些项目也是开机自启动项目,与扫描日志也是一一对应的,比如:
==================================
启动文件夹
[腾讯QQ]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>
==================================
这里:[腾讯QQ]表示出现在“开始”--“程序”--“启动”下级子菜单项下的内容;“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk”表示引导文件(或者叫链接文件);“C:\PROGRA~1\Tencent\QQ\QQ.exe”表示链接文件实际运行的程序文件。综合来看,这一堆字符串表示开机登陆系统后,系统通过“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk”这个链接文件自动运行“C:\PROGRA~1\Tencent\QQ\QQ.exe”这个程序文件。
从中我们可以得出几个关键常识:一般情况下,正常的“启动文件夹”下的内容,链接文件应该与所引导运行的程序文件同时在日志内容中出现,且文件名(不含扩展名)一致(如比较QQ.LNK及QQ.EXE),被引导执行的程序文件,一般是在c:\program files\这个目录下(因为这是引用程序安装的默认路径)。
上面说的都搞清楚后,“启动文件夹”下的病毒“李鬼”就很容易现形了。现在拿一个病毒创建的启动文件夹来比较下:
———————————————————————————————————————
启动文件夹
[msword]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\msword.lnk --> C:\WINDOWS\system32\CCWLAE~1.EXE [N/A]><N>
———————————————————————————————————————
从以上内容,我们至少可以发现以下两个疑点:
1、链接文件和其引导运行的程序文件,两着文件名不匹配;
2、被引导执行的程序文件路径异常。
经过GOOGLE检测,以上启动文件夹的内容确实是病毒添加的。
还有一个例子,
———————————————————————————————————————
启动文件夹
[]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\木马.HTA --> [][N/A]><N>
———————————————————————————————————————
这里我们可以发现两个疑点:
1、链接文件的位置上出现了一个陌生扩展名的文件(木马.HTA );
2、链接文件没有对应的引导执行的可执行文件。
实际上,木马.HTA既是引导文件,也是所要引导的“可执行文件”,功能合二为一了,采取了瞒天过海的招数,鄙视之。
【注】以上仅是抛砖引玉之说,自己实在吃不准的,可以GOOGLE下被引导执行的可执行文件(如本例的CCWLAE~1.EXE),
二、如何处理已经发现的异常的“启动文件夹”内容
这个可以多讲一下,我们可以用三种方法灭了它:
1、开始--程序--启动,展开启动的下级子菜单,将鼠标悬停在有问题的启动文件夹项目上(比如上例,应该将鼠标悬停在“msword”这个菜单项上),右键,选择“删除”;
2、直接进入C:\Documents and Settings\All Users\「开始」菜单\程序\启动\这个文件夹下,手工删除该文件夹下的msword.lnk这个链接文件;
3、在SRENG扫描工具主窗口,启动项目--启动文件夹-找到问题项目单击选定--点“删除”。
【注】本例中问题链接文件对应的可执行程序C:\WINDOWS\system32\CCWLAE~1.EXE,在手工杀毒时不可放过……
三、个人的一点建议
我们知道,通过在“开始--程序--启动”菜单项下添加需要引导执行的应用程序可执行文件,好象方便了不少(至少省了我们寻找并双击应用程序可执行文件的时间),但是,这个设置将严重影响开机登陆系统的速度。有鉴于此,个人建议将“开始--程序--启动”菜单项下的内容全部删除,以加快系统登陆速度----登陆了以后,想执行哪个程序自己再定吧:default6:
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
超级游戏迷 - 2008-5-11 21:32:00
个人见解,欢迎交流:default71:
独寻 - 2008-5-12 13:06:00
这个帖 为什么不至顶啊!!!!!!!!!!!!!!!!
lqqk7 - 2008-5-12 14:35:00
楼主太棒了~~:default13:
加精了
梦恋羽翼 - 2008-5-12 19:25:00
貌似游戏哥已经在群里说过了~
(*^__^*) 嘻嘻……收藏了~~:default6: :default6:
:kaka9: 再次学习了~
fairsentence - 2008-8-2 14:57:00
一直搞不清这项怎么处理,学习了
探路狮 - 2008-8-2 17:51:00
:default41: :default42: :default69:
happysunday2003 - 2008-8-2 23:01:00
顶下吧
吻你没商量 - 2008-8-3 0:19:00
呵呵 很多病毒都是自己在启动里面创建文件的 不过我用咖啡定义了规则:阻止随意在启动下面添加新文件的
凌空飞来的钱 - 2008-8-4 20:09:00
恩...顶下.呵呵.顺便问下,在SRENG里面删除了的东西就永久干净了吗?在文件夹里找到了木马删除不掉,就粉碎了下,然后东西还在.再到安全模式又没了,回来看又没了,这算什么呢?
© 2000 - 2026 Rising Corp. Ltd.