1、步骤一:在win7系统运行其中的“HA_Autoruns9.57_LRH.exew文件完成程序的安装后,双击桌面上的“Autoruns”即可出现程序窗口并会自动定位到“全部启动项”选项卡界面。如图1所示:
2、步骤二:在这个列表中,罗列出了其他所有选项卡中的项目。也就是说,如果想一次性査看所有的启动项目,那么切換到“全部启动项”即可。如果希望查看某一方面的启动项目,那么,单击切換到相应的选项卡界面即可。比方说,现在想看看用户登录过程中都加载了哪些启动项目,那么单击切換到“登录”选项卡界面后,即可看到相应的列表。如图2所示:
3、步骤三:由于这个文件的名称中含有win的宇样,所以很可能与Windows有关,为了避免误删除橾作的出现。现在,我们需要从“c:windowssystem32”目录中,将“wincmd.exe”文件复制到另一个分区中,准备使用杀毒软件进行初步分析,令人高兴地是,卡巴斯基禁止复制此文件并给出了如图所示的提示框。如图3所示:
4、步骤四:从提示框中可以看出,这是一个木马程序,其病毒特征为“Backdoor.Win32.Wollf.aa”。在谷歌搜索引擎中将特征名称为关键宇进行搜索,获得了如图所示的由瑞星公司给出的结果。如图4所示:
5、步骤五:win7在弹出的“注册表编辑器”窗口中,可以看到已经自动定位到“[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]"分支的shell值,其右侧的“数据”列显示结果为“Explorer.exe%WINDIR%System32wincmd.exeM。如图5所示:
6、步骤六:很明显,这是一个木马在人侵并企图与Explorer.exe捆绑发作。现在,我们有多种选择,常见有两种,一是在AutoRuns窗口中清空“%WINDIR%System32\vincmd.exe”项,这样AutoRuns就会自动在注册表中创建“HKEY一LOCAL一MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonAutorunsDisabled''项,并在其下自动创建“Shell”值,其数据结果为“%WINDIR%System32wincmrl.exeM,这样wincmd.exe文件即使没有删除也不会被运行了。如图6所示:
7、步骤七:二是右键单击“%WINDIR%System32wincmd.exeM项并在弹出的菜单中选择“删除”,在弹出的剧安颌儿如图所示提示框中单击“是”按钮,即可将注册表的“[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]”分支的shell值恢复原状,即删除“Explorer.exe%WINDIR%System32wincmd.exe”这个数据结果的wincmd.exe部分。如果希望快速检查第三方程序创建的启动项,可以在“选项”菜单中通过勾选“隐藏微软和系统进程”、“隐藏进程标记”两个菜单来实现。如图7所示:
