告别加载dll 出错开机加载项大揭秘
提到开机加载(load)项,大家不要以为就是系统启动(run)项。最简单的例子是,杀毒软件或者用户手动删除病毒文件后,注册表中的自动加载信息仍在,登陆系统时就会提示“加载*dll出错,系统找不到指定的模块”,这些dll就是病毒寄生在系统进程之下的加载项。
出错开机加载项大揭秘">
加载dll出错
病毒本身被阻止运行,却“挟系统以令用户”,辗转藏在系统进程后面继续狐假虎威,大行其道;它们被发现并删除后,下次系统登陆、启动服务、初始化用户配置、启动外壳explorer.exe时,依然会按注册表的指示运行rundll32.exe调用这些加载项,这时系统找不到文件实体,就会提示加载失败。虽然不影响使用,但那“嗡”的一声,有如晴天霹雳,让人一开机就憋得慌!点击确定后也一直如坐针毡,总感觉自己中毒了。
其实,只要在注册表中搜索这个dll删掉,一般就能就地解决。问题是,很多dll在注册表中根本搜索不到,但开机时它就是要弹框!别慌,只要去注册表中如下固定位置扫荡一遍,疏而不漏,总能找到蛛丝马迹。以下位置最前四字母均为首字母缩写,在注册表利器Registry
Workshop的地址栏中通用,可直接粘贴回车转到,并加入收藏,收藏还可分类哦~Let's Go!
(1)WinLoad
HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows\load
出错开机加载项大揭秘">
Windows_load
如图,这项原本不存在,或者默认为空。如果病毒将自己的dll添加到这里,可想而知系统启动时就会自动加载它。
(2)Notify
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
出错开机加载项大揭秘">
Winlogon_notify
这里是windows登陆“通知”,图中的项都是正常项。以前Windows
正版增值计划通知(WGA)提示Windows不是正版,就是通过wgalogon.dll在这里添加了一个项,登陆时通知调用WgaTray.exe,在托盘弹出提示的。如果病毒也在这里嵌入一个“通知”,开机时当然会有所表现并有所动作。
(3)Userinit
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
出错开机加载项大揭秘">
Winlogon_Userinit
当“欢迎使用”或“正在加载个人配置”的窗口飘过后,我们打开任务管理器,可以看到这个Userinit.exe进程逗留了很久方去,它就是用户个人配置初始化程序。其默认值是C:\WINDOWS\system32\userinit.exe,(带英文半角逗号),如果这项被修改,加载个人配置时就会难产弹错;如果被改成病毒程序,后果不堪设想。
最新文章
- .NET跨平台之旅:在Linux上将ASP.NET 5运行日志写入文件
- 【工业串口和网络软件通讯平台(SuperIO)教程】一.通讯机制
- (转)javascript中event对象详解
- CentOS系统启动过程1-10 详细叙述
- SharePoint 2013让页面显示错误
- js-shortid:优雅简洁地实现短ID
- 启动android程序和虚拟机时候出现如下错误的解决方法
- linux 复制文件时,报cp: omitting directory `XXX'
- '[linux下tomcat 配置
- css-a:visited
- 正确的安装qwtplot3D开发库
- bootstrap的导航改造
- Java面向对象之构造函数 入门实例
- 超好用的C#控制台应用模板
- 在centos安装MySql的三种安装方法
- day56 文件 文档处理,事件
- ScrollView与ListView的事件冲突
- 理解shell的eval命令
- 使用.NetCore在Linux上写TCP listen 重启后无法绑定地址
- 20165302 程上杰 Exp2 后门原理与实践