經(jīng)常在網(wǎng)絡(luò)上沖浪 ， 十有八九避免不了網(wǎng)絡(luò)病毒的攻擊 ， 用專業(yè)殺毒程序清除了這些病毒程序并重新啟動(dòng)計(jì)算機(jī)系統(tǒng)后 ， 我們有時(shí)會(huì)發(fā)現(xiàn)先前已經(jīng)被清除干凈的病毒又卷土重來了 ， 這是怎么回事呢？
原來目前不少流行的網(wǎng)絡(luò)病毒一旦啟動(dòng)后 ， 會(huì)自動(dòng)在計(jì)算機(jī)系統(tǒng)的注冊(cè)表啟動(dòng)項(xiàng)中遺留有修復(fù)選項(xiàng) ， 待系統(tǒng)重新啟動(dòng)后這些病毒就能恢復(fù)到修改前的狀態(tài)了 。為了“拒絕”網(wǎng)絡(luò)病毒重啟 ， 我們可以從一些細(xì)節(jié)出發(fā) ， 來手工將注冊(cè)表中的病毒遺留選項(xiàng)及時(shí)刪除掉 ， 以確保計(jì)算機(jī)系統(tǒng)不再遭受病毒的攻擊 。
阻止通過網(wǎng)頁形式啟動(dòng)
不少計(jì)算機(jī)系統(tǒng)感染了網(wǎng)絡(luò)病毒后 ， 可能會(huì)在HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices等注冊(cè)表分支下面的鍵值中 ， 出現(xiàn)有類似有.html或.htm這樣的內(nèi)容 ， 事實(shí)上這類啟動(dòng)鍵值主要作用就是等計(jì)算機(jī)系統(tǒng)啟動(dòng)成功后 ， 自動(dòng)訪問包含網(wǎng)絡(luò)病毒的特定網(wǎng)站 ， 如果我們不把這些啟動(dòng)鍵值及時(shí)刪除掉的話 ， 很容易會(huì)導(dǎo)致網(wǎng)絡(luò)病毒重新發(fā)作 。
為此 ， 我們?cè)谑褂脷⒍境绦蚯宄擞?jì)算機(jī)系統(tǒng)中的病毒后 ， 還需要及時(shí)打開系統(tǒng)注冊(cè)表編輯窗口 ， 并在該窗口中逐一查看上面的幾個(gè)注冊(cè)表分支選項(xiàng) ， 看看這些分支下面的啟動(dòng)鍵值中是否包含有.html或.htm這樣的后綴 ， 一旦發(fā)現(xiàn)的話我們必須選中該鍵值 ， 然后依次單擊“編輯”/“刪除”命令 ， 將選中的目標(biāo)鍵值刪除掉 ， 最后按F5功能鍵刷新一下系統(tǒng)注冊(cè)表就可以了 。
當(dāng)然 ， 也有一些病毒會(huì)在上述幾個(gè)注冊(cè)表分支下面的啟動(dòng)鍵值中 ， 遺留有.vbs格式的啟動(dòng)鍵值 ， 發(fā)現(xiàn)這樣的啟動(dòng)鍵值時(shí)我們也要一并將它們刪除掉 。
阻止通過后門進(jìn)行啟動(dòng)
為了躲避用戶的手工“圍剿” ， 不少網(wǎng)絡(luò)病毒會(huì)在系統(tǒng)注冊(cè)表的啟動(dòng)項(xiàng)中進(jìn)行一些偽裝隱蔽操作 ， 不熟悉系統(tǒng)的用戶往往不敢隨意清除這些啟動(dòng)鍵值 ， 這樣一來病毒程序就能達(dá)到重新啟動(dòng)目的了 。
例如 ， 一些病毒會(huì)在上面幾個(gè)注冊(cè)表分支下面創(chuàng)建一個(gè)名為“system32”的啟動(dòng)鍵值 ， 并將該鍵值的數(shù)值設(shè)置成“regedit -s D:＼Windows”；看上去 ， 許多用戶會(huì)認(rèn)為這個(gè)啟動(dòng)鍵值是計(jì)算機(jī)系統(tǒng)自動(dòng)產(chǎn)生的 ， 而不敢隨意將它刪除掉 ， 殊不知“-s”參數(shù)其實(shí)是系統(tǒng)注冊(cè)表的后門參數(shù) ， 該參數(shù)作用是用來導(dǎo)入注冊(cè)表的 ， 同時(shí)能夠在Windows系統(tǒng)的安裝目錄中自動(dòng)產(chǎn)生vbs格式的文件 ， 通過這些文件病毒就能實(shí)現(xiàn)自動(dòng)啟動(dòng)的目的了 。所以 ， 當(dāng)我們?cè)谏厦鎺讉€(gè)注冊(cè)表分支的啟動(dòng)項(xiàng)中看到“regedit -s D:＼Windows”這樣的帶后門參數(shù)鍵值時(shí) ， 必須毫不留情地將它刪除掉 。
阻止通過文件進(jìn)行啟動(dòng)
除了要檢查注冊(cè)表啟動(dòng)鍵值外 ， 我們還要對(duì)系統(tǒng)的“Win.ini”文件進(jìn)行一下檢查 ， 因?yàn)榫W(wǎng)絡(luò)病毒也會(huì)在這個(gè)文件中自動(dòng)產(chǎn)生一些遺留項(xiàng)目 ， 如果不將該文件中的非法啟動(dòng)項(xiàng)目刪除掉的話 ， 網(wǎng)絡(luò)病毒也會(huì)卷土重來的 。
一般來說 ， “Win.ini”文件常位于系統(tǒng)的Windows安裝目錄中 ， 我們可以進(jìn)入到系統(tǒng)的資源管理器窗口 ， 并在該窗口中找到并打開該文件 ， 然后在文件編輯區(qū)域中檢查“run=”、“l(fā)oad=”等選項(xiàng)后面是否包含一些來歷不明的內(nèi)容 ， 要是發(fā)現(xiàn)的話 ， 必須及時(shí)將“=”后面的內(nèi)容清除干凈；當(dāng)然 ， 在刪除之前最好看一下具體的文件名和路徑 ， 完成刪除操作后 ， 再進(jìn)入到系統(tǒng)的“system”文件夾窗口中將對(duì)應(yīng)的病毒文件刪除掉 。
【系統(tǒng)安全：如何巧妙利用系統(tǒng)注冊(cè)表 防止病毒復(fù)活】