白冰

有道是“常在江湖飄，哪有不挨刀”，經(jīng)常上網(wǎng)沖浪時(shí)，遭遇病毒、木馬程序是不可避免的事情。當(dāng)病毒、木馬程序悄悄攻擊了本地計(jì)算機(jī)系統(tǒng)后，為了達(dá)到自動(dòng)傳播或攻擊目的，它們常常會(huì)將自身移植到系統(tǒng)啟動(dòng)項(xiàng)中，希望日后能跟隨Windows系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行發(fā)作，很顯然，自啟動(dòng)的病毒木馬程序危害性很大。為了遠(yuǎn)離自啟動(dòng)病毒攻擊，我們可以采取措施，及時(shí)清除潛藏的自啟動(dòng)病毒，同時(shí)利用一些特色的小工具，加強(qiáng)對(duì)系統(tǒng)的局域防護(hù)，以達(dá)到防患于未然的效果！

清除自啟動(dòng)病毒

使用殺毒軟件清除自啟動(dòng)病毒，是一件很簡(jiǎn)單的事情。不過(guò)，有些狡猾的自啟動(dòng)病毒，偽裝效果很好，能有效躲避殺毒軟件的清除。這個(gè)時(shí)候，我們就需要采取手工操作，來(lái)對(duì)自啟動(dòng)病毒執(zhí)行定點(diǎn)清除操作。

從注冊(cè)表中清除

自啟動(dòng)病毒經(jīng)常會(huì)將自身移植到系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中，這樣每次啟動(dòng)Windows系統(tǒng)時(shí)，它們就能自動(dòng)發(fā)作運(yùn)行了。一般來(lái)說(shuō)，系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)往往位于“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce”、“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”等分支位置處，依次將鼠標(biāo)定位到這些分支上，檢查對(duì)應(yīng)分支下有沒(méi)有陌生的鍵值，要是看到存在陌生鍵值，那需要查看它們的鍵值數(shù)值，根據(jù)數(shù)值內(nèi)容找到自啟動(dòng)病毒源文件，將它們清除干凈，同時(shí)也刪除陌生鍵值。

為了防止自啟動(dòng)病毒木馬程序再次將惡意文件拷貝到注冊(cè)表啟動(dòng)項(xiàng)中，我們還應(yīng)該限制上述注冊(cè)表分支的訪問(wèn)權(quán)限，禁止任何病毒木馬程序拷貝內(nèi)容到對(duì)應(yīng)注冊(cè)表分支下面。例如，要限制用戶向“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”分支寫入內(nèi)容時(shí)，可以使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令并回車，彈出系統(tǒng)注冊(cè)表編輯窗口，選中目標(biāo)注冊(cè)表分支選項(xiàng)，依次選擇“編輯”、“權(quán)限”命令，打開(kāi)權(quán)限設(shè)置對(duì)話框（如圖1所示），將這里的“everyone”帳號(hào)權(quán)限調(diào)整為“讀取”，將其他賬號(hào)的權(quán)限都調(diào)整為“拒絕”，同時(shí)刪除陌生用戶賬號(hào)，確認(rèn)后退出設(shè)置對(duì)話框，并重新啟動(dòng)計(jì)算機(jī)系統(tǒng)即可。

從配置程序清除

大家知道，通過(guò)Windows系統(tǒng)內(nèi)置的系統(tǒng)配置實(shí)用程序，可以快速管理系統(tǒng)所有自啟動(dòng)類型的應(yīng)用程序。所以，一些自啟動(dòng)病毒程序在傳播擴(kuò)散時(shí)，往往會(huì)在系統(tǒng)配置實(shí)用程序的啟用標(biāo)簽頁(yè)面中，留下蛛絲馬跡，我們只要在這里檢查，或許也能找到并刪除一部分自啟動(dòng)的病毒木馬程序。

首先使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行對(duì)話框，輸入“msconfig”命令并回車，切換到系統(tǒng)配置實(shí)用程序設(shè)置框，選擇“啟用”標(biāo)簽，打開(kāi)如圖2所示的標(biāo)簽設(shè)置頁(yè)面，我們能在這里看到所有已經(jīng)開(kāi)啟運(yùn)行的應(yīng)用程序名稱。

其次檢查這里是否有陌生應(yīng)用程序的“身影”，如果看到有陌生程序存在，應(yīng)該立即將它們的自啟動(dòng)狀態(tài)取消。不過(guò)，要想準(zhǔn)確識(shí)別陌生應(yīng)用程序的“身份”，需要了解常見(jiàn)的病毒知識(shí)，特別是對(duì)Windows系統(tǒng)正常啟動(dòng)項(xiàng)要了如指掌，實(shí)在不行，可以上網(wǎng)搜索相關(guān)信息，以提高陌生程序的識(shí)別成功率。

檢查陌生程序的“命令”列，我們還能識(shí)別出目標(biāo)應(yīng)用程序的可執(zhí)行文件路徑，如果某個(gè)陌生程序的保存位置指向系統(tǒng)分區(qū)根目錄，或者指向system32文件夾，那么它們很有可能就是自啟動(dòng)病毒木馬文件。此時(shí)，不妨打開(kāi)系統(tǒng)資源管理器窗口，從中找到可疑的自啟動(dòng)病毒木馬文件，并將它們及時(shí)從系統(tǒng)中刪除掉，這能在一定程度上防護(hù)自啟動(dòng)病毒的攻擊。

從組策略中清除

Windows系統(tǒng)專門有一個(gè)啟動(dòng)文件夾，所有存儲(chǔ)在該文件夾中的可執(zhí)行程序，就可以隨著Windows系統(tǒng)的啟動(dòng)，而自動(dòng)開(kāi)啟運(yùn)行，該文件夾一般指向“C：＼Documents and Settings＼用戶名＼開(kāi)始菜單程序＼啟動(dòng)”路徑，平時(shí)這里應(yīng)該什么也沒(méi)有。由于它的作用很特別，一些自啟動(dòng)病毒程序往往會(huì)將病毒文件拷貝到啟動(dòng)文件夾中，以達(dá)到自動(dòng)傳播擴(kuò)散目的。所以，定期進(jìn)入系統(tǒng)資源管理器窗口，檢查系統(tǒng)啟動(dòng)文件夾中的內(nèi)容，看看有沒(méi)有陌生的可執(zhí)行程序存在，是尋找自啟動(dòng)病毒的一種有效方法。

不過(guò)，位于系統(tǒng)啟動(dòng)文件夾中的自啟動(dòng)病毒木馬文件，很容易被殺毒軟件發(fā)現(xiàn)并清除，為了躲避專業(yè)工具的清除，很多狡猾的自啟動(dòng)病毒木馬程序，有時(shí)會(huì)悄悄調(diào)整系統(tǒng)組策略相關(guān)設(shè)置，強(qiáng)制Windows系統(tǒng)在登錄成功后，自動(dòng)執(zhí)行躲藏在暗處的病毒木馬文件。為了對(duì)付這類自啟動(dòng)病毒，我們可以進(jìn)行如下設(shè)置操作，來(lái)尋找并清除潛藏在系統(tǒng)組策略中的自啟動(dòng)病毒：

首先依次選擇“開(kāi)始”|“運(yùn)行”命令，展開(kāi)系統(tǒng)運(yùn)行文本框，輸入“gpedit.msc”命令并按“確定”按鈕，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在組策略編輯界面左側(cè)窗格中，找到“用戶配置”|“管理模板”|“系統(tǒng)”|“登錄”節(jié)點(diǎn)，用鼠標(biāo)雙擊該節(jié)點(diǎn)下的“在用戶登錄時(shí)運(yùn)行這些程序”組策略，進(jìn)入如圖3所示的組策略屬性對(duì)話框。

其次看看“已啟用”選項(xiàng)的選中狀態(tài)是否正常，當(dāng)發(fā)現(xiàn)該選項(xiàng)已被選中時(shí)，只要簡(jiǎn)單地點(diǎn)擊“顯示”按鈕，切換到應(yīng)用程序默認(rèn)啟動(dòng)列表窗口，默認(rèn)狀態(tài)下，這里應(yīng)該不會(huì)有任何內(nèi)容，要是發(fā)現(xiàn)有陌生程序出現(xiàn)時(shí)，那幾乎就能斷定該陌生應(yīng)用程序就是自啟動(dòng)病毒程序的“化身”。這個(gè)時(shí)候，應(yīng)該立即選中陌生程序，將其從列表中清空，再依照源路徑找到隱藏自啟動(dòng)病毒的原始執(zhí)行文件，將病毒文件從系統(tǒng)中手工清除掉，這樣就能避免躲藏在系統(tǒng)組策略中的自啟動(dòng)病毒程序，再次威脅本地計(jì)算機(jī)安全了。

從服務(wù)列表清除

還有部分自啟動(dòng)病毒程序偽裝效果更好，它們直接以系統(tǒng)服務(wù)形式悄悄發(fā)作運(yùn)行，讓普通殺毒工具不能準(zhǔn)確識(shí)別到它們的“蹤跡”。這個(gè)時(shí)候，我們需要從系統(tǒng)服務(wù)列表中，尋找自啟動(dòng)病毒程序的“身影”，下面就是具體的檢查步驟：

首先使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行對(duì)話框，輸入“services.msc”命令并回車，進(jìn)入系統(tǒng)服務(wù)列表窗口。由于自啟動(dòng)病毒木馬程序的運(yùn)行類型，都屬于自啟動(dòng)類型，我們應(yīng)該選擇“啟動(dòng)類型”選項(xiàng)卡，按啟動(dòng)類型重新對(duì)系統(tǒng)服務(wù)進(jìn)行排序，以便讓那些自啟動(dòng)類型的系統(tǒng)服務(wù)自動(dòng)位于窗口最頂端，如圖4所示，這樣可以迅速地識(shí)別出病毒偽裝的自啟動(dòng)服務(wù)。

當(dāng)看到有陌生服務(wù)出現(xiàn)時(shí)，應(yīng)該用鼠標(biāo)雙擊之，切換到對(duì)應(yīng)服務(wù)的屬性設(shè)置框，按下“停止”按鈕，強(qiáng)制陌生程序服務(wù)繼續(xù)運(yùn)行。同時(shí)，從“常規(guī)”選項(xiàng)設(shè)置頁(yè)面中，弄清楚陌生程序服務(wù)的原始文件路徑，再打開(kāi)系統(tǒng)資源管理器界面，從中定位到陌生程序文件，并將它們從系統(tǒng)中清除干凈，謹(jǐn)防它們?nèi)蘸罄^續(xù)攻擊本地系統(tǒng)。如果我們無(wú)法確認(rèn)陌生服務(wù)就是病毒服務(wù)時(shí)，可以嘗試借助一些安全工具進(jìn)行探測(cè)，例如啟動(dòng)IceSword程序，進(jìn)入到該程序的“查看”選項(xiàng)設(shè)置頁(yè)面，單擊“服務(wù)”按鈕，就能直觀地看到系統(tǒng)中的所有服務(wù)，通過(guò)該方法探測(cè)隱藏型病毒服務(wù)很方便。

還有部分自啟動(dòng)病毒木馬程序，會(huì)將偽裝好的服務(wù)隱藏在系統(tǒng)注冊(cè)表服務(wù)節(jié)點(diǎn)下面，因此，我們還要檢查系統(tǒng)注冊(cè)表服務(wù)節(jié)點(diǎn)選項(xiàng)，看看“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”節(jié)點(diǎn)下面，有沒(méi)有陌生鍵值的“身影”（如圖5所示），要是找到的話，應(yīng)該立即刪除陌生鍵值，同時(shí)將相關(guān)病毒文件清除掉。當(dāng)然，為了防止自啟動(dòng)病毒木馬再次以服務(wù)形式躲藏在注冊(cè)表服務(wù)節(jié)點(diǎn)下面，我們應(yīng)該打開(kāi)目標(biāo)分支權(quán)限編輯對(duì)話框，將“everyone”賬號(hào)權(quán)限調(diào)整為“讀取”，將其他權(quán)限調(diào)整為“拒絕”，同時(shí)刪除其他陌生用戶賬號(hào)，最后將計(jì)算機(jī)系統(tǒng)重新啟動(dòng)一下即可。

為病毒接種疫苗

通過(guò)優(yōu)盤、移動(dòng)硬盤等外部設(shè)備感染的病毒程序，往往都屬于自啟動(dòng)型病毒，我們可以使用Panda USB Vaccine這款特色的疫苗軟件，為本地計(jì)算機(jī)中的USB接口接種防病毒疫苗，以徹底拒絕任何來(lái)歷不明的自啟動(dòng)程序開(kāi)啟運(yùn)行，這樣就能有效避免自啟動(dòng)病毒的攻擊了。

從網(wǎng)上下載獲取Panda USB Vaccine工具的安裝文件后，按照默認(rèn)設(shè)置將其安裝成功后，打開(kāi)該程序的主操作界面，按下其中的“Vaccinate Computer”按鈕，就能對(duì)特定計(jì)算機(jī)的USB接口接種病毒疫苗了，從而可以對(duì)自啟動(dòng)病毒程序進(jìn)行免疫。接種操作完成后，我們會(huì)在對(duì)應(yīng)程序界面中看到綠色勾號(hào)標(biāo)記，日后所有來(lái)自USB接口的自啟動(dòng)病毒程序，都會(huì)被自動(dòng)禁止運(yùn)行。當(dāng)然，那些來(lái)自CD光盤和DVD光盤的自啟動(dòng)病毒，也會(huì)被禁止運(yùn)行的。

攔截自啟動(dòng)病毒

自啟動(dòng)病毒一個(gè)很重要的特點(diǎn)，就是自動(dòng)在系統(tǒng)后臺(tái)悄悄運(yùn)行，一般安全工具很難識(shí)別并攔截到它。為了能在第一時(shí)間對(duì)自啟動(dòng)病毒程序進(jìn)行攔截，我們需要請(qǐng)“無(wú)毒空間”工具來(lái)幫忙，它能對(duì)任何在系統(tǒng)前臺(tái)、后臺(tái)自動(dòng)運(yùn)行的程序進(jìn)行攔截，根據(jù)攔截提示，就能判斷是否有病毒木馬程序在系統(tǒng)后臺(tái)嘗試啟動(dòng)運(yùn)行了。

從www.virusfree.com.cn這個(gè)官方網(wǎng)站中下載獲得最新版本的“無(wú)毒空間”工具，該工具不需要進(jìn)行一些設(shè)置就能安裝成功。之后，啟動(dòng)該工具，它會(huì)要求我們選擇需要掃描的驅(qū)動(dòng)器，我們可以按照默認(rèn)設(shè)置，選中所有的磁盤分區(qū)。接著，開(kāi)始對(duì)磁盤文件執(zhí)行掃描操作，只是該掃描操作不是對(duì)病毒程序的掃描，而是對(duì)系統(tǒng)文件信息進(jìn)行一個(gè)統(tǒng)計(jì)。依照磁盤空間的大小，該掃描操作耗費(fèi)的時(shí)間也會(huì)有明顯不同。下面，該工具需要對(duì)本地計(jì)算機(jī)中的所有磁盤分區(qū)進(jìn)行免疫處理，該免疫處理操作是在Windows系統(tǒng)后臺(tái)悄悄運(yùn)行的，我們的正常工作基本上是不會(huì)受到明顯干擾的。免疫處理操作其實(shí)就是檢查本地計(jì)算機(jī)中是否存在可疑的文件信息，當(dāng)免疫處理任務(wù)結(jié)束后，該工具會(huì)自動(dòng)彈出相關(guān)提示信息。最后，再將計(jì)算機(jī)系統(tǒng)重新啟動(dòng)一下，這樣“無(wú)毒空間”工具就能攔截自啟動(dòng)病毒程序，并保護(hù)系統(tǒng)的運(yùn)行安全了。

日后，無(wú)論是自啟動(dòng)病毒運(yùn)行的程序，還是我們用戶自己運(yùn)行的程序，“無(wú)毒空間”工具都會(huì)對(duì)目標(biāo)程序文件進(jìn)行自動(dòng)攔截，通過(guò)彈出攔截提示界面，我們能發(fā)現(xiàn)自動(dòng)運(yùn)行的程序標(biāo)題名稱，要是發(fā)現(xiàn)目標(biāo)程序的確是自己設(shè)定要求運(yùn)行的，那么只要按下提示界面中的“知道了”按鈕即可。要是我們?cè)跊](méi)有執(zhí)行任何程序的情況下，出現(xiàn)這個(gè)攔截提示對(duì)話框，那就意味著此時(shí)系統(tǒng)中有自啟動(dòng)病毒程序在后臺(tái)悄悄運(yùn)行。為了獲取自啟動(dòng)病毒程序的詳細(xì)信息，只要按下提示界面中的“查看詳情”按鈕，根據(jù)這些信息，就能順藤摸瓜地找到自啟動(dòng)病毒的可執(zhí)行文件路徑，然后再采取措施將病毒的可執(zhí)行文件徹底從系統(tǒng)中刪除干凈。

防范自啟動(dòng)病毒

對(duì)付那些躲藏在移動(dòng)硬盤或優(yōu)盤中的自啟動(dòng)病毒，最有效的辦法，就是開(kāi)啟最新版本的殺毒工具，自動(dòng)掃描USB設(shè)備中的病毒，確保這些自啟動(dòng)病毒程序在沒(méi)有運(yùn)行之前，已經(jīng)被自動(dòng)清除干凈。當(dāng)然，我們平時(shí)使用的移動(dòng)硬盤或優(yōu)盤分區(qū)多半是“干凈”的，要是讓殺毒工具每次自動(dòng)掃描這樣的磁盤分區(qū)，需要耗費(fèi)很長(zhǎng)時(shí)間，顯然這會(huì)影響我們的平時(shí)工作。實(shí)際上，通過(guò)合理設(shè)置殺毒工具相關(guān)參數(shù)，僅讓其自動(dòng)掃描陌生的移動(dòng)硬盤或優(yōu)盤分區(qū)，就能有效防范潛藏在陌生硬盤分區(qū)中的自啟動(dòng)病毒木馬程序了。

例如，本地計(jì)算機(jī)系統(tǒng)中假設(shè)安裝了NOD32殺毒工具，如果希望該殺毒工具自動(dòng)掃描陌生的移動(dòng)磁盤分區(qū)時(shí)，不妨先進(jìn)入該殺毒工具界面中的“ESET Smart Security”設(shè)置框，在“文件系統(tǒng)實(shí)時(shí)防護(hù)”設(shè)置項(xiàng)處，按下“高級(jí)設(shè)置”按鈕，彈出對(duì)應(yīng)工具高級(jí)設(shè)置對(duì)話框，接著點(diǎn)擊“可移動(dòng)磁盤上的文件時(shí)采用高級(jí)啟發(fā)式掃描”處的“例外”按鈕，打開(kāi)文件夾選擇設(shè)置框，從中將移動(dòng)磁盤對(duì)應(yīng)的分區(qū)符號(hào)依次選中并導(dǎo)入進(jìn)來(lái)。經(jīng)過(guò)之前的設(shè)置操作，平時(shí)頻繁使用的移動(dòng)磁盤插入到本地計(jì)算機(jī)系統(tǒng)后，殺毒工具是不會(huì)對(duì)它進(jìn)行掃描查殺的，而有陌生的USB設(shè)備插入到本地時(shí)，殺毒工具就會(huì)對(duì)它自動(dòng)掃描查殺了，這樣就能很好地防范自啟動(dòng)病毒程序的攻擊了。

限制自啟動(dòng)病毒

如果我們能夠提前采取措施，限制自啟動(dòng)病毒程序的運(yùn)行權(quán)限，那么日后本地計(jì)算機(jī)即使不小心被感染了自啟動(dòng)病毒，該病毒也會(huì)由于無(wú)權(quán)運(yùn)行而不能發(fā)作，那么本地計(jì)算機(jī)受到安全攻擊的機(jī)率就小多了?，F(xiàn)在，我們只要按照下面的操作，為自啟動(dòng)病毒之外的幾個(gè)可信任程序授予運(yùn)行權(quán)限，其他程序都不授予運(yùn)行權(quán)限：

首先依次點(diǎn)擊“開(kāi)始”|“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，進(jìn)入系統(tǒng)組策略編輯窗口。在該組策略編輯界面左側(cè)列表中，找到“用戶配置”|“管理模板”|“系統(tǒng)”節(jié)點(diǎn)，雙擊目標(biāo)節(jié)點(diǎn)下面的“只運(yùn)行指定的Windows應(yīng)用程序”選項(xiàng)。

其次在“只運(yùn)行指定的Windows應(yīng)用程序”選項(xiàng)設(shè)置框中，選中“已啟用”選項(xiàng)，激活并單擊“顯示”按鈕，打開(kāi)“顯示內(nèi)容”對(duì)話框，如圖6所示，按下“添加”按鈕，打開(kāi)添加項(xiàng)目設(shè)置框，導(dǎo)入可信任應(yīng)用程序的具體路徑信息，確認(rèn)后退出設(shè)置對(duì)話框。

同樣地，依次將其他可信任應(yīng)用程序，手工添加到“只運(yùn)行指定的Windows應(yīng)用程序”列表中，添加操作結(jié)束后，按下“確定”按鈕，這樣在本地計(jì)算機(jī)系統(tǒng)中除了那些可信任應(yīng)用程序外，其他任何程序包括自啟動(dòng)病毒程序，都將無(wú)權(quán)自動(dòng)啟動(dòng)運(yùn)行。