[技巧] 觀察Windows 開機時掛載的程序 Regedit註記檔操作方式

Windows 開機時執行掛載的程序 就是指消耗Windows的資源[類似生產線工單]
---------------------------------------------------------------------------------------------------------------------------------------------------------
[適合使用Windows版本 Windows nt 2k 2kserver xp 2k3server ]
[因為Win98 Me 已經較少使用 如果需要 使用 regedit 後就使用搜索 找 RUN 或是下列 字串 既可 ]
---------------------------------------------------------------------------------------------------------------------------------------------------------
◎ regedit 之使用 如果亂刪除或修改、會使使用者系統毀損！下場是重新安裝◎
---------------------------------------------------------------------------------------------------------------------------------------------------------
您如何瞭解或想提供 regedit 註記檔的 run 也就是 windows 開機時 [跑 run] 「執行」 的程式；

該如何操作呢!

[開啟登錄編輯程式.操作方式:]
1.使用滑鼠點選開始[上方]>執行,
2.在[執行]工作視窗內 輸入 REGEDIT , 然後按下 Enter .
3.在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run

方式:
1.點選[開始]上方=>[執行]
2.輸入regedit 然後 按下 [Enter]
3.尋找下列路徑
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
4.右邊視窗中 = Windows 開機時執行掛載的程序

您可以先點選全部匯出 當 備份； [備份一定要先做.]

或是 可以 在 [執行][英文版 是 (run)] 輸入 regedit [按下「Enter」 鍵] 將
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
之字串 輸出 貼上

"IMJPMIG8.1"="C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
此三行是 Xp 預定

"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\SYMANT~2\\VPTray.exe"
這是 symantec 的

其實您可以把字串之數值 "ccApp.exe"
比方 "ccApp.exe" 是 symantec 的 防毒程式;

"ShStatEXE"="\"C:\\Program Files\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Program Files\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
macfee 防毒

"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
ZoneAlarm 防火牆軟體的程式；

runoence 是指執行一次 下次會看不到 ；
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
跑服務 一併檢查

不熟悉在 regedit 尋找位置 就使用搜索 在搜出 輸入三個字 RUN 既可

移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.

當然不只是這裡 需要檢查

木馬可能藏匿之註冊表清單

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup

6.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup

7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

11.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

12.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

13.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

14.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon

15. HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders

16. HKEY_CLASSES_ROOT\txtfile\shell\open\command

17. HKEY_CLASSES_ROOT\Briefcase\shell\open\command

18. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

19. HKEY_CLASSES_ROOT\exefile\shell\open\command

20. HKEY_CLASSES_ROOT\???file \shell\open\command (???)表示可能為任何副檔名之名稱

沒有安裝 Notor AV 當然沒有、字串每家 AntiVrius [AV] soft 也不相同；
--------------------------------------------------------------------------------