注册表启动项命令是什么意思_注册表启动项命令是什么

1.win10 开机启动项怎么设置

2.请电脑高手解答，此进程是干什么的？

有三个方法可民删除启动项:

最简单的是:开始菜单-程序-启动项。这里面可以全删；

二是运行“msconfig”程序，在系统“配置实用程序”对话框中，点击“启动”，在你要删的项目前面点一下，去掉那个勾。去掉勾的项目就不在启动项中了。框中的有关内容。可以全部删除。

二是注册表中的启动项，要运行“regedit”(注册表编辑器)来删除，注册表中有两处和启动有关：一是：“HKEY_CORRENT_USER\Software\Microsodft\Windows\CurrentVersion\Run”中的有关键值；二是：HKEY_LOCAL_MACHINE\Software\Microsodft\Windows\CurrentVersion\Run(和RunOnce及RunOnceEX)三个键中的有关键值。

在注册表中删除启动项，要谨慎一点儿，最好先备份。有的项删了，可能影响正常运行。

画蛇添一下足。运行上面的两个命令的方法：单击“开始”按钮，在“开始”菜单中，点击“运行”命令。然后在框中填入命令（例如：MSCONFIG或REGEDIT），再确定就OK了。

win10 开机启动项怎么设置

Windows 95开始，微软公司在Windows中引入了注册表（英文为REGISTRY）的概念（实际上原来在Windows NT中已经有此概念）。注册表是Windows95及Windows98的核心数据库，表中存放着各种参数，直接控制着Windows的启动、硬件驱动程序的装载以及一些 Windows应用程序运行的正常与否，如果该注册表由于某种原因受到了破坏，轻者使 Windows的启动过程出现异常，重者可能会导致整个 Windows系统的完全瘫痪。因此，正确地认识、使用、特别是及时备份以及有问题时恢复注册表，对 Windows用户来说就显得非常重要了。可以这么说，只要你发现了registry 的秘密，你就几乎可以完全控制Windows了！

一、WINDOWS98注册表概述

关于 Windows98注册表，我们知道 Windows3.X系统是以扩展名为.ini的配置文件来保存系统及应用程序的各种初始化配置信息的。每当 Windows3.x启动时，系统都会从两个最重要的.ini文件即从Win.ini和System.ini中读取各种初始化信息来对整个系统的软硬件环境进行配置，从而正常启动整个Windows系统。一般来说，Win.ini文件中主要包含着控制 Windows用户窗口环境的信息（如各硬件的驱动程序等），我们可以利用文本编辑器通过修改这两个文件来调整一些软硬件的配置以适应自己的需要。从 Windows95开始，原来保存在以上两个初始化文件中的有关信息，都被移到了系统的注册表中，这样注册表就成了 Windows系统关键信息的集中存放地，而原来的System.ini和Win.ini 两个初始化配置文件，则因 Windows系统还需兼容老的16位 Windows应用程序而仍然在 Windows95及 Windows98中保留着。

那么，Windows98的注册表到底是个什么东西，里面又有那些内容呢?

Registry是一个被分为6个主要分支的数据库（如图1）

图1

它的每一个分支都是一个句柄，并以六组不同的关键字值来区分,它们分别为:HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USER、HKEY_CURRENT_CONFIG、HKEY_DYN_DATA，每个分支又进一步被分解成更细的分支。事实上，REGISTRY中的许多东西对于用户和系统管理员来说用处不大，但是研究发现直接编辑HKEY_CLASSES_ROOT和HKEY_CURRENT_USER会带给我们很多的欣喜，当然我们也发现更改其他分支的设置同样能为用户提供有用的东西。下面我们就来简单的认识一册表的六个分支吧！

1、HKEY_CLASSER_ROOT。该份之下至少包括100个关键字，这个分支下主要包括OLE数据，还包括文件扩展名和文件或应用程序的关联，改变改分支中的数据结构和内容将直接影响到系统软件的应用，此下的信息都被保存在system.dat文件中。

2、HKEY_USER。在这个关键字下显示的信息都保存在User.dat文件中，这包含了与具体用户有关的desktop(桌面)配置、网络连接以及start菜单。如果用户的计算机被配置为使用户的配置文件，那么系统就会为每个用户都创建一个单独的User.dat文件。当一个用户登录到计算机上时，Windows98将读取那个用户的user.dat文件，并把该文件放入内存中的Registry中。

3、HKEY_CURRENT_USER。它是适用于当前用户的HKEY_ USER部分。如果只有一个用户，即确省用户，那么HKEY_USER\.Default和HKEY_CURRENT_USER是相同信息的不同的显示方式。

4、HKEY_LOCAL_MACHINE。这是针对计算机硬件以及安装的软件所设定的分支。如果计算机有多个硬件配置，那么每个配置的信息都保存在这里。如果你察看一下该分支下的SOFTWARE下面的信息，你会发现生产已安装软件的公司的名字都在这儿了，这个分支为关于每个公司产品的与具体机器有关的信息存放提供一个方便的地方。在这儿，你还可以发现应用程序名字、版本数、应用程序路径名以及以及硬件设置。Microsoft也使用这个分支注册它的软件。

5、HKEY_CURRENT_CONFIGURATION。在这里用户可以找到显示设置情况和使用的打印机。

6、HKEY_DYN_DATA。这里保存了Windows操作性能参数的数据，当Windows98加载后，该信息被保留在RAM中，同时被不断更新。

在Windows98注册表文件中，事实上只有两个隐藏的只读文件System.dat和User.dat组成了Registry,由于这两个文件是二进制的文件，不易被一般的字处理文件所编辑。处理这两个文件，一是用Registry editor直接来编辑它（如图1），也可以用Registry editor将它们导出来成为一个文本文件即可。

System.dat把一台计算机以及计算机上软件的具体信息保存起来。它不但追踪Windows和其他的安放其信息于Registry中的已安装信息，而且也追踪已发现的硬件以及其配置。

User.dat保存与用户相关的信息，包括鼠标、颜色方案、光标方案、墙纸、访问性设置、图标间隔、字体、键盘布局、键盘延迟和速度、区域设置、浏览器设置以及密码等等。一个用户的桌面图标和网络连接，它们都保存在User.dat文件中。

二、注册表的备份和恢复

由于注册表内存放了计算机许多重要的信息，其功能也十分强大，我们可以通过编辑注册表来实现很多常规方法难于实现的功能。也正因为注册表是各种关键住处的集中存放地，所以如果编辑不当，就会造成一些难于预料的后果，因此在对注册表进行编辑之前，备份和回复注册表的信息非常重要。

大家知道，注册表是由System.dat和User.dat两个具有只读隐藏属性的文件所组成的。在 Windows95里，注册表保存在 Windows目录下的，可以由运行 Windows目录下的注册表编辑器（Regedit.exe）来打开及进行编辑。 Windows95每次开机时，均会自动在这两个文件所在的同一目录下以System.dao和User.dao之名（均为只读隐藏文件）为这一注册表备份，以便为注册表的恢复之用。要特别指出的是：System.dao和User.dao在系统重新再启动后，实际上已用原注册表文件作为蓝本进行了覆盖备份，所以这时的备份文件从严格意义上来说已无备份恢复之价值了。那么在 Windows98中又是什么样子呢？下面笔者就根据自己的使用体会和有关资料，来谈谈在 Windows98中如何对注册表进行备份及恢复的几种方法。

（一）、直接进行备份及恢复。

这是一种很原始的方法，即直接将所需之System.dat及User.dat两个文件拷贝存放在硬盘某个指定目录下或直接拷到软盘上作为备份，恢复时再将该备份替换覆盖回原处即可，当然在备份及恢复时都需对这两个文件的只读及隐藏属性进行相应的修改操作。需注意的是：一般情况下由于Windows98的注册表（包括System.dat和User.dat两个文件）往往有近2M甚至更大，用一般1.44M的3寸软盘来存储备份是放不下的，所以必须利用压缩软件将其压缩后才能放入1.44M软盘中。当需要恢复时，还需要用解压缩软件将其解开后再放入 Windows目录下替换覆盖原注册表数据。

用这种方法的好处是如因注册表问题而导致系统瘫痪，开机后无法进行 Windows系统时，可用应急启动盘进入 Windows98自带的DOS7.1界面后，用常规的DOS操作来将存在硬盘或通过解压缩软件将软盘中的备份覆盖回原处，恢复原备份时注册表的正常数据。

（二）、利用Regedit注册表编辑器自带的导出及引入功能备份和回复。

运行Regedit.exe打开 Windows98注册表后，利用“注册表”的“导出”及“引入”功能也可以用来备份或恢复注册表信息。具体方法如下：

1、打开如图2的左上角“注册表”下拉菜单，点击“导出注册表文件”项。

图2

2、在出现的“导出注表文件”对话框中，键入欲备份注册表的文件名及其保存位置，再按“保存”按钮即可（如图3）。

图3

若需恢复注册表时，用同样的方法打开注册表编辑器，打开“注册表”下拉菜单后点击“引入注册表文件”项，在出现的对话框中选中所需恢复的备份文件，再按“打开”按钮即可将该注册表备份恢复回 Windows系统了。

该方法主要适合于Windows系统还未瘫痪或能用启动时按F8键的方法，选择安全模式启动Windows98系统时恢复注册表之用，如因注册表问题而连 Windows系统都进入不了时，则该法就无法应用了。此外因备份无法压缩而其大小又超过1.44M软盘容量，所以应用该法也只能将备份保存在硬盘里了。

（三）、 Windows98的自动备份注册表。

Windows98在每次开机是都会自动地备份Registry文件和Win.ini、System.ini文件，Win98的自动备份注册表功能取消了在Win95中每次开机时自动以System.dao 和User.dao为名的两个文件来备份注册表数据的功能，而新增加了一个以Cab（Cabinet）作后缀的压缩文件作为注册表备份的功能。具体使用如下：

1、备份。如果你在启动程序组里添置了Scanreg.exe文件， Windows98系统自动完成注册表的备份。在用户当天第一次开机时， Windows98将会自动将系统中原有的注表信息，包括System.dat 和User.dat，也包括了System.ini和 Win.ini这四个文件都压缩成Cab形式的文件，以rb001.cab、rb002.cab 等等名字的Cabinet文件存放在 Windows\Sysbckup目录下，系统自动保存最近5开机天（注意不是5天）的注册表数据，超过5开机天时则自动挤掉最早日期的备份文件。执行该命令的是Windows98自带的Scanregw.exe文件，也可以在纯DOS模式下执行纯DOS模式文件Scanreg.exe。

如果用户想在使用Windows98的同时，来创建Registry的一个备份，那么运行Scanreg.exe，Scanreg会扫描系统注册表，如果未发现系统注册表任何错误，它将告诉用户它已在当天备份了注册表，并询问是否想现在备份？（如图4）

图4

用户还可以自由的决定Windows98在开机时是否调用Scanreg文件，这只要在系统的程序组里选中不选Sanreg文件即可。用户也可以决定保存多少天的备份，决定保存的地点，以及决定同备份文件一起保存的其他文件，用户可以在\windows\下的scanreg.ini文件中设置、修改这些参数。

2、恢复：可以用 Windows自带的Extract.exe（在 Windows\command目录下）解开该压缩文件恢复替换回原注册表文件即可，也可用其他第三方解压缩程序如 Winziop7.0等解开所需之rb001.cab等备份压缩文件覆盖回去。当然，也可以进入实模式DOS状态，运行Scanreg.exe文件恢复备份的注册表。步骤如下：

1）.单击“开始”，再单击“关闭系统”；

2）.单击“重新启动计算机并切换到MS－DOS方式”，然后单击“是”；

3）.进入Windows目录下。例如，如果你的Windows安装在C:\Windows目录下，应键入以下内容CD C:\WINDOWS后回车；

4）.在MS－DOS模式下键入C:\WINDOWS\COMMAND\SCANREG/RESTORE后回车。

按照上述步骤，可以将注册表恢复到最后一次启动计算机时的状态。

三、自带的注册表编辑器-Registry Editor的使用

事实上，Microsoft已经创建了多个用户界面如“控制面般”、“打印机”等等对话框，使用他们可不必直接编辑注册表来改变Registry内的参数值。也许，微软公司提供的这些界面窗口对于一般用户来说是足够了,可对于想深入了解Windows98的用户，这就远远不够了！这时候，Windows98提供的注册表编辑器“Registry Editor”就可以帮助你实现你的希望了！

使用Windows98提供的用户界面来改变Registry的值是最安全的方法，而使用注册表编辑器时，可能会改变或删除注册表的关键元素，甚至会导致系统运行的不正常！因此在使用注册表编辑器之前，最好现备份一次注册表信息！

（一）启动注册表编辑器。

用户可以在\windows下找到Registry editor，选中后双击它，即可启动注册表编辑器（如图1）。也可以在开始菜单下选择运行命令，在命令窗口中输入“Regedit”也可以启动它。Windows98 setup 没有把它放在一个Start菜单上。

（二）、Registry editor的基本操作

下面我们来看看注册表编辑器的一些基本操作命令。这里我以使用当前的Desktop作为理想的位置的操作举个例子来说明一下。

1、首先单击HKEY_CURRENT_USER左边的加号。单击control panl（控制面板）左边的加号，然后单击desktop旁边的加号，选中Windows Metrics选项。这时，会在右边的窗口中充满了常量和数值（如图5）。

2、右击编辑器的右边的窗格，会弹出一个窗口（如图5），

图5

我们可以选择它来创建一个主键、一个字符串值、一个二进制值或者一个DWORD 值。关键字和任意一个常量都可以连接在WindowsMetrics上。

3、右击Registry左边窗口的desktop关键字，会弹出如图6的窗口。在这里，用户可以合并注册表已扩展的分支，创建一个新的关键字、字符串值、或二进制值，查找文本或数值字符串，或者删除、重命名该关键字等等操作。

4、右击编辑器的右边的窗口中的关键字名，将会显示一个上下文菜单，它允许用户调整该常量的值，或者删除该常量及其它的值以及重命名的命令。

图6

（三）、导入导出注册表信息

如前面讲过，在备份注册表信息时可以用这册表编辑器将这册表信息导出到一个带有reg扩展名的ASCII文件中。用户可以导出整个注册表，前面已经讲过这种使用方法。用户也可以导出注册表的一个分支，只要在导出之前，选中注册表左边的窗格的该分支即可。

在导出时，编辑器会自动给导出文件一个扩展名.reg，这个文件时可以被写字板编辑的一个文件。如图7就是导出的 registry文件的一部分在写字板中显示的内容。

图7

1、查找编辑一个导出的Registry文件。

导出一个注册表文件的一个目的就是编辑查找信息。在注册表编辑器里也可以编辑和查找，但是它的功能弱，速度慢，远远没有写字板的功能强。

在注册表编辑器里，只允许用户在关键字区域、常量名区域或值的区域内键入特定类型的值。而Wordpad的功能十分强大，如果想对注册表进行大量的更改，那么导出注册表再编辑是个好方法。当然如果用户编辑导出的注册表文件时会犯些错误，而这些错误在注册表编辑器里就会得到避免！

2、把一个文本文件导入或合并到注册表里。

如果你已编辑了导出的注册表文件，那么只要按照上面的所讲的恢复备份操作，就可以把它放回原处。同样，如果用户创建了一个这样的文本文件，它带有正确格式的关键字、常量名、数据值，用户也可以把它导入到注册表文件中。

3、改变导出文件的缺省行为。

如果你已经导出了一个注册表文件，你会发现这个文件的标示是 的注册表文件格式，也就是说它的缺省行为是“合并”。如果你单击它，执行的一个合并命令。用户也可以改变该文件的缺省行为，使其变成编辑命令，以避免用户的误操作使得不该合并的文件合并回去了。

（1）、打开任意一个浏览器窗口，如打开“我的文档”窗口。选择“查看”下的“文件夹选项”菜单，然后单击“文件类型”如图8。

图8

（2）、选中“注册表”项目，比单击“编辑”按钮，弹出图9的窗口。选中“编辑（E）”，并单击“设为默认值（S）”。

图9

（3）、单击“关闭”即可。

这时，你再单击.reg的注册表文件时，它的缺省行为变成了编辑状态，这与Windows 98界面其他部分保持了一致。

三、注册表使用实例

下面介绍一些注册表使用的一些实例。

（一）、改变软件注册的主人

你是否注意过，一般在安装软件时，它会向你询问用户的名字和公司的名字，这些信息都被保存在注册表信息里。用户也可以改变这些设置。操作方法如下：

1、打开注册表编辑器。

2、定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion.

3、右击右边窗口中的RegisteredOwner和/或RegisteredOrganization，并改变其名字即可。

4、退出注册表编辑器。

（二）、增加用户自己的提示

Windows98会为第一次使用的用户提供提示功能。同样用户自己也可以改变注册表来编辑来源与Microsoft的提示，并为其他的用户创建新的提示。步骤如下：

1、打开注册表编辑器。

2、定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explore\Tips。

3、键入比已有的提示数目最大数更大的数目。例如，Microsoft最后的一个数是47，那么用户就键入48。按Enter。

4、双击用户刚刚键入的那个数，键入一个新的提示，单击ok。

5、同样，用户也可以双击一个已有提示的相关联数目，用户也可以编辑它。

（三）、改变Windows 98各种输入法的顺序。

如你已在系统里安装了多种汉字输入法，那么有没有碰到要连续按多次输入法切换键，才能找到所需输入法的情况?有没有办法能快速切换到所需的输入法?我想第一种方法就是重新安装某一汉字输入法，将最常用的输入法排在输入法列表的最前头。因为Windows98本身并不提供汉字输入法顺序的调整方法。第二种可以通过修改注册表来调整输入法的顺序、增加或删除输入法，甚至可做到Windows98启动后的缺省输入法为汉字而不是英文。

在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\keyboard layout\下存放着各中输入法对应的主键，其中E00E0804--微软拼音输入法、E00C0804--表形码输入法、E0050804--区位码输入法、 E0040804--智能ABC输入法、E0030804--郑码输入法、 E0020804--双拼输入法、E0010804--全拼输入法、 00000409--英文输入法。在HKEY_USERS\.DEFAULT\keyboard layout\preload\下则是系统所安装的输入法的主键及键值，其主键为自然数，键值为上表中各输入法对应的主键。如果系统已安装了“智能ABC”和“全拼”输入法，则可看到如下的主键和键值：1、00000409；2、E0040804；3、E0010804。改变输入法顺序，设要将输入法顺序变为“全拼”、“智能ABC”和“英文”，可将主键和键值更改如下：1、E0010804；2、E0040804；3 00000409，这样就可以改变系统中输入法的顺序了。

（四）给Windows98换个名

如果要想在win 中所有关于"windows98"对话框中出现的不是windows98，而是取而代之的My windows或其它有意思的名字。那么，打开HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\Current Version，选中Version字串，双击将Windows98换成你希望的名字，而且无需启动，自动生效。

（五）通过"我的电脑"直接启动管理器

你想让“我的电脑”成为管理器吗？打开HKEY_CLASS_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell，右击Shell，建立新主键，出现"新键＃1"，改名为"Open"，再在Open下建"Command"主键，方法同上。双击"Command"主键下的"默认"字符串，将其键值改为"explorer/ec:\"（其缺省打开路径为"c:\"，要想改变，将"c:\"换为指定的路径名即可）。生效后双击"我的电脑"打开的就不再是"我的电脑"窗口，而是管理器了。如果你不想启动管理器，则将前一步输入的"explorer/ec:\"改为其他程序名。如"Regedit"。那么双击"我的电脑"打开的就是注册表编辑器了。

（六）、去掉桌面快捷方式图标上的箭头

如果你觉得Windows98快捷方式图标上的箭头碍眼，那么让可以修改注册表去掉它。打开注册表编辑器，在HKEY_LOCAL_MACHINE\Software\classes\lnkfile和HKEY_LOCAL_MACHINE\Software\classes\piffile两处的键值中都有一个"Isshortcut"的字符串值，删除它，重新启动计算机后，你就不会看到快捷图标上的箭头的。

（七）、删除"运行"和"查找"对话框中的文件名

每次从"开始／运行或查找"中键入文件名，都会保存在相应的下拉菜单中，日积月累，增加查看的麻烦，并且对于安全来考虑，也需要清除它。打开HKEY_USER\Default\software下面的Microsoft\Windows\Current Version\Explorer\runMRU，在右窗口的"运行……"对话框删除不需要的文件名；打开HKEY_USER\Default\Software\Microsoft\Windows\Current Version\Explorer\DOCFind SpecMRU，在右窗口的"查找……"对话框删除不需要的文件名,重启动Windows后生效。

（八）、隐藏桌面的所有图标

有时出于某种特别的需要，我们必须隐藏桌面上的所有图标。首先打开出册表编辑器，选中HKEY_CURRENT_USER\Software\Micreosoft\Windows\Current version\Policies\Explore，右击右窗口空白处选"新建／DWORD"，出现"新值 #1"改名为“Nodesktop”，双击将其键值改为1。恢复时只需将值改为0，或直接删除Nodesktop即可。如果更名为Nosesetting，双击将其键值改为1，则会使桌面保持在第一次设置时的状态，即锁住桌面。如果更名为Noclose，双击将其键值改为1，则生效后开始菜单无"关闭系统菜单"选项。恢复法同上，重启动后生效。

（九）、给你的软件增添声音

可以通过注册表的改变来为单个应用程序增加一些声音。打开HKEY_CURRENT_USER\Appevents\Schems\Apps“Apps”下面的 ".Dfault"就是每种所要发出的声音，对"Apps"单击鼠标右键，选"新建"的"主键"，输入应用程序的名字，不用扩展名。然后再右击你新建的主键，选"新建"的"主键"，输入名字为"Open"。然后，到控制面板选"声音"，能从列表中找到你的应用程序。启动计算机即生效。

（十）、一些修改桌面和屏幕设置的参数

打开注册表编辑器，在HKEY_CURRENT_USER\ControlPanel\desktop下可以看到一些项目介绍如下，改变这些项目就可以改变系统的一些功能，读者不妨一试，这里不再赘述：

1.HungAppTimeout：是指一个应用程序出错时试图等待响应的时间，单位为毫秒，缺省值为5000毫秒，可以减少为3000毫秒，以加快系统的响应能力。

2.MenuShowDelay：是指“开始”菜单中当鼠标指向一个具有下级菜单的菜单项时等待出现下级菜单的延迟时间，单位也是毫秒，可以设成100，即等0.1秒就出现。

3.ScreenSeActive：指屏幕保护功能是否可用，值为0或1，0为不用屏幕保护功能，1为可用。

4.ScreenSeTimeOut：指屏幕保护的延时，值为一数值，单位是秒，最小值是60秒。

5.ScreenSeUsePassword：指屏幕保护是否使用密码，值为0或1，0为不设密码，1则使用预设的密码。

6.WaitToKillAppTimeout：是指当用Ctrl＋Alt＋Del来关闭一个应用程序时出现提示“等待”时选择“等待”的等待时间，单位是毫秒，默认值是10000，可以减小以缩短等待时间。

四、Msconfig文件的使用

Windows98中新增的msconfig在 Windows98中新增加了一个名为msconfig.exe的系统配置实用程序（该程序在 Windows\System目录下），通过该程序可以很方便地进行 Windows98系统一些常用配置的编辑、备份、恢复及设置。该配置程序能很直观地帮助用户使用、维护及改变有关 Windows98启动时的一些装载配置设定，对一些初级用户来说应该比前面所叙之注册表的使用要更简单、直观和容易一些。

运行msconfig后，会弹出如图10的窗口。

图10

窗口中我们可以看到有常规、config.sys、autoexec.bat、system.ini、win.ini以及启动这六个选项，分别简述如下：

1常规选项。可以用来选择启动选项（注意三个选项是唯一选择的），也可以选择诊断启动。

Windows启动时以交互式方法装载驱动程序及软件，还可以用选择性启动来由用户自行决定 Windows98启动时对一些驱动程序及软件项装载与否。后两种选择可以用来帮助用户在系统启动时完成一些特殊要求,也可以帮助用户用来诊断 Windows98启动时的不正常故障。在这个选项里还可以进行这些配置文件的备份及恢复工作，简单到只需按几下有关的按钮即可。

2、config.sys、autoexec.bat、system.ini、win.ini四个基本配置文件的编辑功能选项(如system.ini选项窗口如图11)。

图11

这基本上相当于原来在Windows3.x和9Windows95中用文本编辑器来对这四个文件进行的编辑工作，不过在这儿进行这几个文件的编辑要比用文本编辑器来得更方便安全一些。

3、启动选项。如图12。

图12

用户可以在这里很简单地用勾选或清除启动项选择框的方法来自行决定某一启动项的启用与否。

请电脑高手解答，此进程是干什么的？

1、同时按下win+R键

2、输入shell:startup并回车

3、打开文件夹后，将需要设置为开机启动的软件快捷方式复制粘贴到启动项文件夹

spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是ackdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除。

另外spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇保持高速嘈杂运转。

停止方法：Ctrl+Alt+Delete（或任务管理器XP）停止spoolsv.exe运行进程重启计算机进入安全模式，在C:/windows/system32/删除spoolsv.exe(或可用搜索方式删除C盘所有同名文件)运行regedit，用查找方式找到并删除所有spoolsv文件。我的电脑点击右键->选择管理->服务->禁用print spooler服务(目前网上提供的方法仅到此)重启电脑进入系统常规模式，你会发现电脑还是处于高速运转，但在搜索中已找不到任何spoolsv相关文件。（严重影响你的网速）

彻底解决services.exe进程 1 services.exe - services - 进程介绍

进程文件： services or services.exe

进程名称： Windows Service Controller

进程类别：其他进程

英文描述：

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

中文参考：

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：Yes

网络相关：No

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

：No

木马：No

这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。即为中毒后，任意一个EXE文件的属性，“应用程序”变成“EXE文件”

当然，清除的方法也很简单，不过需要注意步骤：

一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

4.删除以下两个键值：

HKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器，依此分别查找“rundll32”、“finder”、“command.pif”，把找到的内容里面的“rundll32”、“finder”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore”的信息，把找到的内容里面的“iexplore”改为“iexplore.exe”

7. 查找“explorer”的信息，把找到的内容里面的“explorer”改为“explorer.exe”

8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除添加的文件关联信息和启动项：

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

10. 这些是释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\{248DD8-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因为修改了很多关联信息，所以在那些文件没有被删除之前，请不要做任何多余的操作，以免激活

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）

%programfiles%\common files\iexplore.pif

%programfiles%\Internat explorer\iexplore

%windir%\1

%windir%\exeroute.exe

%windir%\explorer

%windir%\finder

%windir%\mswinsck.ocx

%windir%\services.exe

%windir%\system32\command.pif

%windir%\system32\dxdiag

%windir%\system32\finder

%windir%\system32\msconfig

%windir%\system32\regedit

%windir%\system32\rundll32

删除以下文件夹：

%windir%\debug

%windir%\system32\NtmsData

一、评估

1． 中文名： SCO变种N

2． 英文名： Worm.Novarg.N

3． 别名： Worm.Mydoom.m

4． 大小： 28832字节

5． 类型： 蠕虫

6． 危险等级： ★★★★

7． 传播途径： 邮件

8． 依赖系统： Windows 9X/NT/2000/XP

二、的破坏

1． 通过电子邮件传播的蠕虫，感染之后，它会先在用户本地机器上搜索电子邮件地址，向其发送邮件；

2． 利用在本机上搜索到的邮件地址的后缀当关键词，在Google、Yahoo等四个搜索引擎上搜索相关的email地址，发送邮件传播自身。

3． 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

4． 感染了此的机器，IE浏览器、OE软件和Outlook软件都不能正常使用。

5． 大量向外发送邮件，严重消耗网络，可能造成局域网堵塞。

三、技术分析

1． 蠕虫，用Upx压缩。运行后，将自己复制到%WINDOWS%目录下，文件名为：ja.exe。释放一个后门在同一目录中，文件名为：services.exe。

2． 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值：JaVM和Service，实现的开机自启动。

3． 强行关闭IE浏览器、OE软件和Outlook软件，使其不能正常使用。

4． 在本地机器上搜索电子邮件地址：从注册表中读取当前系统当前使用的wab文件名，并在其中搜索email地址；搜索internet临时目录 （Local Settings\Temporary Internet Files）中的文件，从中提取电子邮件地址；遍历盘符从C:盘到Z:的所有硬盘，并尝试从以下扩展名文件中提取email地址：.adb ，.asp ，.dbx ，.htm ，.php ，.pl ，.sht ，.tbb ，.txt ，.wab。

5． 当搜索到email地址以后，以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址％”为关键字，利用以下四种搜索引擎进行email地址邮件搜索：search.lycos、 search.yahoo、.altista、.google，利用这种手段，能够搜索到非常多的可用邮件 地址。

6． 邮件的附件名称为：readme ，instruction ，transcript ，mail ，letter ，file ，text ，attachment等，附件扩展名为：cmd ，bat ，com ，exe ，pif ，scr ，zip。

四、解决方案：

1. 进行升级

瑞星公司将于当天进行紧急升级，升级后的软件版本号为16.37.10，该版本的瑞星杀毒软件可以彻底查杀“SCO变种N”，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（ ://.rising.cn/ ）下载升级包进行升级，或者使用瑞星杀毒软件的智能升级功能。

2. 使用专杀工具

鉴于该的特性，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的专杀工具，用户可以到： ://it.rising.cn/service/technology/tool.htm 网址使用。

3. 使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该，这两款产品是通过手机付费使用的，用户可以登陆 ://online.rising.cn/ 使用在线杀毒产品，或者登陆 ://go.rising.cn/ 使用下载版产品。

4. 打电话求救

如果遇到关于该的其它问题，用户可以随时拨打瑞星反急救电话：010-82678800来寻求反专家的帮助！

5. 手动清除

（1）结束系统中进程名为：Services.exe和ja.exe（在%windows%目录中）

（2）删除系统临时目录中的两个数据文件：MLITGB.LOG和ZINCITE.LOG

（3）删除键立的注册表键：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“JaVM”=%WINDOWS%\ja.exe

和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“Services”=%WINDOWS%\Services.exe

注： %WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:

C:\WINDOWS，Win2K下默认为:C:\WINNT

注： %WINDIR%指的是Windows系统的安装目录，在Windows 95/98/ME/XP操作系统下默认为：C:\WINDOWS目录，在WINDOWS2000操作系统下默认为：C:\WINNT目录。

五、安全建议：

1. 建立良好的安全习惯。 例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。 默认情况下，许多操作系统会安装一些服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3. 经常升级安全补丁。 据统计，有80%的网络是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4. 使用复杂的密码。 有许多网络就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。 当您的计算机发现或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6. 了解一些知识。 这样就可以及时发现新并取相应措施，在关键时刻使自己的计算机免受破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7. 最好安装专业的杀毒软件进行全面监控。 在日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等、遇到问题要上报， 这样才能真正保障计算机的安全。

8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络都用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。