阻止通过网页启动
很多电脑系统感染网络病毒后,可能会在HKEY _当前_用户\软件\微软\ windows \当前版本\ runonce,HKEY _当前_用户\软件\微软\ windows \当前版本\ runservices等注册表分支下的键值中,出现类似“是”的字样。或者html。htm的这类内容,其实这类启动键值的主要作用就是在电脑系统成功启动后,自动访问含有网络病毒的特定网站。如果不及时删除这些启动键值,很容易导致网络病毒的再次出现。
为此,在使用杀毒程序将病毒从电脑系统中清除后,我们还需要及时打开系统注册表编辑窗口,在此窗口中逐一查看以上几个注册表分支选项,看是否包含这些分支下面的启动键值。或者html。一旦找到后缀htm,我们就必须选择键值,然后点击“编辑”/“删除”命令删除选中的目标键值,最后按F5功能键刷新系统注册表。
当然,有一些病毒会留在上述注册表分支下的启动键值中。Vbs格式启动键值。当我们发现这样的启动键值时,我们也需要删除它们。
防止通过后门启动。
为了避免用户的手动“围剿”,很多网络病毒会在系统注册表的启动项中做一些伪装和隐蔽操作。不熟悉系统的用户往往不敢随意清除这些启动键值,让病毒程序达到重启的目的。
比如有的病毒会在上述注册表分支下创建一个名为“system32”的启动键,并将该键的值设置为“regedit -s D:\Windows”(如图1所示);乍一看,很多用户会以为这个启动键值是电脑系统自动生成的,但是不敢随意删除。但是,他们不知道“-s”参数实际上是系统注册表的后门参数,用来导入注册表。同时可以在Windows系统的安装目录下自动生成vbs格式的文件,通过这些文件病毒可以自动启动。所以当我们在上面几个注册表分支的启动键中看到“regedit -s D:\Windows”的键值时,一定要毫不留情的删除。
阻止通过文件启动
除了检查注册表启动键值,我们还需要检查系统的“Win.ini”文件,因为网络病毒会在这个文件中自动生成一些遗留项,如果不删除这个文件中的非法启动项,网络病毒就会卷土重来。
一般来说,“Win.ini”文件往往位于系统的Windows安装目录下。我们可以进入系统的资源管理器窗口,在这个窗口中找到并打开文件,然后在文件编辑区查看“run=”和“load=”等选项背后是否有一些未知的内容。如果发现,一定要及时清除“=”后面的内容;当然,删除之前最好先看一下具体的文件名和路径。删除后,进入系统文件夹窗口删除相应的病毒文件。
