木馬病毒，提起來都讓人害怕，因?yàn)樗麄兊钠茐男院艽螅芨`取你的數(shù)據(jù)如密碼，銀行帳號(hào)，游戲帳號(hào)，破壞你的硬盤，等等。舊的木馬殺毒軟件可以殺了，但是如果你的電腦中一種新型的木馬病毒你能怎么辦？特別是一些未知類型的木馬病毒，使用一般的殺毒軟件或防木馬軟件是很難將其根除的，這時(shí)候我們就需要手動(dòng)來清除這些病毒文件了。

現(xiàn)在就要我們來認(rèn)識(shí)一下這些木馬病毒的啟動(dòng)方式：

其實(shí)我們只要能破壞這些病毒的啟動(dòng)條件，就可以達(dá)到清除病毒的目的，為此，就本人在這方面的一些經(jīng)驗(yàn)提供給大家，以供參考。

病毒的啟動(dòng)主要分為3類，分別是：一、隨windows系統(tǒng)啟動(dòng)，二、映像劫持啟動(dòng)，三、捆綁和嵌入正常程序中啟動(dòng)。下面我們主要就第一和第二點(diǎn)進(jìn)行詳細(xì)介紹。

第一部分：Windows自啟動(dòng)程序

一、經(jīng)典的啟動(dòng)——“啟動(dòng)”文件夾

單擊“開始→程序”，你會(huì)發(fā)現(xiàn)一個(gè)“啟動(dòng)”菜單，這就是最經(jīng)典的Windows啟動(dòng)位置，右擊“啟動(dòng)”菜單選擇“打開”即可將其打開，如所示，其中的程序和快捷方式都會(huì)在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。最常見的啟動(dòng)位置如下：

當(dāng)前用戶：

所有用戶：

二、有名的啟動(dòng)——注冊(cè)表啟動(dòng)項(xiàng)

注冊(cè)表是啟動(dòng)程序藏身之處最多的地方，主要有以下幾項(xiàng)：

1.Run鍵

Run鍵是病毒最青睞的自啟動(dòng)之所，該鍵位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]

和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run]，其下的所有程序在每次啟動(dòng)登錄時(shí)都會(huì)按順序自動(dòng)執(zhí)行。

還有一個(gè)不被注意的Run鍵，位于注冊(cè)表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run]，也要仔細(xì)查看。

2.RunOnce鍵
 
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\ RunOnce]

[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]鍵，與Run不同的是，RunOnce下的程序僅會(huì)被自動(dòng)執(zhí)行一次。

3.RunServicesOnce鍵

RunServicesOnce鍵位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\Current Version\RunServicesOnce]

和[HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\Current Version\RunServicesOnce]下，其中的程序會(huì)在系統(tǒng)加載時(shí)自動(dòng)啟動(dòng)執(zhí)行一次。

4.RunServices鍵

RunServices繼RunServicesOnce之后啟動(dòng)的程序，位于注冊(cè)表[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]

和[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]鍵。

5.RunOnceEx鍵

該鍵是Windows XP/2003特有的自啟動(dòng)注冊(cè)表項(xiàng)，位于[HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。

6.load鍵

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load鍵值的程序也可以自啟動(dòng)。

7.Winlogon鍵

該鍵位于位于注冊(cè)表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]

和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，注意下面的Notify、Userinit、Shell鍵值也會(huì)有自啟動(dòng)的程序，而且其鍵值可以用逗號(hào)分隔，從而實(shí)現(xiàn)登錄的時(shí)候啟動(dòng)多個(gè)程序。

8.其他注冊(cè)表位置

還有一些其他鍵值，經(jīng)常會(huì)有一些程序在這里自動(dòng)運(yùn)行，如：

[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]

小提示：注冊(cè)表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]鍵的區(qū)別：前者對(duì)所有用戶有效，后者只對(duì)當(dāng)前用戶有效。

三、古老的啟動(dòng)——自動(dòng)批處理文件

從DOS時(shí)代過來的朋友肯定知道autoexec.bat（位于系統(tǒng)盤根目錄）這個(gè)自動(dòng)批處理文件，它會(huì)在電腦啟動(dòng)時(shí)自動(dòng)運(yùn)行，早期許多病毒就看中了它，使用deltree、format等危險(xiǎn)命令來破壞硬盤數(shù)據(jù)。如“C盤殺手”就是用一句“deltree /y c:\*.*”命令，讓電腦一啟動(dòng)就自動(dòng)刪除C盤所有文件，害人無數(shù)。

小提示：

*在Windows 98中，Autoexec.bat還有一個(gè)哥們——Winstart.bat文件，winstart.bat位于Windows文件夾，也會(huì)在啟動(dòng)時(shí)自動(dòng)執(zhí)行。

*在Windows Me/2000/XP中，上述兩個(gè)批處理文件默認(rèn)都不會(huì)被執(zhí)行。

四、常用的啟動(dòng)——系統(tǒng)配置文件

在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也會(huì)加載一些自動(dòng)運(yùn)行的程序。

1.Win.ini文件

使用“記事本”打開Win.ini文件，在[windows]段下的“Run=”和“LOAD=”語句后面就可以直接加可執(zhí)行程序，只要程序名稱及路徑寫在“＝”后面即可。

小提示：

“l(fā)oad=”后面的程序在自啟動(dòng)后最小化運(yùn)行，而“run=”后程序則會(huì)正常運(yùn)行。

2.System.ini文件

使用“記事本”打開System.ini文件，找到[boot]段下“shell=”語句，該語句默認(rèn)為“shell=Explorer.exe”，啟動(dòng)的時(shí)候運(yùn)行Windows外殼程序explorer.exe。病毒可不客氣，如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”，如果你強(qiáng)行刪除“妖之吻”病毒程序yzw.exe，Windows就會(huì)提示報(bào)錯(cuò)，讓你重裝Windows，嚇人不？也有客氣一點(diǎn)的病毒，如將該句變成 “shell=Explorer.exe 其他程序名”，看到這樣的情況，后面的其他程序名一定是病毒程序如所示。

3.wininit.ini

wininit.ini文件是很容易被許多電腦用戶忽視的系統(tǒng)配置文件，因?yàn)樵撐募赪indows啟動(dòng)時(shí)自動(dòng)執(zhí)后會(huì)被自動(dòng)刪除，這就是說該文件中的命令只會(huì)自動(dòng)執(zhí)行一次。該配置文件主要由軟件的安裝程序生成，對(duì)那些在Windows圖形界面啟動(dòng)后就不能進(jìn)行刪除、更新和重命名的文件進(jìn)行操作。若其被病毒寫上危險(xiǎn)命令，那么后果與“C盤殺手”無異。

小提示：

*如果不知道它們存放的位置，按F3鍵打開“搜索”對(duì)話框進(jìn)行搜索；

*單擊“開始→運(yùn)行”，輸入sysedit回車，打開“系統(tǒng)配置編輯程序”，在這里也可以方便的對(duì)上述文件進(jìn)行查看與修改。