自启动病毒之局域防护.docVIP

PAGE PAGE 1 自启动病毒之局域防护 　　有道是“常在江湖飘，哪有不挨刀”，经常上网冲浪时，遭遇病毒、木马程序是不可避免的事情。当病毒、木马程序悄悄攻击了本地计算机系统后，为了达到自动传播或攻击目的，它们常常会将自身移植到系统启动项中，希望日后能跟随Windows系统启动而自动运行发作，很显然，自启动的病毒木马程序危害性很大。为了远离自启动病毒攻击，我们可以采取措施，及时清除潜藏的自启动病毒，同时利用一些特色的小工具，加强对系统的局域防护，以达到防患于未然的效果！ 　　清除自启动病毒 　　使用杀毒软件清除自启动病毒，是一件很简单的事情。不过，有些狡猾的自启动病毒，伪装效果很好，能有效躲避杀毒软件的清除。这个时候，我们就需要采取手工操作，来对自启动病毒执行定点清除操作。 　　从注册表中清除 　　自启动病毒经常会将自身移植到系统注册表启动项中，这样每次启动Windows系统时，它们就能自动发作运行了。一般来说，系统注册表启动项往往位于“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce”、“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon”等分支位置处，依次将鼠标定位到这些分支上，检查对应分支下有没有陌生的键值，要是看到存在陌生键值，那需要查看它们的键值数值，根据数值内容找到自启动病毒源文件，将它们清除干净，同时也删除陌生键值。 　　为了防止自启动病毒木马程序再次将恶意文件拷贝到注册表启动项中，我们还应该限制上述注册表分支的访问权限，禁止任何病毒木马程序拷贝内容到对应注册表分支下面。例如，要限制用户向“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”分支写入内容时，可以使用“Win+R”快捷键，调出系统运行对话框，输入“regedit”命令并回车，弹出系统注册表编辑窗口，选中目标注册表分支选项，依次选择“编辑”、“权限”命令，打开权限设置对话框（如图1所示），将这里的“everyone”帐号权限调整为“读取”，将其他账号的权限都调整为“拒绝”，同时删除陌生用户账号，确认后退出设置对话框，并重新启动计算机系统即可。 　　从配置程序清除 　　大家知道，通过Windows系统内置的系统配置实用程序，可以快速管理系统所有自启动类型的应用程序。所以，一些自启动病毒程序在传播扩散时，往往会在系统配置实用程序的启用标签页面中，留下蛛丝马迹，我们只要在这里检查，或许也能找到并删除一部分自启动的病毒木马程序。 　　首先使用“Win+R”快捷键，调出系统运行对话框，输入“msconfig”命令并回车，切换到系统配置实用程序设置框，选择“启用”标签，打开如图2所示的标签设置页面，我们能在这里看到所有已经开启运行的应用程序名称。 　　其次检查这里是否有陌生应用程序的“身影”，如果看到有陌生程序存在，应该立即将它们的自启动状态取消。不过，要想准确识别陌生应用程序的“身份”，需要了解常见的病毒知识，特别是对Windows系统正常启动项要了如指掌，实在不行，可以上网搜索相关信息，以提高陌生程序的识别成功率。 　　检查陌生程序的“命令”列，我们还能识别出目标应用程序的可执行文件路径，如果某个陌生程序的保存位置指向系统分区根目录，或者指向system32文件夹，那么它们很有可能就是自启动病毒木马文件。此时，不妨打开系统资源管理器窗口，从中找到可疑的自启动病毒木马文件，并将它们及时从系统中删除掉，这能在一定程度上防护自启动病毒的攻击。 　　从组策略中清除 　　Windows系统专门有一个启动文件夹，所有存储在该文件夹中的可执行程序，就可以随着Windows系统的启动，而自动开启运行，该文件夹一般指向“C：＼DocumentsandSettings＼用户名＼开始菜单程序＼启动”路径，平时这里应该什么也没有。由于它的作用很特别，一些自启动病毒程序往往会将病毒文件拷贝到启动文件夹中，以达到自动传播扩散目的。所以，定期进入系统资源管理器窗口，检查系统启动文件夹中的内容，看看有没有陌生的可执行程序存