全面揪出Windows系統中的自啓動程序

一、經典的啓動——“啓動”文件夾

    單擊“開始→程序”，你會發現一個“啓動”菜單，這就是最經典的Windows啓動位置，右擊“啓動”菜單選擇“打開”即可將其打開，其中的程序和快捷方式都會在系統啓動時自動運行。

    二、有名的啓動——註冊表啓動項

    註冊表是啓動程序藏身之處最多的地方，主要有以下幾項：

    1.Run鍵

    Run鍵是病毒最青睞的自啓動之所，該鍵位置是[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，其下的所有程序在每次啓動登錄時都會按順序自動執行。

    還有一個不被注意的Run鍵，位於註冊表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]，也要仔細查看。

    2.RunOnce鍵

    RunOnce位於[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]鍵，與Run不同的是，RunOnce下的程序僅會被自動執行一次。

    3.RunServicesOnce鍵

    RunServicesOnce鍵位於[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下，其中的程序會在系統加載時自動啓動執行一次。

    4.RunServices鍵

    RunServices繼RunServicesOnce之後啓動的程序，位於註冊表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]鍵。

    5.RunOnceEx鍵

    該鍵是Windows XP/2003特有的自啓動註冊表項，位於[HKEY_CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx].

    6.load鍵

    [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load鍵值的程序也可以自啓動。

    7.Winlogon鍵

    該鍵位於位於註冊表[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，注意下面的Notify、Userinit、Shell鍵值也會有自啓動的程序，而且其鍵值可以用逗號分隔，從而實現登錄的時候啓動多個程序。

    8.其他註冊表位置

    還有一些其他鍵值，經常會有一些程序在這裏自動運行，如：

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad][HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts][HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]

    小提示：

    註冊表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]鍵的區別：前者對所有用戶有效，後者只對當前用戶有效。

    三、古老的啓動——自動批處理文件

    從DOS時代過來的朋友肯定知道autoexec.bat（位於系統盤根目錄）這個自動批處理文件，它會在電腦啓動時自動運行，早期許多病毒就看中了它，使用deltree、format等危險命令來破壞硬盤數據。如“C盤殺手”就是用一句“deltree /y c：\*.*”命令，讓電腦一啓動就自動刪除C盤所有文件，害人無數。

    小提示

    ★在Windows 98中，Autoexec.bat還有一個哥們——Winstart.bat文件，winstart.bat位於Windows文件夾，也會在啓動時自動執行。

    ★在Windows Me/2000/XP中，上述兩個批處理文件默認都不會被執行。

    四、常用的啓動——系統配置文件

    在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也會加載一些自動運行的程序。

    1.Win.ini文件

    使用“記事本”打開Win.ini文件，在[windows]段下的“Run=”和“LOAD=”語句後面就可以直接加可執行程序，只要程序名稱及路徑寫在“＝”後面即可。

    小提示

    “load=”後面的程序在自啓動後最小化運行，而“run=”後程序則會正常運行。

    2.System.ini文件

    使用“記事本”打開System.ini文件，找到[boot]段下“shell=”語句，該語句默認爲“shell=Explorer.exe”，啓動的時候運行Windows外殼程序explorer.exe.病毒可不客氣，如“妖之吻”病毒乾脆把它改成“shell=c：\yzw.exe”，如果你強行刪除“妖之吻”病毒程序yzw.exe，Windows就會提示報錯，讓你重裝Windows，嚇人不？也有客氣一點的病毒，如將該句變成“shell=Explorer.exe 其他程序名”，看到這樣的情況，後面的其他程序名一定是病毒程序如圖2所示。

    3.wininit.ini

    wininit.ini文件是很容易被許多電腦用戶忽視的系統配置文件，因爲該文件在Windows啓動時自動執後會被自動刪除，這就是說該文件中的命令只會自動執行一次。該配置文件主要由軟件的安裝程序生成，對那些在Windows圖形界面啓動後就不能進行刪除、更新和重命名的文件進行操作。若其被病毒寫上危險命令，那麼後果與“C盤殺手”無異。

    小提示

    ★如果不知道它們存放的位置，按F3鍵打開“搜索”對話框進行搜索；

    ★單擊“開始→運行”，輸入sysedit回車，打開“系統配置編輯程序”，在這裏也可以方便的對上述文件進行查看與修改。

    五、智能的啓動——開/關機/登錄/註銷腳本

    在Windows 2000/XP中，單擊“開始→運行”，輸入gpedit.msc回車可以打開“組策略編輯器”，在左側窗格展開“本地計算機策略→用戶配置→管理模板→系統→登錄”，然後在右窗格中雙擊“在用戶登錄時運行這些程序”，單擊“顯示”按鈕，在“登錄時運行的項目”下就顯示了自啓動的程序。

    六、定時的啓動——任務計劃

    在默認情況下，“任務計劃”程序隨Windows一起啓動並在後臺運行。如果把某個程序添加到計劃任務文件夾，並將計劃任務設置爲“系統啓動時”或“登錄時”，這樣也可以實現程序自啓動。通過“計劃任務”加載的程序一般會在任務欄系統托盤區裏有它們的圖標。大家也可以雙擊“控制面板”中的“計劃任務”圖標查看其中的項目。