1、步骤一:在win7系统运行其中的“HA_Autoruns9.57_LRH.exew文件完成程序的安装后,双击桌面上的“Autoruns”即可出现程序窗口并会自动定位到“全部启动项”选项卡界面。如图1所示:
3、步骤三:由于这个文件的名称中含有win的宇样,所以很可能与Windows有关,为了避免误删除橾作的出现。现在,我们需要从“c:windowssystem32”目录中,将“wincmd.exe”文件复制到另一个分区中,准备使用杀毒软件进行初步分析,令人高兴地是,卡巴斯基禁止复制此文件并给出了如图所示的提示框。如图3所示:
5、步骤五:win7在弹出的“注册表编辑器”窗口中,可以看到已经自动定位到“[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]"分支的shell值,其右侧的“数据”列显示结果为“Explorer.exe%WINDIR%System32wincmd.exeM。如图5所示:
7、步骤七:二是右键单击“%WINDIR%System32wincmd.exeM项并在弹出的菜单中选择“删除”,在弹出的剧安颌儿如图所示提示框中单击“是”按钮,即可将注册表的“[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]”分支的shell值恢复原状,即删除“Explorer.exe%WINDIR%System32wincmd.exe”这个数据结果的wincmd.exe部分。如果希望快速检查第三方程序创建的启动项,可以在“选项”菜单中通过勾选“隐藏微软和系统进程”、“隐藏进程标记”两个菜单来实现。如图7所示:
