看你用啥開啟影片檔或是圖片檔案程式,有可能是編碼的問題!或者如果你開啟來的話可以先去重要地方看摟!
以下為轉貼的
網址為
http://maxmin.freebbs.tw/viewthr ... &extra=page%3D1
裡面內容如下
重要說明:
這份文件 對 目前 木馬 kavo kxvo 效果不佳
但是 kxvo 一類 在 msconfig 會秀出程序
且隱藏檔案無法顯示!
考慮使用 [Autoruns 8.73][Proce XP]等工具又方便又直觀!
開始說明技術:
[適合使用Windows 之 版本 Windows NT 2K 2KServer XP Home Pro 2k3Server ]
[因為Win98 WinMe 已經較少使用 如果需要 使用 regedit 後就使用搜索 找 RUN 或是下列 字串 既可 ]
---------------------------------------------------------------------------------------------------------------------------------------------------------
◎ 『regedit 之使用 如果亂刪除或修改、會使使用者系統毀損[無法開機]!下場是重新安裝』◎
【非資訊人員不建議使用!】
您如何瞭解或想提供 regedit 註記檔的 run 也就是 windows 開機時 [跑 run] 「執行」 的程式;
該如何操作呢!
[開啟登錄編輯程式.操作方式:]
1.使用滑鼠點選開始[上方]>執行,
2.在[執行]工作視窗內 輸入 REGEDIT , 然後按下 Enter .
3.在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
方式:
1.點選[開始]上方=>[執行]
2.輸入regedit 然後 按下 [Enter]
3.尋找下列路徑
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
4.右邊視窗中 = Windows 開機時執行掛載的程序
您可以先點選全部匯出 當 備份; [備份一定要先做.]
或是 可以 在 [執行][英文版 是 (run)] 輸入 regedit [按下「Enter」 鍵] 將
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
之字串 輸出 貼上
"IMJPMIG8.1"="C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
此三行是 Xp 預定
"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\SYMANT~2\\VPTray.exe"
這是 symantec 的
其實您可以把字串之數值 "ccApp.exe"
比方 "ccApp.exe" 是 symantec 的 防毒程式;
"ShStatEXE"="\"C:\\Program Files\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Program Files\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
macfee 防毒
"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
ZoneAlarm 防火牆軟體的程式;
runoence 是指執行一次 下次會看不到 ;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
跑服務 一併檢查
不熟悉在 regedit 尋找位置 就使用搜索 在搜出 輸入三個字 RUN 既可
移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.
當然不只是這裡 需要檢查
木馬可能藏匿之註冊表清單
1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup
6.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup
7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
11.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
12.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
13.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
14.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon
15. HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders
16. HKEY_CLASSES_ROOT\txtfile\shell\open\command
17. HKEY_CLASSES_ROOT\Briefcase\shell\open\command
18. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
19. HKEY_CLASSES_ROOT\exefile\shell\open\command
20. HKEY_CLASSES_ROOT\???file \shell\open\command (???)表示可能為任何副檔名之名稱
RegEditX 「加強版」登錄檔編輯程式
http://www.dcsoft.com/
下載檔案程式
http://www.dcsoft.com/ftp/REGX2.EXE
【非資訊人員不建議使用!】
能夠單獨執行的程式(.exe)
但現在的木馬通常是以dll或是hook的形式存在,不容易發覺
而跟dll或是hook啟動相關的機碼如下
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
以上內容及方法不知道,是否有幫助到您的問題,希望有幫助到~~~
