微軟公司Windows操作系統想必大家都比較熟悉了,我們每天使用的基本上都是Windows系列的產品,從Windows98到2000,從Windows XP到2003。我們這些網絡管理員天天要和操作系統打交道,不管是計算機運行緩慢還是經常非法死機,遇到這類問題時首先要查詢的就是系統啟動項。所以筆者通過本篇文章為各位讀者介紹如何徹底揪出系統啟動的蛀蟲。
一、Windows98系統揪出蛀蟲: Windows98系統雖然已經推出年份很久,使用的頻率也越來越低。不過對於一些有培訓機房的公司來說Windows98系統還是占有一席之地的。很多硬件配置不高的計算機都可以流暢的使用Windows98。
我們通過Msconfig這個工具來揪出系統啟動的蛀蟲。
第一步:啟動Windows98進入桌面,通過任務欄的"開始->運行"。
第二步:在“運行”中輸入Msconfig,通過這個啟動項配置工具來查看當前計算機都有哪些程序隨系統的啟動而啟動。
第三步:在“啟動”標簽中我們通過將啟動項前的勾去掉來實現取消該程序隨系統啟動而啟動。
另外Windows98中有些程序是通過注冊表來加載的,不過Msconfig啟動配置工具會自動讀取標准的RUN鍵值,所以不需要我們進入注冊表中進行查看了。
二、Windows2000系統揪出蛀蟲: Windows2000是目霸诠臼褂米疃嗟牟僮飨低沉耍饕謕rofessional和server兩個版本。professional主要用於個人用戶而server版用於服務器。不過這兩個版本在揪出系統啟動的蛀蟲方面步驟基本類似,我們一並介紹。
方法一:注冊表法 在Windows2000系統中沒有為我們提供類似Windows98那樣的啟動項配置工具,我們只能通過注冊表來查看有哪些程序隨系統啟動而啟動。
第一步:進入Windows2000桌面,通過“開始->運行”輸入regedit進入注冊表編輯器。(如圖1)
第二步:在注冊表編輯器中定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun鍵值,在右邊就可以看到當前有哪些程序隨系統的啟動而啟動了,我們可以通過DEL鍵刪除這些程序。(如圖2)
圖2
第三步:繼續在在注冊表編輯器中定位到HKEY_LOCAL_MacHINESOFTWAREMicrosoftWindowsCurrentVersionRun鍵值,在右邊就可以看到當前有哪些程序隨系統的啟動而啟動了,我們可以通過DEL鍵刪除這些程序。(如圖3)
圖3
方法二:復制Msconfig法:
雖然在Windows2000中沒有啟動項配置工具Msconfig,不過我們可以通過復制Msconfig.exe文件將這個啟動項配置工具從98系統遷移到2000系統中。方法是在98的Windows目錄中的system目錄,找到Msconfig.exe程序,將其復制到2000系統中的Winnt目錄下的system32目錄和system目錄。這樣我們就可以在2000系統中通過“開始->運行->輸入Msconfig”來運行啟動項配置工具了。
小提示:當然我們直接把Msconfig.exe文件復制到2000系統桌面,當要查看啟動項程序時直接運行該可執行程序也是可以的,效果是一樣的。
通過上面介紹的復制98中Msconfig.exe文件方法可以實現查看哪些程序隨系統啟動而啟動的功能,不過由於98系統文件格式和2000不同,所以直接運行98系統中的Msconfig.exe程序時會出現系統找不到config及autoexec等文件,我們不用理會直接跳過即可。
方法三:新版Msconfig法: 網上的熱心網絡管理員為我們制作了綠色版和升級版的Msconfig文件,我們可以直接使用該文件來查看系統啟動項,啟動時和98系統,XP系統一樣,不會出現找不到任何文件的報錯信息。(如圖4)
圖4
三、Windows XP系統揪出蛀蟲:
在Windows XP中我們可以使用注冊表法和Msconfig啟動項配置工具兩種方法查看隨系統啟動的程序,由於步驟和方法與下面介紹的Windows 2003類似,所以這裡就不詳細介紹了。不過值得一提的是在最新的Windows XP安裝SP2補丁後,10月初的一個補丁更新對Msconfig這個啟動項配置工具進行了改進,我們通過“開始->運行->輸入Msconfig”後看到的啟動項配置工具發生了一些變化,多出了一個叫做工具的標簽,在工具標簽中我們可以快速啟動很多系統常用小工具,包括internet屬性設置,事件查看器,命令提示符,Windows屬性,注冊表編輯器等十幾項,點下方的啟動按鈕就可以快速啟動相應的工具了,為我們日常工作提供了極大的方便。(如圖5)
圖5 點擊看大圖
四、Windows 2003系統揪出蛀蟲:
Windows2003系統主要用在服務器,和98與XP系統一樣我們可以通過兩種方法來查看系統啟動程序。
方法一:Msconfig法
在Windows2003中我們可以Msconfig這個工具來揪出系統啟動的蛀蟲。
第一步:啟動Windows2003進入桌面,通過任務欄的"開始->運行"。
第二步:在“運行”中輸入Msconfig,通過這個啟動項配置工具來查看當前計算機都有哪些程序隨系統的啟動而啟動。
第三步:在“啟動”標簽中我們通過將啟動項前的勾去掉來實現取消該程序隨系統啟動而啟動。(如圖6)
圖6 點擊看大圖
方法二:注冊表法
在Windows2003系統中我們還可以通過注冊表來查看有哪些程序隨系統啟動而啟動。
第一步:進入Windows2003桌面,通過“開始->運行”輸入regedit進入注冊表編輯器。
第二步:在注冊表編輯器中定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun鍵值,在右邊就可以看到當前有哪些程序隨系統的啟動而啟動了,我們可以通過DEL鍵刪除這些程序。
第三步:繼續在在注冊表編輯器中定位到HKEY_LOCAL_MacHINESOFTWAREMicrosoftWindowsCurrentVersionRun鍵值,在右邊就可以看到當前有哪些程序隨系統的啟動而啟動了,我們可以通過DEL鍵刪除這些程序。
對比上面介紹的兩種方法還是Msconfig法更加簡單,網絡管理員上手更加容易。
五、服務也能藏蛀蟲: 一般來說通過上面介紹的注冊表和Msconfig可以查看到決大多數隨系統啟動而啟動的程序名稱,然而病毒和木馬以及間諜軟件也是不斷發展的,目前很多程序都具備了將自身注冊為服務的功能,也就是說這些程序以服務的形式進行加載,從而實現隨系統啟動而啟動的目的。
如何有效的防范這類蛀蟲呢?需要網絡管理員具備一定的經驗,至少要對沒有感染病毒和木馬以及間諜軟件的系統中默認開啟的服務要熟悉,不能說精通也要混個臉熟。這樣當服務中出現其他面孔時可以在第一時間懷疑並關閉該程序。
如何查看陌生服務呢?我們有兩種方法,一種是注冊表法,一種是服務組件法。
方法一:注冊表法 系統的關鍵信息都是保存在注冊表中的,服務的狀態也不例外。我們可以在注冊表中找到每個服務對應的啟動方式和當前狀態。既然如此我們就可以使用注冊表文件實現對服務狀態的控制了。並且可以在注冊表中將我們不熟悉的懷疑的服務刪除。
第一步:通過任務欄的“開始->運行”,輸入regedit進入注冊表編輯器。
第二步:找到注冊表中HKEY_LOCAL_MacHINESYSTEMCurrentControlSetServices,在該鍵值下的都是服務,例如有一個RemoteRegistry項,這個就是遠程注冊表服務對應的鍵值。當然對於其他服務來說也分別對應不同的項。
第三步:在該鍵值右邊窗口中顯示的各個項就是對應的服務狀態,其中description是對該服務的描述,desplayname是服務顯示的名稱,failureactions是服務啟動失敗采取的操作,start是啟動類型。
小提示:start中啟動類型是4代表禁用,2代表自動啟動,3代表手動啟動。
第四步:通過上面的鍵值我們就可以查看當前系統有哪些服務了,遇到陌生的我們可以堅決的將其刪除,從而杜絕木馬和病毒這些蛀蟲隱藏在本機。
小提示:為了更好的管理服務我們還可以在沒有安裝什麼組件,干干淨淨的系統下將設置好服務類型的注冊表導出,這樣在今後快速切換服務狀態時就可以通過運行注冊表程序來實現了。從而實現快速恢復系統默認服務狀態的目的了。
方法二:服務組件法 服務組件法操作起來比較簡單,圖形化的界面更容易得到我們的接收,容易上手。
第一步:通過打開任務欄的“開始->控制面板->管理工具”。
第二步:雙擊“服務”圖標打開服務設置窗口。
第三步:在這個服務設置窗口中我們可以查看隨本機啟動的有哪些服務,以及啟動類型等信息。遇到我們不熟悉的服務名稱完全可以將其設置為“禁用”。
小提示:還有兩種方法快速進入服務設置窗口,一個是打開任務欄的“開始->運行”。然後在運行文本框中輸入services.msc直接打開服務設置窗口