病毒防护经验共享:追本溯源 彻底清除病毒"僵尸"
现在计算机病毒越来越多,破坏的手段也是越来越多。有时杀完毒,病毒“阴魂不散”,“僵尸”还残留在电脑中。许多病毒程序往往会修改注册表,或在自动启动程序中添加内容,使其能在系统启动后自动运行病毒文件。下面就Windows 98的自动启动程序为例,来看看如何除去此类病毒的“僵尸”。
1.程序组中启动项目
位于文件夹:C:windowsstart menuprogramsstartup在注册表中的位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"
启动项目很容易被一些程序更改,自动运行一些文件。 如“密码”病毒(WWorm.frethem),将自身拷贝到“开始”菜单启动项目中(C:windowsstartmenuprogramsstartupsetup.exe),以保证系统重启后,病毒会自动运行。
2.Win.ini
打开Win.ini文件,在[windows] 中:
Load=
Run=
许多恶意的木马程序会在load=或 run=后添加可执行文件。如:AttackFTP在win.ini中修改为load=wscan.exe,wscan.exe应删除掉;AOL Trojan、Asylum木马也会在load=或 run=后添加相应的文件。在修改Win.ini文件时,记录下病毒文件添加文件名,在硬盘中查找出对应的文件,删除掉,可查杀掉此类木马程序。
3.System.ini
在System.ini文件中,正常内容为:
[Boot]
Shell=Explorer.exe
Asylum 木马程序将Explorer.exe 改为Wincmp32.exe或其他文件,删除此文件,并改正。
4.其他
一些自动启动程序在注册表内设置,如:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]
这里也是病毒“肆虐”的地方,如“爱情森林”(Trojan.sckiss)病毒,先是复制自身到System目录下,并改名为Explorer.exe,与Windows目录下的系统文件Explorer同名,再修改注册表,在[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrent VersionRun] 下添加键值Explorer=C:windowss/system/Explorer.exe, 使木马程序可以在开机后自动运行。冰河木马在注册表[HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrent VersionRun ]添加了“C:windowssystem kernel32.exe”、“ C:windowssystem sysexplr.exe”。
以上只是列举了部分例子,在了解Windows自动启动程序的同时,帮助我们对一些计算机病毒有更进一步的认识,使防毒、杀毒能力更上一层楼(例中所举路径均以C:windows默认路径为准)。