发现病毒:
启动项里面多了:
查看进程,结束mouser.exe
在C:\WINDOWS\system32\把mouser.exe删除
打开注册表编辑器,展开:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,将Userinit的值C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mouser.exe改为:C:\WINDOWS\system32\userinit.exe
重启 ok!
附上一些关于系统启动的资料,这是网上找的
Quote:
所有RUN键:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
两个SETUP键值:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RUNONCE\SETUP
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunONCE\SETUP
所有RUNservicesOnce键
所有RUNservices键。
查找所有RUNONCE键.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的两个
重要键值,很隐秘:
SHELL=EXPLORER.EXE(后面可以跟上其他程序,会自启动。格式:EXPLORER.EXE *.EXE
userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗号隔开)
LOAD键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
右边的load,一般值为空的,加上其他程序可以自启动。
所有用户的启动项:开始菜单\程序\启动
这些启动项的启动顺序
runservicesonce ------runservices---用户登陆-hkey_local_machine下的runonce键--LOAD键---RUNONCE\SETUP键-两个CurrentVersion\Run键-
开始菜单启动
不一定注册表中这些键都有值,大部分是空的,在全部都有的情况下启动顺序是上面。runservicesonce ------runservices是用来注册启动系统服务的,这两个键能在用户登陆前启动,相当危险。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
两个SETUP键值:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RUNONCE\SETUP
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunONCE\SETUP
所有RUNservicesOnce键
所有RUNservices键。
查找所有RUNONCE键.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的两个
重要键值,很隐秘:
SHELL=EXPLORER.EXE(后面可以跟上其他程序,会自启动。格式:EXPLORER.EXE *.EXE
userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗号隔开)
LOAD键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
右边的load,一般值为空的,加上其他程序可以自启动。
所有用户的启动项:开始菜单\程序\启动
这些启动项的启动顺序
runservicesonce ------runservices---用户登陆-hkey_local_machine下的runonce键--LOAD键---RUNONCE\SETUP键-两个CurrentVersion\Run键-
开始菜单启动
不一定注册表中这些键都有值,大部分是空的,在全部都有的情况下启动顺序是上面。runservicesonce ------runservices是用来注册启动系统服务的,这两个键能在用户登陆前启动,相当危险。
