白冰

有道是“常在江湖飄，哪有不挨刀”，經(jīng)常上網(wǎng)沖浪時，遭遇病毒、木馬程序是不可避免的事情。當病毒、木馬程序悄悄攻擊了本地計算機系統(tǒng)后，為了達到自動傳播或攻擊目的，它們常常會將自身移植到系統(tǒng)啟動項中，希望日后能跟隨Windows系統(tǒng)啟動而自動運行發(fā)作，很顯然，自啟動的病毒木馬程序危害性很大。為了遠離自啟動病毒攻擊，我們可以采取措施，及時清除潛藏的自啟動病毒，同時利用一些特色的小工具，加強對系統(tǒng)的局域防護，以達到防患于未然的效果！

清除自啟動病毒

使用殺毒軟件清除自啟動病毒，是一件很簡單的事情。不過，有些狡猾的自啟動病毒，偽裝效果很好，能有效躲避殺毒軟件的清除。這個時候，我們就需要采取手工操作，來對自啟動病毒執(zhí)行定點清除操作。

從注冊表中清除

自啟動病毒經(jīng)常會將自身移植到系統(tǒng)注冊表啟動項中，這樣每次啟動Windows系統(tǒng)時，它們就能自動發(fā)作運行了。一般來說，系統(tǒng)注冊表啟動項往往位于“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce”、“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”等分支位置處，依次將鼠標定位到這些分支上，檢查對應分支下有沒有陌生的鍵值，要是看到存在陌生鍵值，那需要查看它們的鍵值數(shù)值，根據(jù)數(shù)值內(nèi)容找到自啟動病毒源文件，將它們清除干凈，同時也刪除陌生鍵值。

為了防止自啟動病毒木馬程序再次將惡意文件拷貝到注冊表啟動項中，我們還應該限制上述注冊表分支的訪問權(quán)限，禁止任何病毒木馬程序拷貝內(nèi)容到對應注冊表分支下面。例如，要限制用戶向“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”分支寫入內(nèi)容時，可以使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運行對話框，輸入“regedit”命令并回車，彈出系統(tǒng)注冊表編輯窗口，選中目標注冊表分支選項，依次選擇“編輯”、“權(quán)限”命令，打開權(quán)限設置對話框（如圖1所示），將這里的“everyone”帳號權(quán)限調(diào)整為“讀取”，將其他賬號的權(quán)限都調(diào)整為“拒絕”，同時刪除陌生用戶賬號，確認后退出設置對話框，并重新啟動計算機系統(tǒng)即可。

從配置程序清除

大家知道，通過Windows系統(tǒng)內(nèi)置的系統(tǒng)配置實用程序，可以快速管理系統(tǒng)所有自啟動類型的應用程序。所以，一些自啟動病毒程序在傳播擴散時，往往會在系統(tǒng)配置實用程序的啟用標簽頁面中，留下蛛絲馬跡，我們只要在這里檢查，或許也能找到并刪除一部分自啟動的病毒木馬程序。

首先使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運行對話框，輸入“msconfig”命令并回車，切換到系統(tǒng)配置實用程序設置框，選擇“啟用”標簽，打開如圖2所示的標簽設置頁面，我們能在這里看到所有已經(jīng)開啟運行的應用程序名稱。

其次檢查這里是否有陌生應用程序的“身影”，如果看到有陌生程序存在，應該立即將它們的自啟動狀態(tài)取消。不過，要想準確識別陌生應用程序的“身份”，需要了解常見的病毒知識，特別是對Windows系統(tǒng)正常啟動項要了如指掌，實在不行，可以上網(wǎng)搜索相關(guān)信息，以提高陌生程序的識別成功率。

檢查陌生程序的“命令”列，我們還能識別出目標應用程序的可執(zhí)行文件路徑，如果某個陌生程序的保存位置指向系統(tǒng)分區(qū)根目錄，或者指向system32文件夾，那么它們很有可能就是自啟動病毒木馬文件。此時，不妨打開系統(tǒng)資源管理器窗口，從中找到可疑的自啟動病毒木馬文件，并將它們及時從系統(tǒng)中刪除掉，這能在一定程度上防護自啟動病毒的攻擊。

從組策略中清除

Windows系統(tǒng)專門有一個啟動文件夾，所有存儲在該文件夾中的可執(zhí)行程序，就可以隨著Windows系統(tǒng)的啟動，而自動開啟運行，該文件夾一般指向“C：＼Documents and Settings＼用戶名＼開始菜單程序＼啟動”路徑，平時這里應該什么也沒有。由于它的作用很特別，一些自啟動病毒程序往往會將病毒文件拷貝到啟動文件夾中，以達到自動傳播擴散目的。所以，定期進入系統(tǒng)資源管理器窗口，檢查系統(tǒng)啟動文件夾中的內(nèi)容，看看有沒有陌生的可執(zhí)行程序存在，是尋找自啟動病毒的一種有效方法。

不過，位于系統(tǒng)啟動文件夾中的自啟動病毒木馬文件，很容易被殺毒軟件發(fā)現(xiàn)并清除，為了躲避專業(yè)工具的清除，很多狡猾的自啟動病毒木馬程序，有時會悄悄調(diào)整系統(tǒng)組策略相關(guān)設置，強制Windows系統(tǒng)在登錄成功后，自動執(zhí)行躲藏在暗處的病毒木馬文件。為了對付這類自啟動病毒，我們可以進行如下設置操作，來尋找并清除潛藏在系統(tǒng)組策略中的自啟動病毒：

首先依次選擇“開始”|“運行”命令，展開系統(tǒng)運行文本框，輸入“gpedit.msc”命令并按“確定”按鈕，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在組策略編輯界面左側(cè)窗格中，找到“用戶配置”|“管理模板”|“系統(tǒng)”|“登錄”節(jié)點，用鼠標雙擊該節(jié)點下的“在用戶登錄時運行這些程序”組策略，進入如圖3所示的組策略屬性對話框。

其次看看“已啟用”選項的選中狀態(tài)是否正常，當發(fā)現(xiàn)該選項已被選中時，只要簡單地點擊“顯示”按鈕，切換到應用程序默認啟動列表窗口，默認狀態(tài)下，這里應該不會有任何內(nèi)容，要是發(fā)現(xiàn)有陌生程序出現(xiàn)時，那幾乎就能斷定該陌生應用程序就是自啟動病毒程序的“化身”。這個時候，應該立即選中陌生程序，將其從列表中清空，再依照源路徑找到隱藏自啟動病毒的原始執(zhí)行文件，將病毒文件從系統(tǒng)中手工清除掉，這樣就能避免躲藏在系統(tǒng)組策略中的自啟動病毒程序，再次威脅本地計算機安全了。

從服務列表清除

還有部分自啟動病毒程序偽裝效果更好，它們直接以系統(tǒng)服務形式悄悄發(fā)作運行，讓普通殺毒工具不能準確識別到它們的“蹤跡”。這個時候，我們需要從系統(tǒng)服務列表中，尋找自啟動病毒程序的“身影”，下面就是具體的檢查步驟：

首先使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運行對話框，輸入“services.msc”命令并回車，進入系統(tǒng)服務列表窗口。由于自啟動病毒木馬程序的運行類型，都屬于自啟動類型，我們應該選擇“啟動類型”選項卡，按啟動類型重新對系統(tǒng)服務進行排序，以便讓那些自啟動類型的系統(tǒng)服務自動位于窗口最頂端，如圖4所示，這樣可以迅速地識別出病毒偽裝的自啟動服務。

當看到有陌生服務出現(xiàn)時，應該用鼠標雙擊之，切換到對應服務的屬性設置框，按下“停止”按鈕，強制陌生程序服務繼續(xù)運行。同時，從“常規(guī)”選項設置頁面中，弄清楚陌生程序服務的原始文件路徑，再打開系統(tǒng)資源管理器界面，從中定位到陌生程序文件，并將它們從系統(tǒng)中清除干凈，謹防它們?nèi)蘸罄^續(xù)攻擊本地系統(tǒng)。如果我們無法確認陌生服務就是病毒服務時，可以嘗試借助一些安全工具進行探測，例如啟動IceSword程序，進入到該程序的“查看”選項設置頁面，單擊“服務”按鈕，就能直觀地看到系統(tǒng)中的所有服務，通過該方法探測隱藏型病毒服務很方便。

還有部分自啟動病毒木馬程序，會將偽裝好的服務隱藏在系統(tǒng)注冊表服務節(jié)點下面，因此，我們還要檢查系統(tǒng)注冊表服務節(jié)點選項，看看“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”節(jié)點下面，有沒有陌生鍵值的“身影”（如圖5所示），要是找到的話，應該立即刪除陌生鍵值，同時將相關(guān)病毒文件清除掉。當然，為了防止自啟動病毒木馬再次以服務形式躲藏在注冊表服務節(jié)點下面，我們應該打開目標分支權(quán)限編輯對話框，將“everyone”賬號權(quán)限調(diào)整為“讀取”，將其他權(quán)限調(diào)整為“拒絕”，同時刪除其他陌生用戶賬號，最后將計算機系統(tǒng)重新啟動一下即可。

為病毒接種疫苗

通過優(yōu)盤、移動硬盤等外部設備感染的病毒程序，往往都屬于自啟動型病毒，我們可以使用Panda USB Vaccine這款特色的疫苗軟件，為本地計算機中的USB接口接種防病毒疫苗，以徹底拒絕任何來歷不明的自啟動程序開啟運行，這樣就能有效避免自啟動病毒的攻擊了。

從網(wǎng)上下載獲取Panda USB Vaccine工具的安裝文件后，按照默認設置將其安裝成功后，打開該程序的主操作界面，按下其中的“Vaccinate Computer”按鈕，就能對特定計算機的USB接口接種病毒疫苗了，從而可以對自啟動病毒程序進行免疫。接種操作完成后，我們會在對應程序界面中看到綠色勾號標記，日后所有來自USB接口的自啟動病毒程序，都會被自動禁止運行。當然，那些來自CD光盤和DVD光盤的自啟動病毒，也會被禁止運行的。

攔截自啟動病毒

自啟動病毒一個很重要的特點，就是自動在系統(tǒng)后臺悄悄運行，一般安全工具很難識別并攔截到它。為了能在第一時間對自啟動病毒程序進行攔截，我們需要請“無毒空間”工具來幫忙，它能對任何在系統(tǒng)前臺、后臺自動運行的程序進行攔截，根據(jù)攔截提示，就能判斷是否有病毒木馬程序在系統(tǒng)后臺嘗試啟動運行了。

從www.virusfree.com.cn這個官方網(wǎng)站中下載獲得最新版本的“無毒空間”工具，該工具不需要進行一些設置就能安裝成功。之后，啟動該工具，它會要求我們選擇需要掃描的驅(qū)動器，我們可以按照默認設置，選中所有的磁盤分區(qū)。接著，開始對磁盤文件執(zhí)行掃描操作，只是該掃描操作不是對病毒程序的掃描，而是對系統(tǒng)文件信息進行一個統(tǒng)計。依照磁盤空間的大小，該掃描操作耗費的時間也會有明顯不同。下面，該工具需要對本地計算機中的所有磁盤分區(qū)進行免疫處理，該免疫處理操作是在Windows系統(tǒng)后臺悄悄運行的，我們的正常工作基本上是不會受到明顯干擾的。免疫處理操作其實就是檢查本地計算機中是否存在可疑的文件信息，當免疫處理任務結(jié)束后，該工具會自動彈出相關(guān)提示信息。最后，再將計算機系統(tǒng)重新啟動一下，這樣“無毒空間”工具就能攔截自啟動病毒程序，并保護系統(tǒng)的運行安全了。

日后，無論是自啟動病毒運行的程序，還是我們用戶自己運行的程序，“無毒空間”工具都會對目標程序文件進行自動攔截，通過彈出攔截提示界面，我們能發(fā)現(xiàn)自動運行的程序標題名稱，要是發(fā)現(xiàn)目標程序的確是自己設定要求運行的，那么只要按下提示界面中的“知道了”按鈕即可。要是我們在沒有執(zhí)行任何程序的情況下，出現(xiàn)這個攔截提示對話框，那就意味著此時系統(tǒng)中有自啟動病毒程序在后臺悄悄運行。為了獲取自啟動病毒程序的詳細信息，只要按下提示界面中的“查看詳情”按鈕，根據(jù)這些信息，就能順藤摸瓜地找到自啟動病毒的可執(zhí)行文件路徑，然后再采取措施將病毒的可執(zhí)行文件徹底從系統(tǒng)中刪除干凈。

防范自啟動病毒

對付那些躲藏在移動硬盤或優(yōu)盤中的自啟動病毒，最有效的辦法，就是開啟最新版本的殺毒工具，自動掃描USB設備中的病毒，確保這些自啟動病毒程序在沒有運行之前，已經(jīng)被自動清除干凈。當然，我們平時使用的移動硬盤或優(yōu)盤分區(qū)多半是“干凈”的，要是讓殺毒工具每次自動掃描這樣的磁盤分區(qū)，需要耗費很長時間，顯然這會影響我們的平時工作。實際上，通過合理設置殺毒工具相關(guān)參數(shù)，僅讓其自動掃描陌生的移動硬盤或優(yōu)盤分區(qū)，就能有效防范潛藏在陌生硬盤分區(qū)中的自啟動病毒木馬程序了。

例如，本地計算機系統(tǒng)中假設安裝了NOD32殺毒工具，如果希望該殺毒工具自動掃描陌生的移動磁盤分區(qū)時，不妨先進入該殺毒工具界面中的“ESET Smart Security”設置框，在“文件系統(tǒng)實時防護”設置項處，按下“高級設置”按鈕，彈出對應工具高級設置對話框，接著點擊“可移動磁盤上的文件時采用高級啟發(fā)式掃描”處的“例外”按鈕，打開文件夾選擇設置框，從中將移動磁盤對應的分區(qū)符號依次選中并導入進來。經(jīng)過之前的設置操作，平時頻繁使用的移動磁盤插入到本地計算機系統(tǒng)后，殺毒工具是不會對它進行掃描查殺的，而有陌生的USB設備插入到本地時，殺毒工具就會對它自動掃描查殺了，這樣就能很好地防范自啟動病毒程序的攻擊了。

限制自啟動病毒

如果我們能夠提前采取措施，限制自啟動病毒程序的運行權(quán)限，那么日后本地計算機即使不小心被感染了自啟動病毒，該病毒也會由于無權(quán)運行而不能發(fā)作，那么本地計算機受到安全攻擊的機率就小多了?，F(xiàn)在，我們只要按照下面的操作，為自啟動病毒之外的幾個可信任程序授予運行權(quán)限，其他程序都不授予運行權(quán)限：

首先依次點擊“開始”|“運行”選項，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，進入系統(tǒng)組策略編輯窗口。在該組策略編輯界面左側(cè)列表中，找到“用戶配置”|“管理模板”|“系統(tǒng)”節(jié)點，雙擊目標節(jié)點下面的“只運行指定的Windows應用程序”選項。

其次在“只運行指定的Windows應用程序”選項設置框中，選中“已啟用”選項，激活并單擊“顯示”按鈕，打開“顯示內(nèi)容”對話框，如圖6所示，按下“添加”按鈕，打開添加項目設置框，導入可信任應用程序的具體路徑信息，確認后退出設置對話框。

同樣地，依次將其他可信任應用程序，手工添加到“只運行指定的Windows應用程序”列表中，添加操作結(jié)束后，按下“確定”按鈕，這樣在本地計算機系統(tǒng)中除了那些可信任應用程序外，其他任何程序包括自啟動病毒程序，都將無權(quán)自動啟動運行。