微软公司Windows操作系统想必大家都比较熟悉了 我们每天使用的基本上都是windows系列的产品 从windows 到 从windows XP到 我们这些网络管理员天天要和操作系统打交道 不管是计算机运行缓慢还是经常非法死机 遇到这类问题时首先要查询的就是系统启动项 所以笔者通过本篇文章为各位IT 的读者介绍如何彻底揪出系统启动的蛀虫
一 windows 系统揪出蛀虫
Windows 系统虽然已经推出年份很久 使用的频率也越来越低 不过对于一些有培训机房的公司来说windows 系统还是占有一席之地的 很多硬件配置不高的计算机都可以流畅的使用windows
我们通过msconfig这个工具来揪出系统启动的蛀虫
第一步 启动windows 进入桌面 通过任务栏的 开始 >运行
第二步 在 运行 中输入msconfig 通过这个启动项配置工具来查看当前计算机都有哪些程序随系统的启动而启动
第三步 在 启动 标签中我们通过将启动项前的勾去掉来实现取消该程序随系统启动而启动
另外windows 中有些程序是通过注册表来加载的 不过msconfig启动配置工具会自动读取标准的RUN键值 所以不需要我们进入注册表中进行查看了
二 windows 系统揪出蛀虫
windows 是目前在公司使用最多的操作系统了 主要分professional和server两个版本 professional主要用于个人用户而server版用于服务器 不过这两个版本在揪出系统启动的蛀虫方面步骤基本类似 我们一并介绍
方法一 注册表法
在windows 系统中没有为我们提供类似windows 那样的启动项配置工具 我们只能通过注册表来查看有哪些程序随系统启动而启动
第一步 进入windows 桌面 通过 开始 >运行 输入regedit进入注册表编辑器 (如图 )
educity cn/img_ / / / jpg >
图 点击看大图
第二步 在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值 在右边就可以看到当前有哪些程序随系统的启动而启动了 我们可以通过DEL键删除这些程序 (如图 )
educity cn/img_ / / / jpg >
图 点击看大图
第三步 继续在在注册表编辑器中定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值 在右边就可以看到当前有哪些程序随系统的启动而启动了 我们可以通过DEL键删除这些程序 (如图 )
educity cn/img_ / / / jpg >
图 点击看大图
方法二 复制MSCONFIG法
虽然在windows 中没有启动项配置工具msconfig 不过我们可以通过复制msconfig exe文件将这个启动项配置工具从 系统迁移到 系统中 方法是在 的Windows目录中的system目录 找到msconfig exe程序 将其复制到 系统中的Winnt目录下的system 目录和system目录 这样我们就可以在 系统中通过 开始 >运行 >输入msconfig 来运行启动项配置工具了
小提示 当然我们直接把msconfig exe文件复制到 系统桌面 当要查看启动项程序时直接运行该可执行程序也是可以的 效果是一样的
通过上面介绍的复制 中msconfig exe文件方法可以实现查看哪些程序随系统启动而启动的功能 不过由于 系统文件格式和 不同 所以直接运行 系统中的msconfig exe程序时会出现系统找不到config及autoexec等文件 我们不用理会直接跳过即可
方法三 新版msconfig法
网上的热心网络管理员为我们制作了绿色版和升级版的msconfig文件 我们可以直接使用该文件(中文 英文)来查看系统启动项 启动时和 系统 XP系统一样 不会出现找不到任何文件的报错信息 (如图 )该文件随附件(中文 英文)送上
educity cn/img_ / / / jpg >
图 点击看大图
三 Windows XP系统揪出蛀虫
在windows XP中我们可以使用注册表法和msconfig启动项配置工具两种方法查看随系统启动的程序 由于步骤和方法与下面介绍的windows 类似 所以这里就不详细介绍了 不过值得一提的是在最新的Windows XP安装SP 补丁后 月初的一个补丁更新对msconfig这个启动项配置工具进行了改进 我们通过 开始 >运行 >输入msconfig 后看到的启动项配置工具发生了一些变化 多出了一个叫做工具的标签 在工具标签中我们可以快速启动很多系统常用小工具 包括internet属性设置 事件查看器 命令提示符 windows属性 注册表编辑器等十几项 点下方的启动按钮就可以快速启动相应的工具了 为我们日常工作提供了极大的方便 (如图 )
educity cn/img_ / / / jpg >
图 点击看大图
四 Windows 系统揪出蛀虫
windows 系统主要用在服务器 和 与XP系统一样我们可以通过两种方法来查看系统启动程序
方法一 msconfig法
在windows 中我们可以msconfig这个工具来揪出系统启动的蛀虫
第一步 启动windows 进入桌面 通过任务栏的 开始 >运行
第二步 在 运行 中输入msconfig 通过这个启动项配置工具来查看当前计算机都有哪些程序随系统的启动而启动
第三步 在 启动 标签中我们通过将启动项前的勾去掉来实现取消该程序随系统启动而启动 (如图 )
educity cn/img_ / / / jpg >
图 点击看大图
方法二 注册表法
在windows 系统中我们还可以通过注册表来查看有哪些程序随系统启动而启动
第一步 进入windows 桌面 通过 开始 >运行 输入regedit进入注册表编辑器
第二步 在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值 在右边就可以看到当前有哪些程序随系统的启动而启动了 我们可以通过DEL键删除这些程序
第三步 继续在在注册表编辑器中定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值 在右边就可以看到当前有哪些程序随系统的启动而启动了 我们可以通过DEL键删除这些程序
对比上面介绍的两种方法还是msconfig法更加简单 网络管理员上手更加容易
五 服务也能藏蛀虫
一般来说通过上面介绍的注册表和msconfig可以查看到决大多数随系统启动而启动的程序名称 然而病毒和木马以及间谍软件也是不断发展的 目前很多程序都具备了将自身注册为服务的功能 也就是说这些程序以服务的形式进行加载 从而实现随系统启动而启动的目的
如何有效的防范这类蛀虫呢?需要网络管理员具备一定的经验 至少要对没有感染病毒和木马以及间谍软件的系统中默认开启的服务要熟悉 不能说精通也要混个脸熟 这样当服务中出现其他面孔时可以在第一时间怀疑并关闭该程序
如何查看陌生服务呢?我们有两种方法 一种是注册表法 一种是服务组件法
方法一 注册表法
系统的关键信息都是保存在注册表中的 服务的状态也不例外 我们可以在注册表中找到每个服务对应的启动方式和当前状态 既然如此我们就可以使用注册表文件实现对服务状态的控制了 并且可以在注册表中将我们不熟悉的怀疑的服务删除
第一步 通过任务栏的 开始 >运行 输入regedit进入注册表编辑器
第二步 找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 在该键值下的都是服务 例如有一个RemoteRegistry项 这个就是远程注册表服务对应的键值 当然对于其他服务来说也分别对应不同的项
第三步 在该键值右边窗口中显示的各个项就是对应的服务状态 其中description是对该服务的描述 desplayname是服务显示的名称 failureactions是服务启动失败采取的操作 start是启动类型
小提示 start中启动类型是 代表禁用 代表自动启动 代表手动启动
第四步 通过上面的键值我们就可以查看当前系统有哪些服务了 遇到陌生的我们可以坚决的将其删除 从而杜绝木马和病毒这些蛀虫隐藏在本机
小提示 为了更好的管理服务我们还可以在没有安装什么组件 干干净净的系统下将设置好服务类型的注册表导出 这样在今后快速切换服务状态时就可以通过运行注册表程序来实现
资深网管教你彻底揪出系统启动蛀虫
