autoruns怎么用_autoruns汉化_microsoft autoruns(4)

图13

3、“文件”--“查找”--输入“USBVM31B.SYS”--回车，让AUTORUNS自动查找包括“USBVM31B.SYS”字段的自启动值项并定位;

图14

图15

如上图，发现USBVM31B.SYS这个DD有驱动保护，且驱动保护项目为ZSMC301B

图16

4、右键找到的项目条，选择“验证”，按菜单栏下的“刷新”按钮刷新一下，发现AUTORUNS提示“未通过验证”，有点怀疑;

图17

5、右键该项目条，选择“属性”，发现该映像文件创建时间是今天。因为最近没有安装新软件和硬件，感觉其有重大安全隐患。

图18

6、右键该项目条，选择“GOOGLE/MSN”，在网上查找该映像文件的相关资料：

图19

7、经过在网络上查找资料确认，认定该文件为病毒文件(为说明问题才这样说的，别当真!)，这就证明ZSMC301B这个自启动项目就是病毒的驱动保护。在该项目条上右键，选择“删除”，删除了该自启动项之后， USBVM31B.SYS这个病毒文件失去了驱动保护，也就无用武之地了，而且可以直接用“SHIFT”+“DEL”删除(如果不删除此驱动保护，你会发现在删除“USBVM31B.SYS”这个映像文件时，会出现“该文件正在运行，请关闭相关的程序后再删除”之类的提示，或者即便能删除也会很快复活。这就是病毒或流氓软件热衷于此的根本原因)。

图20

8、为了彻底不留后患，按照AUTORUNS提供的信息找到该映像文件(删除ZSMC301B这个自启动项前可以在其项目条上右键，选择“复制”，将复制内容粘贴到写字板或记事本中，以便删除映像文件时查找该文件的路径和文件名)，删除c:windowssystem32driversUSBVM31B.SYS这个文件。autoruns怎么用

图21

案例二、通过“比较”检验自己当前的自启动项是否有问题。

如果以前在机器正常时保存了AUTORUNS的日志，而当前感觉机器明显有问题，可以通过以下办法简单确认恶意软件可能添加的自启动项：

1、双击打开autoruns.exe，进入AUTORUNS窗口，依次点“文件”--“比较”;

图22

2、在弹出的对话框中选定前面保存的日志后，点“打开”;

图23

3、这时AUTORUNS将会对当前自启动项同打开日志的自启动项进行比较，对当前自启动项如果比老日志多或者少，整个列表的项目将以绿色突出显示!

图24

4、接下来，可以再保存一份新日志，与老日志比对，寻找有差异的自启动项。如果新日志比老日志启动项目多，则先确认多的启动项目是否是恶意自启动项，可以按照案例一第2到第6步的办法检测，如果确认多出的自启动项是不正常的，参照案例一第7-8步的办法清理。

我们知道HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit这个自启动项是不能删除的，否则系统无法登陆，其注册表值项值正常情况下“c: windowssystem32userinit.exe ，”(注意逗号是必须有的!)，当病毒或者恶意软件入侵后，可能造成该注册表值项值被改成“c:windowssystem32 userinit.exe ，ABC.EXE”，这个多出的ABC.EXE就是病毒(流氓软件)插入的病毒随系统登陆自启动的病毒进程。在AUTORUNS中是不允许修改自启动项值的，怎么办?别着急，AUTORUNS已经想到这点啦，按照下面的办法就可以搞定了：

1、双击打开autoruns.exe，进入AUTORUNS窗口，;

2、“选项”--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮，排除不必要的正常自启动项目;

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-53372-4.html