下载文档原格式
autoruns 用法
Autoruns是一款由Sysinternals开发的免费工具,它可以帮助用户管理和监控Windows系统启动时自动运行的程序。
使用Autoruns,用户可以轻松地查看和管理系统启动项,以便更好地控制系统的启动过程。
使用Autoruns的步骤如下:
1. 下载并安装Autoruns。
可以从Sysinternals官网上下载最新版本的Autoruns,也可以从其他可靠的软件下载网站上下载。
2. 运行Autoruns。
在Windows系统中,可以通过开始菜单或运行命令打开Autoruns。
3. 查看启动项。
在Autoruns的主界面中,可以看到系统启动时自动运行的所有程序和服务。
这些启动项包括注册表项、启动文件夹、计划任务等。
4. 禁用或删除启动项。
如果用户发现某个启动项不需要自动运行,可以通过右键单击该项并选择“禁用”或“删除”来禁用或删除该项。
禁用启动项不会删除它们,只是暂时停止它们的自动运行。
5. 导出启动项列表。
用户可以将启动项列表导出为文本文件,以便后续分析和管理。
可以通过“文件”菜单中的“导出”选项来导出启动项列表。
6. 查看详细信息。
用户可以通过双击启动项来查看更详细的信息,包括文件路径、命令行参数、版本信息等。
这些信息可以帮助用户更好地了解启动项的作用和来源。
总之,Autoruns是一款非常实用的工具,可以帮助用户更好地管理和控制Windows系统的启动过程。
使用Autoruns可以避免一些不必要的程序和服务在系统启动时自动运行,从而提高系统的启动速度和稳定性。
autorun.inf另一种简单的预防方法组策略-禁用自动播放操作步骤为:点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
另一种更为简单的免疫办法建立txt文本文件,命名为闪存免疫,输入以下代码:md c:\Autorun.inf\md c:\Autorun.inf\1234...\md x:\Autorun.inf\md x:\Autorun.inf\1234...\(X代表盘符,你有几个盘就可以输入几个)保存退出,并将TXT文件转化为BAT批处理文件,双击运行,在各个盘符的根目录下会出现Autorun.inf文件夹,并且因为它们的文件夹内有不可删除文件所以该文件夹也无法删除。
这样,免疫闪存就做成了。
感觉非常棒吧在桌面上建立一个名为Autorun.inf的文件夹加上只读及隐藏属性,分别放入不同的盘符根目录中同样也可以达到以上目的[1]目录[隐藏]总说AUTORUN.INF病毒资料现状分析发现AUTORUN.INF病毒应对策略autorun.inf常见U盘病毒autorun.inf里面的内容及结构:[AutoRun.alpha]部分的命令简介总说AUTORUN.INF病毒资料现状分析发现AUTORUN.INF病毒应对策略autorun.inf常见U盘病毒autorun.inf里面的内容及结构:[AutoRun.alpha]部分的命令简介与Autorun.inf相关的知识[编辑本段]总说U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。
文件丢失引发的故障缘故及解决方式文件丢失引发的故障很多,几乎所有效过电脑的人都碰着过,文件丢失往往意味着电脑无法启动,软件无法运行下去。
常见的文件丢失故障一样是由于病毒、误操作造成。
下面是笔者搜集的几个比较常见的文件丢失故障,大伙儿能够看看其中哪些是你也有碰着过的。
问:我安装的是Windows 98/XP双系统,当利用Windows 98开机时就会在DOS下提示nwlink.vxd文件丢失,尽管按任意键能够进入,进入系统后也没什么异样,但总感觉不顺畅。
请问如何修复那个错误呢?答:其实那个问题是由于系统引导程序中的文件损坏所造成的。
第一找到Windows 98安装程序,咱们会看到很多的CAB文件包,通过它们就能够够修复这些受损文件。
单击“开始”按钮,依次选择“开始→程序→附件→系统工具→系统信息→工具→系统文件检查器”命令,在弹出的界面中点选“从安装盘提取一个文件”单项选择项,输入丢失文件名就能够够找回丢失文件了。
另外,电脑中某些硬件的驱动文件丢失也会显现类似问题,这时就应从头安装各硬件的驱动程序了。
问:我利用的是Windows XP,在打开操纵面板的时候弹出对话框提示说“Windows无法找到C?\Windows\Rundll32.exe”,请问那个该如何恢复呢?答:Rundll32.exe是系统提供的一个动态链接库,它用来挪用32位的DLL函数,显然那个问题是该文件被损坏所造成的。
咱们能够通过下面的方式来恢复它,第一把系统安装盘放入光驱,然后打开“命令提示符”,并输入“expand f:\i386\rundll32.ex_ c:\windows\rundll32.exe”,其中“F:\”是光驱盘符,依照自己的光驱进行更改即可。
问:前段时刻电脑中了爱情后门病毒,用专杀工具杀事后,在资源治理器中双击磁盘盘符就提示说:“Windows无法找到COMMAND.EXE文件”,要求定位该文件,我定位到C?\Windows\Explorer后就能够够打开了,请问如何解决那个问题?答:病毒在每一个驱动器下都有一个卷标AutoRun.inf文件,只要你双击驱动器,就会激活病毒,咱们需要手工来删除AutoRun.inf那个文件,在“命令提示符”下输入“attrib autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,如此输入“del autorun.inf”才能够删除。
自己动手绝杀同名EXE病毒作者:香草来源:《电脑爱好者》2008年第20期近期非常流行一种病毒程序,电脑中病毒后,每个文件夹下面都有个和文件夹同名的EXE病毒文件,删了之后过一会又有,我们该如何查杀呢?我来教你手动杀毒。
断其后路防止重生病毒程序运行后会在所有磁盘和移动存储设备中生成Autorun.ini文件,实现浏览启动。
单纯地将所有Autorun.ini文件删除并不能解决这类问题,我们可以将一个健康系统的驱动盘下的Autorun.ini拷贝,覆盖所有中毒主机的Autorun.ini文件。
真枪实弹手工杀毒由于生成的EXE文件其实是病毒体,而真正的文件夹本身并没有丢失,而是被隐藏起来了,所以这类病毒可以采用如下方法进行清除:第一步:将电脑设置为显示隐藏文件及扩展名,查找[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL],将“CheckedValue”的值改为1,如果这个键值没有,自己新建一个。
第二步:删除生成的与文件夹同名的EXE文件,新建一个文件夹,打开隐藏的文件夹,把里面的东西剪切到新建的文件夹中。
第三步:删除空了的隐藏文件夹,并把新建文件夹改名为删除的文件夹的名字。
第四步:按“Win+R”组合键调出运行窗口,输入CMD里检查每一个盘后用“attrib --a -h -s -r 文件名 del 文件名”来做最后清除。
最后,由于病毒并没有新建服务,所以在启动菜单里删除隐藏的启动项,在注册表项的启动项中删除一个启动键值即可。
(北京/香草)小提示这需要在不带网络环境的安全模式下,由于健康的Autorun.ini具有只读保护属性,病毒无法再次修改Autorun.ini。
小提示病毒运行后,会在Windows\SYSTEM32下释放主体,包括主程序,程序加载的文件,几个INF文件(主要用于调用Autorun.ini)。
名称:AUTORUNSPS:“AUTO”=“自动”;“RUN”=“运行”;因此,“AUTORUNS”=自启动项目组,想必大家已经明白其用途了--用于管理开机自启动项目组的一款软件。
首先看看这个软件包是什么DD:图1如图2,我这个AUTORUNS忘记从哪里下载的,貌似只要 AUTORUNS.EXE就可以了,其他DD估计你用不上!帮助文件完全英文,谁要是有兴趣自己去翻译;其它…………个人认为都是鸡肋!这里双击软件包中的AUTORUNS.EXE这个文件,就可以进入该软件主程序的窗口:图2AUTORUNS程序主界面如图3:图3工欲善其事,必先利其器。
由于软件首次使用时,默认字体是8号字,比较小,对于近视眼的同志来讲简直是折磨。
按照下图步骤,在弹出的对话框中把字体调到10号字以上吧(可惜的是菜单和标签的中文字体大小不能更改,凑活用吧):图4图5调整字体后,我们放眼睛望去,可以见到15个标签,列表下的内容全部是用类似注册表编辑器的方式显示的。
图6下面简单介绍一下各标签的含义:“全部”--顾名思义,全部的开机自启动项都在这个标签下啦。
另外,它也是双击autoruns.exe弹出窗口缺省定位的标签,包括其他标签的所有内容。
“登陆”- -细心的朋友可以发现,该标签下HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun、HKCU SoftwareMicrosoftWindowsCurrentVersionRun这两个注册表子项的内容与系统配置实用程序“启动”标签下打勾的项目是完全一样的,甚至“登陆”的图标也和系统配置实用程序MSCONFIG.EXE的图标完全相同,呵呵!当然,除了以上项目外,该标签还包括 HKLMSystemCurrentControlSetControlTerminal ServerWdsrdpwdStartupPrograms、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell这三个自启动子项的内容,这些是用系统配置实用程序“启动”标签看不到的内容。
Autorun病毒样例分析一、感染症状1、每个盘符下生成隐藏文件autorun.inf 、auto.exe2、在c:\windows\system32下生成30F3CB56.exe、A89F7741.DLL文件,其中A89F7741.DLL 为病毒下载器3、新增服务:651085B(c:\windows\system32\30F3CB56.EXE)Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为0,阻止显示隐藏文件5、下载木马病毒到c:\windows、c:\windows\system32、 IE缓存等文件夹,病毒文件修改日期较新,无公司签名。
Autorun病毒有若干变种,不同变种的autorun病毒下载的木马病毒文件也不相同;同一autorun病毒在不同时间、不同电脑感染时所下载的木马病毒也有可能不同,病毒发布者只需更换互联网上的木马病毒链接即可实现新木马病毒的快速传播,这也增加了杀毒软件全部查杀autorun病毒下载的所有木马病毒的难度。
6、新增注册表启动项:\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run二、手动清除若V3不能全部查杀时,可按以下步骤手动处理:1、重启系统按F5键进安全模式;2、更改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值为1;3、删除注册表项\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\651085B4、更改文件夹选项,显示所有文件和文件夹5、在各磁盘分区上点右键—打开,将各分区下的auto.exe、autorun.inf文件备份后删除;6、将c:\windows、c:\windows\system32文件夹中的文件按修改时间排序,在修改时间较新的文件中确认病毒文件,备份后删除;7、将IE缓存文件夹中的文件按类型排序后,将可执行文件备份后删除;8、删除注册表中病毒相关的启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;9、重新启动系统,确认各分区下未再次生成autorun.inf、auto.exe;10、将备份的病毒文件加密码virus压缩成zip格式发送到suppoort@。
如何清除autorun.inf病毒电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
下面一起看看AutoRun原理和解决方法!如何清除autorun.inf。
一、 AutoRun简介:Windows95以后的系统都有一个“自动运行”的功能。
通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。
05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。
著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。
它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。
二、运行方式:A.OPEN=filename.exe自动运行。
但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。
B.shellAutocommand=filename.exeshell=Auto修改上下文菜单。
把默认项改为病毒的启动项。
但此时只要用户在图标上点击右键,马上发现破绽。
精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?C.shellexecute=filename.exeShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。
这种是对付那些用Win+R输盘符开盘的人。
D.shellopen=打开(&O)shellopenCommand=filename.EXEshellopenDefault=1shellexplore=资源管理器(&X)这种迷惑性较大,是新出现的一种形式。
备注:
应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。
图标路径名的默认目录是设备根目录。
2、Icon
含义:指定设备显示图标。
格式:
Icon=图标路径名[,序号]
参数:
图标文件名:应用程序的默认图标路径名,格式可以为.ico、.bmp、.exe、.dll。
当文件格式为.exe和.dll时,有时需要使用序号来指定图标。
序号:当文件格式为.exe和.dll时,文件可能包括多余一个图标,此时需要使用序号来指定图标,需要注意的是,序号是从0开始的。
备注:
设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。
图标路径名的默认目录是设备根目录。
当存在应用程序默认图标(DefaultIcon)时,本命令无效。
3、Label
含义:指定设备描述
格式:
Label=描述
参数:
描述:任意文字,可以包括空格。
备注:
设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述卷标来显示。
在非windows explorer核心的驱动显示窗口中(例如右击设备选择属性)显示的仍然是设备的卷标。
4、Open
含义:指定设备启用时运行之命令行。
格式:
Open=命令行
(命令行:程序路径名 [参数])
参数:
命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开或使用ShellExecute命令。
备注:
命令行的起始目录是设备根目录和系统的$Path环境变量。
5、ShellExecute
含义:
指定设备启用时执行文件。
(操作系统支持未知)
格式:
ShellExecute=执行文件路径名 [参数]
参数:
执行文件路径名:设备启用时执行文件路径名。
可以是任意格式文件。
系统会调用设置的程序执行此文件。
参数:参数,根据执行文件作调整
备注:
命令行的起始目录是设备根目录和系统的$Path环境变量。
6、Shell\关键字\Command
含义:
定义设备右键菜单执行命令行。
格式:
Shell\关键字\Command=命令行
(命令行:程序路径名 [参数])
参数:
命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开。
备注:
命令行的起始目录是设备根目录和系统的$Path环境变量。
7、Shell\关键字
含义:定义设备右键菜单文本。
格式:
Shell\关键字=文本
参数:
关键字:用以标记菜单,可以使用任何字符表示,包括空格。
文本:在右键菜单中显示的文本。
可以使用任何字符,不能存在空格。
备注:
在同一Autorun.inf文件中,不同右键菜单关键字不同,相同右键菜单关键字相同。
右键菜单文本中可以使用&设定加速键,&&输出一个&。
Shell关键字Command命令Shell关键字两者缺一不可,顺序无所谓。
当不存在Open、ShellExecute与Shell命令时,设备启用时运行第一个设备右键菜单指定命令。
8、Shell
含义:定义设备启用时运行之设备右键命令。
格式:
Shell=关键字
参数:
关键字:标记过的菜单关键字
备注:
Shell指定的关键字可以在AutoRun.inf文件的任意部分。
Open、ShellExecute、Shell命令后定义的优先级高。
9.action
这个命令用来定义程序的名字,比方说:
[autorun]
shellexecute=rundll32 ght
action=打开文件夹
那么在右键菜单显示的就是"打开文件夹",而执行的命令就是"rundll32 ght"
10.注释
与其他inf文件一样,";"之后的内容会被当做注释,不参与编译.。
