18新手无毒第十三课：系统好医生-SREng(下).docVIP

新手无毒第十三课:系统好医生-SREng(下) 时间:2008-09-21 11:48来源:网络　　 作者:未知 点击: 263次 再看下面一项：“系统修复”，它也有几个功能 文件关联，它可以查看和修复各种文件类型的打开方式，比如有些病毒会修改文件关联，达到打开某种文件如TXT，EXE文件时就启动病毒程序，所以不得不防 ? 如果有错误的项目可以选中后点修复 “WINDOWS SHELL/IE”，这里可以设置些功能的启用，比如病毒屏蔽了运行框，屏蔽任务管理，或篡改IE等等，那我就可以选中它并修复 ??? ? ? 流览器加载项：查看流览器里加入的各个软件程序，以及这些程序对应的位置，并提供删除和查看详情的功能，这里也是容易被一些病毒盯上的位置，而且流览器加载项过多或很乱的话也会导致每次打开IE或访问网站就会出现一些错误提示，如： ? ? 这些你可以尝试删除些不用的加载项目以恢复 ? HOSTS文件：该文件可以屏蔽一些指定的网站，格式为IP 地址，如：0。0。0。0 WWW。163。COM，这样就是把163的网站IP指到0。0。0。0，而这种IP根本就是无法访问的，而且163网站服务器IP也不是这个，所以就会导致163打不开，病毒修改它以屏蔽杀毒软件网站或杀软升级服务器的方法已经很久了，我们可以在工具里修复它，该文件里内容可以全部清空 ? ? WINSOCK供应者：右击也可以搜索和定位文件 ? ? 如果不熟悉并且网络连接不正常可以直接全部恢复默认值，但不要轻易使用 不过基本用不到该功能 ? 高级修复：这里可以修复你的安全模式，恢复被病毒破坏的位置。而且有不同的修复级别，一般不要随意调整，使用默认级别再用高级级别即可修复系统里各个敏感位置 这里的修复主要是删除原来没有的和原始状态不同的地方，所以也可能导致删除一些用户自己设置的安全策略 ? 下一项:智能扫描 该功能将对系统各个部位进行比较全面的扫描分析 ? 选中 ? ? ? 还会将正在运行的非系统进程对应的程序收集起来放到SuspiciousFiles目录下,并在后缀名后添加.V,以防止用户不小心点击运行 ? 扫描完毕后生成报告 ? ? 如果觉得这种形式查看不方面可以保存下来,保存文件默认是SREngLOG.LOG,可以直接用记事本打开 好了，拿到这样一份系统报告，再拿出你的耐心和信心仔细分析下 当然,网上也有了SREngLOG日志分析工具,如:/html/fuzhugongju206.html,不过该工具只能起到点辅助作用,不能完全依赖 ? 报告内容分为以下几部分: 一、注册表 以下是报告中注册表部分的一段： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] shellExplorer.exe [(Verified)Microsoft Corporation] UserinitC:\WINDOWS\system32\userinit.exe, [(Verified)Microsoft Corporation] 1.最上边的[]中的部分，便是注册表的一个项，也就是说注册表的一个位置； 2.下边的一行中 shellExplorer.exe ，前边的中，是代表上边提到注册表项下的一个键，而它后边中的，就是键值或者说键内容（对应着一个映像文件）。 3.再后边 [(Verified)Microsoft Corporation]，[]中的就是这个键值对应映像文件的出品公司，如果标志为N/A，则是无法识别程序出品公司的，这时，就一定要小心或者怀疑其安全性了！ 4.再下边一行，则是注册表项下的另一个键的信息。 上面的说明知道了，接下来就分析了，首先看后边既然映像文件是微软公司的，那么就不需要怀疑其有问题了！而我列的这2个项是比较特殊的，很多都修改内容以达到随系统启动，而杀毒之后，如果这个键值如果有问题，可能造成无法进入桌面，或者系统报错等，这样的注册表项实并不多，积累记住即可！而有的注册表项，直接删除即可，这里不写了！ 举例一个明显有问题的注册表项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 0189241169530598mcinstcleanup; C:\DOCUME~1\yoyizz\LOCALS~1\Temp\018924~1.EXE C:\PROGRA~1\COMMON~1\McAfee\INSTAL~1\cleanup.ini -cleanup -n