木马病毒是怎么启动的

木马病毒，提起来都让人害怕，因为他们的破坏性很大，能窃取你的数据如密码，银行帐号，游戏帐号，破坏你的硬盘，等等。旧的木马杀毒软件可以杀了，但是如果你的电脑中一种新型的木马病毒你能怎么办？特别是一些未知类型的木马病毒，使用一般的杀毒软件或防木马软件是很难将其根除的，这时候我们就需要手动来清除这些病毒文件了。

现在就要我们来认识一下这些木马病毒的启动方式：

零度电脑知识网www.needc.com电脑知识学习网站。电脑知识学习QQ群：81158926 欢迎电脑爱好者加入。

其实我们只要能破坏这些病毒的启动条件，就可以达到清除病毒的目的，为此，就本人在这方面的一些经验提供给大家，以供参考。

病毒的启动主要分为3类，分别是：一、随windows系统启动，二、映像劫持启动，三、捆绑和嵌入正常程序中启动。下面我们主要就第一和第二点进行详细介绍。
       
第一部分：Windows自启动程序
       
一、经典的启动——“启动”文件夹
       
单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，如所示，其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下：
       
当前用户：
       
所有用户：
       
二、有名的启动——注册表启动项
       
注册表是启动程序藏身之处最多的地方，主要有以下几项：
       
1.Run键
       
Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]
       
和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。
       
还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
       
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run]，也要仔细查看。
       
2.RunOnce键
       
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\ RunOnce]
       
[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]键，与Run不同的是，RunOnce下的程序仅会被自动执行一次。
       
3.RunServicesOnce键
       
RunServicesOnce键位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\Current Version\RunServicesOnce]
       
和[HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\Current Version\RunServicesOnce]下，其中的程序会在系统加载时自动启动执行一次。
       
4.RunServices键
       
RunServices继RunServicesOnce之后启动的程序，位于注册表[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]
       
和[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]键。
       
5.RunOnceEx键
      
该键是Windows XP/2003特有的自启动注册表项，位于[HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
       
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
       
6.load键
      
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。
       
7.Winlogon键
       
该键位于位于注册表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]
       
和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，注意下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。
       
8.其他注册表位置
       
还有一些其他键值，经常会有一些程序在这里自动运行，如：
       
[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
       
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
       
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
       
小提示：
      &