如果系統啟動時自動加載的程序過多,會造成啟動速度緩慢,而很多病毒或者木馬也是在系統啟動時自動加載的。所以了解怎樣在Windows中查找自啟動程序是非常重要的。
一、在“啟動”文件夾中尋找
“啟動”文件夾一般位於“系統盤符/Documents and Settings/用戶名/開始菜單/程序/啟動/”目錄(Win 2000/XP)或“系統盤符/WINDOWS/Start Menu/Programs/啟動/”目錄。通過快捷方式的屬性可以查出程序所在的位置。
二、從自動批處理文件中尋找
在Win 98中,Autoexec.bat和Winstart.bat文件中的程序在開機時自動執行;而在Win Me/2000/XP/2003中,這兩個批處理文件默認不被執行。
三、從系統配置文件中尋找
在有些系統配置文件中也可以找到自啟動程序的蹤跡,如Config.sys、Win.ini、System.ini、Wininit.ini和Msdos.sys等。
1.WIN.INI啟動:
啟動位置(file.exe為要啟動的文件名稱):
[windows]
load=file.exe
run=file.exe
注意:load=與run=的區別在於:通過load=運行文件,文件會在后台運行(最小化);而通過run=來運行,則文件是在默認狀態下被運行的。
2.SYSTEM.INI啟動:
啟動位置(file.exe為要啟動的文件名稱):
默認為:
[boot]
Shell=Explorer.exe
可啟動文件后為:
[boot]
Shell=Explorer.exe file.exe
WINSTART.BAT啟動:
這是一個系統自啟動的批處理文件,主要作用是處理一些需要復制、刪除的任務。譬如有些軟件會在安裝或卸載完之后要求重新啟動,就可以利用這個復制和刪除一些文件來達到完成任務的目的。如:
“@if exist C:WINDOWSTEMPPROC.BAT call C:WINDOWSTEMPPROC.BAT”
這里是執行PROC.BAT文件的命令;
“call filename.exe > nul”
這里是去除任何在屏幕上的輸出。
值得注意的是WinStart.BAT文件在某種意義上有和AUTOEXEC.BAT一樣的作用。如果巧妙安排完全可以達到修改系統的目的!
四、通過“系統配置實用程序”尋找
在“開始→運行”中鍵入“msconfig.exe”啟動“系統配置實用程序”,進入“啟動”選項卡,即可查看隨系統啟動的程序名稱和位置。
注意:Win 2000本身沒有Msconfig程序,可以從Win XP/2003中提取。
五、從計划任務中尋找
在“控制面板”中雙擊“任務計划”就可以查看是否有計划任務隨系統一起啟動。
六、使用“系統信息”尋找
進入“系統信息”主界面,依次展開分支“軟件環境→啟動程序”,就可以在右窗格中查看自啟動程序名稱和位置。
七、使用“組策略”尋找
在Win 2000/XP/2003中,在“開始→運行”中鍵入“gpedit.msc”,打開“組策略”,依次展開“用戶配置→管理模板→系統→登錄/注銷”,雙擊“在用戶登錄時運行這些程序”,單擊“顯示”按鈕,即可查看自啟動程序。
八、通過注冊表尋找
在注冊表中,可以從下列鍵值中查找自啟動程序的名稱和位置。
1.Userinit鍵
位於“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Userinit”。這個鍵允許指定用逗號分隔的多個程序。例如“userinit.exe,OSA.exe”(不含引號)。
2.Explorer/Run鍵
位於“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run”
和“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run”。
3.RunServicesOnce鍵
RunServicesOnce鍵用來啟動服務程序,在用戶登錄之前啟動,具體位置是:“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce”
和“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce”。
4.RunServices鍵
RunServices鍵指定的程序在RunServicesOnce指定的程序之后運行,不過仍在用戶登錄之前。具體位置是:“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices”
和“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/RunServices”。
5.Run鍵
Run是自動運行程序最常用的鍵,位置在“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run”和
“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”。
6.Load鍵
位於“HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows/load”。
另外還有RunOnce、RunOnce/Setup等鍵。
HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows/load
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Userinit
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/Setup
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
http://blog.csdn.net/kl222/article/details/1293541