步骤五:win7在弹出的“注册表编辑器”窗口中,可以看到已经自动定位到 分支的Shell值,其右侧的“数据”列显示结果为“ 。如图5所示:
步骤六:很明显,这是一个木马在人侵并企图与Explorer.exe捆绑发作。现在,我们有多种选择,常见有两种,一是在AutoRuns窗口中清空 项,这样AutoRuns就会自动在注册表中创建“ 项,并在其下自动创建“Shell”值,其数据结果为“%WINDIR%System32wincmrl.exeM,这样wincmd.exe文件即使没有删除也不会被运行了。如图6所示:
步骤七:二是右键单击“%WINDIR%System32wincmd.exeM项并在弹出的菜单中选择“删除”,在弹出的如图所示提示框中单击“是”按钮,即可将注册表的分支的shell值恢复原状,即删除这个数据结果的wincmd.exe部分。如果希望快速检查第三方程序创建的启动项,可以在“选项”菜单中通过勾选“隐藏微软和系统进程”、“隐藏进程标记”两个菜单来实现。
Autoruns怎么使用管理开机启动项将下载的压缩包解压之后,直接双击运行Autoruns.exe
这时看到Autoruns的主界面,“所有项目”下显示的是所有开机运行的项目,我们没有必要逐个分析调整,根据分类更好,先点击“登陆”这个分类选项卡