經常在網絡上沖浪���,十有八九避免不了網絡病毒的攻擊,用專業殺毒程序清除了這些病毒程序并重新啟動計算機系統后����,我們有時會發現先前已經被清除干凈的病毒又卷土重來了����,這是怎么回事呢?
原來目前不少流行的網絡病毒一旦啟動后,會自動在計算機系統的注冊表啟動項中遺留有修復選項�����,待系統重新啟動后這些病毒就能恢復到修改前的狀態 了��。為了 “拒絕”網絡病毒重啟�,我們可以從一些細節出發�,來手工將注冊表中的病毒遺留選項及時刪除掉,以確保計算機系統不再遭受病毒的攻擊����。
阻止通過網頁形式啟動
不少計算機系統感染了網絡病毒后��,可能會在
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices 等注冊表分支下面的鍵值中,出現有類似有.html或.htm這樣的內容����,事實上這類啟動鍵值主要作用就是等計算機系統啟動成功后����,自動訪問包含網絡病毒 的特定網站��,如果我們不把這些啟動鍵值及時刪除掉的話����,很容易會導致網絡病毒重新發作�。
為此,我們在使用殺毒程序清除了計算機系統中的病毒后���,還需要及時打開系統注冊表編輯窗口,并在該窗口中逐一查看上面的幾個注冊表分支選項��,看 看這些分支下面的啟動鍵值中是否包含有.html 或.htm這樣的后綴��,一旦發現的話我們必須選中該鍵值���,然后依次單擊“編輯”/“刪除”命令,將選中的目標鍵值刪除掉��,最后按F5功能鍵刷新一下系統注 冊表就可以了���。
當然����,也有一些病毒會在上述幾個注冊表分支下面的啟動鍵值中,遺留有.vbs格式的啟動鍵值��,發現這樣的啟動鍵值時我們也要一并將它們刪除掉����。
阻止通過后門進行啟動
為了躲避用戶的手工“圍剿”,不少網絡病毒會在系統注冊表的啟動項中進行一些偽裝隱蔽操作,不熟悉系統的用戶往往不敢隨意清除這些啟動鍵值�����,這樣一來病毒程序就能達到重新啟動目的了���。
例如����,一些病毒會在上面幾個注冊表分支下面創建一個名為"system32"的啟動鍵值,并將該鍵值的數值設置成"regedit -s D:Windows"咋看上去����,許多用戶會認為這個啟動鍵值是計算機系統自動產生的���,而不敢隨意將它刪除掉��,殊不知"-s"參數其實是系統注冊表的后門 參數,該參數作用是用來導入注冊表的����,同時能夠在Windows系統的安裝目錄中自動產生vbs格式的文件,通過這些文件病毒就能實現自動啟動的目的了。 所以����,當我們在上面幾個注冊表分支的啟動項中看到"regedit -s D:Windows"這樣的帶后門參數鍵值時�����,必須毫不留情地將它刪除掉�。
阻止通過文件進行啟動
除了要檢查注冊表啟動鍵值外����,我們還要對系統的"Win.ini"文件進行一下檢查,因為網絡病毒也會在這個文件中自動產生一些遺留項目�,如果不將該文件中的非法啟動項目刪除掉的話�����,網絡病毒也會卷土重來的。
一般來說����,"Win.ini"文件常位于系統的Windows安裝目錄中��,我們可以進入到系統的資源管理器窗口,并在該窗口中找到并打開該文 件���,然后在文件編輯區域中檢查"run="、"load="等選項后面是否包含一些來歷不明的內容����,要是發現的話����,必須及時將“=”后面的內容清除干凈; 當然���,在刪除之前最好看一下具體的文件名和路徑��,完成刪除操作后,再進入到系統的"system"文件夾窗口中將對應的病毒文件刪除掉��。
注意了上面幾個細節后�,許多網絡病毒日后要想重新啟動就不是那么容易了!
