讓漏網(wǎng)病毒無力回天

引言： 對付網(wǎng)絡(luò)病毒，很多人常常簡單地認(rèn)為用殺毒軟件就能萬事大吉。殊不知，現(xiàn)在殺毒軟件能力有限，加之病毒木馬程序極度狡猾，常有一些漏網(wǎng)病毒文件，躲過殺毒軟件的“圍剿”。這些漏網(wǎng)病毒不但隱蔽性強(qiáng)，而且還時(shí)刻滲透和破壞著系統(tǒng)，對系統(tǒng)帶來了相當(dāng)大的威脅。為此，需要想方設(shè)法，讓漏網(wǎng)病毒無力回天。

對付網(wǎng)絡(luò)病毒，很多人常常簡單地認(rèn)為“請”出殺毒軟件就能萬事大吉。殊不知，現(xiàn)在殺毒軟件能力有限，加之病毒木馬程序極度狡猾，常有一些漏網(wǎng)病毒文件躲過殺毒軟件的“圍剿”。這些漏網(wǎng)病毒不但隱蔽性強(qiáng)，而且還時(shí)刻滲透和破壞著系統(tǒng)，對系統(tǒng)帶來了相當(dāng)大的威脅。為此，需要想方設(shè)法，讓漏網(wǎng)病毒無力回天。

尋找漏網(wǎng)病毒蹤跡

為了逃避殺毒軟件的掃描檢測，漏網(wǎng)病毒常常會將自身隱藏到系統(tǒng)的暗角，以便讓各類安全工具對其可望不可及。這時(shí)，只能手動尋找其蹤跡了。

1.從臨時(shí)文件中找

在長時(shí)間工作過程中，Windows系統(tǒng)會生成各式各樣的臨時(shí)文件，它們集中存儲在系統(tǒng)臨時(shí)文件夾中，殺毒軟件對其往往無可奈何。正是基于這點(diǎn)，漏網(wǎng)病毒才會將自身混跡其中，以等待機(jī)會卷土重來。所以，及時(shí)刪除各種臨時(shí)文件，既能讓漏網(wǎng)病毒無機(jī)可乘，又能有效節(jié)約寶貴的磁盤空間。

例如在Windows 7系統(tǒng)環(huán)境下，進(jìn)入系統(tǒng)文件 夾“X:User用戶名AppdataLocalTemp”，可看到所有的臨時(shí)文件，選中并刪除，就能讓所有漏網(wǎng)病毒全部從計(jì)算機(jī)中消失。值得注意的是，在默認(rèn)狀態(tài)下，“Appdata”文件夾處于不可顯示狀態(tài)，用戶只有先打開“文件夾選項(xiàng)”對話框，勾選“顯示所有文件和文件夾”選項(xiàng)，才能讓該文件夾正常顯示出來。

2.從系統(tǒng)還原點(diǎn)找

為了保護(hù)數(shù)據(jù)和系統(tǒng)安全，有些用戶會啟用系統(tǒng)還原功能，及時(shí)為重要內(nèi)容做好備份操作。而殺毒軟件無法清理系統(tǒng)還原文件夾，這讓不少漏網(wǎng)病毒趨之若騖。為了對付這種類型的漏網(wǎng)病毒，需定期清除系統(tǒng)還原點(diǎn)，以鏟除網(wǎng)絡(luò)病毒的“溫床”。

在Windows 8系統(tǒng)環(huán)境下，要?jiǎng)h除所有的系統(tǒng)還原點(diǎn)時(shí)，可使用“Windows+X”組合鍵，調(diào)出系統(tǒng)快捷訪問菜單，單擊“控制面板”命令，進(jìn)入系統(tǒng)控制面板窗口，逐一雙擊“系統(tǒng)安全”、“系統(tǒng)”圖標(biāo)，在其后界面的左側(cè)列表區(qū)域，選擇“系統(tǒng)保護(hù)”選項(xiàng)。在系統(tǒng)保護(hù)標(biāo)簽頁面中，選擇“配置”按鈕，單擊其后窗口中的“刪除”按鈕，可徹底刪除所有的系統(tǒng)還原點(diǎn)。

3.從引導(dǎo)記錄中找

一些相當(dāng)狡猾的漏網(wǎng)病毒，有時(shí)會將自身潛藏到系統(tǒng)的引導(dǎo)記錄中，只要用戶重新啟動計(jì)算機(jī)系統(tǒng)，漏網(wǎng)病毒就會借機(jī)進(jìn)入系統(tǒng)內(nèi)存并運(yùn)行。這種類型的病毒相當(dāng)難纏，用戶即使格式化硬盤也無法真正除掉病毒文件，畢竟其已深入到系統(tǒng)引導(dǎo)扇區(qū)中。為讓此類漏網(wǎng)病毒無力回天，只有重新創(chuàng)建引導(dǎo)扇區(qū)記錄，讓病毒文件無處藏身。

使用外力工具“DiskGenius”，即可輕松對付潛藏在系統(tǒng)引導(dǎo)扇區(qū)中的漏網(wǎng)病毒。先使用Windows PE重新啟動計(jì)算機(jī)系統(tǒng)，在Windows PE狀態(tài)下開啟目標(biāo)工具的運(yùn)行狀態(tài)，打開對應(yīng)程序主操作界面，依次單擊“磁盤”、“重建主引導(dǎo)記錄”菜單命令，確認(rèn)后目標(biāo)工具就會自動重新創(chuàng)建系統(tǒng)主引導(dǎo)記錄，潛藏在引導(dǎo)記錄中的漏網(wǎng)病毒文件就灰飛煙滅了。

如果不想重新創(chuàng)建系統(tǒng)主引導(dǎo)記錄時(shí)，不妨使用更強(qiáng)力的安全工具——“PowerTool”，來對引導(dǎo)記錄進(jìn)行強(qiáng)制修復(fù)。打開目標(biāo)工具的主操作窗口，逐一進(jìn)入“系統(tǒng)修復(fù)”、“主引導(dǎo)記錄”標(biāo)簽頁面，按下“檢測”或“強(qiáng)力檢測”按鈕，開始自動掃描測試系統(tǒng)引導(dǎo)區(qū)內(nèi)容，按下“自動修復(fù)主引導(dǎo)記錄”按鈕，就能達(dá)到刪除漏網(wǎng)病毒目的了。

圖1 注冊表編輯器

4.從系統(tǒng)文件中找

某些漏網(wǎng)病毒為了更好地躲避用戶，經(jīng)常會將自身偽裝成系統(tǒng)文件，甚至直接替換掉系統(tǒng)文件。要想對付這類漏網(wǎng)病毒文件，用戶只有選擇去修復(fù)系統(tǒng)文件。

以系統(tǒng)管理員權(quán)限登錄系統(tǒng)，依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入命令“sfc /scannow”并回車，確定后開始掃描測試所有系統(tǒng)文件。一旦有系統(tǒng)文件受到損壞時(shí)，正確放置系統(tǒng)安裝光盤到計(jì)算機(jī)中，執(zhí)行系統(tǒng)文件提取安裝操作，就能將被漏網(wǎng)病毒替換掉的系統(tǒng)文件恢復(fù)正常。當(dāng)然，如果無法成功執(zhí)行“sfc /scannow”命令時(shí)，不妨嘗試使用“sfc /scanonce”命令，讓系統(tǒng)下次啟動時(shí)自動掃描系統(tǒng)文件。

5.從系統(tǒng)注冊表找

有的漏網(wǎng)病毒會將自身拷貝到系統(tǒng)注冊表啟動項(xiàng)中，以實(shí)現(xiàn)隨系統(tǒng)自動啟動的目的。為了讓這種類型漏網(wǎng)病毒無力回天，可以進(jìn)行下面的操作來尋找并對付漏網(wǎng)病毒：

首先依次單擊“開始”、“運(yùn)行”命令，彈出運(yùn)行對話框，執(zhí)行“regedit”命令，打開系統(tǒng)注冊表編輯窗口，將鼠標(biāo)先定位到左側(cè)列表中的注冊表節(jié) 點(diǎn)“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”上（如圖1所示），檢查對應(yīng)節(jié)點(diǎn)下是否存在陌生鍵值，如果看到陌生鍵值，不妨通過雙擊鍵值找出漏網(wǎng)病毒的源頭文件，同時(shí)將其直接刪除，一并刪除注冊表中的陌生鍵值。

接著將鼠標(biāo)定位到注冊表節(jié)點(diǎn)“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun” 上，將該節(jié)點(diǎn)下的陌生鍵值所有病毒源文件依次刪除。此外，還要逐一檢查“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRunOnce”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunonce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”等注冊表節(jié)點(diǎn)，看看這些節(jié)點(diǎn)下是否存在陌生鍵值，如果存在，一定要及時(shí)將陌生鍵值和相關(guān)病毒文件刪除，這樣才能將潛藏在系統(tǒng)注冊表中的漏網(wǎng)病毒清除干凈。

不讓漏網(wǎng)病毒潛藏

找到并清除漏網(wǎng)病毒后并不意味著高枕無憂，因?yàn)槠淇赡茈S時(shí)會卷土重來。還需采取一勞永逸的措施，禁止其再次潛藏到Windows系統(tǒng)中！

圖2 權(quán)限設(shè)置

圖3 在用戶登錄時(shí)運(yùn)行這些程序設(shè)置

1.不讓潛藏到注冊表中

為防止漏網(wǎng)病毒程序日后再次將自身拷貝到系統(tǒng)注冊表啟動項(xiàng)中，不妨嘗試修改有關(guān)注冊表節(jié)點(diǎn)的操作權(quán)限，具體操作為：首先依次單擊“開始”、“運(yùn)行”命令，輸入“regedit”命令，切換到系統(tǒng)注冊表編輯窗口，選中“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”節(jié)點(diǎn)選項(xiàng)，再依次單擊“編輯”、“權(quán)限”命令，彈出權(quán)限設(shè)置對話框（如圖2所示），在這里將“everyone”帳號權(quán)限設(shè)置為“讀取”，將其他權(quán)限全部設(shè)置為“拒絕”，同時(shí)將其他普通賬號刪除掉，并單擊“確定”按鈕保存設(shè)置操作即可。同樣，將其他節(jié)點(diǎn)的“everyone”帳號權(quán)限設(shè)置為“讀取”，將普通賬號權(quán)限全部設(shè)置為拒絕。

2.不讓潛藏到組策略

有的漏網(wǎng)病毒隱蔽性很強(qiáng)，往往將自身潛藏到系統(tǒng)組策略中，這樣普通用戶甚至殺毒軟件都很難發(fā)現(xiàn)。可以采取下面的操作方法來配置系統(tǒng)組策略：

首先逐一點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，展開組策略編輯對話框，在該對話框的左側(cè)顯示區(qū)域，將鼠標(biāo)定位到“本地用戶和組”、“用戶配置”、“管理模板”、“系統(tǒng)”、“登錄”節(jié)點(diǎn)上。在指定節(jié)點(diǎn)的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊“在用戶登錄時(shí)運(yùn)行這些程序”選項(xiàng)，打開如圖3所示的選項(xiàng)設(shè)置框，取消“已啟用”選項(xiàng)的選中狀態(tài)，確認(rèn)后保存設(shè)置操作。

3.不讓潛藏到臨時(shí)目錄

系統(tǒng)臨時(shí)目錄是漏網(wǎng)病毒程序的一個(gè)好去處，倘若事先將系統(tǒng)臨時(shí)目錄“封殺”，日后漏網(wǎng)病毒就不能潛藏其中了：首先逐一單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟組策略編輯器。在該編輯界面的左側(cè)列表中，將鼠標(biāo)定位到“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“軟件限制策略”、“其他規(guī)則”節(jié)點(diǎn)上。

接著選中“其他規(guī)則”選項(xiàng)，用鼠標(biāo)右鍵單擊該選項(xiàng)，從彈出的右鍵菜單中執(zhí)行“新路徑規(guī)則”命令，在其后界面“路徑”位置處（如圖4所示），輸入系統(tǒng)臨時(shí)目錄路徑，或直接單擊“瀏覽”按鈕，將臨時(shí)目錄導(dǎo)入進(jìn)來。之后打開“安全級別”下拉列表，選擇“不允許”選項(xiàng)，確認(rèn)后漏網(wǎng)病毒程序就無法將自身潛藏到系統(tǒng)臨時(shí)目錄中了。

4.不讓潛藏到還原點(diǎn)中

Windows XP以上版本系統(tǒng)都支持系統(tǒng)還原功能，漏網(wǎng)病毒經(jīng)常會將自身隱藏到系統(tǒng)還原點(diǎn)中。可進(jìn)行如下操作關(guān)閉系統(tǒng)還原功能：

圖4 新建路徑規(guī)則

圖5 系統(tǒng)屬性

圖6 注冊表編輯器

右擊“我的電腦”或“計(jì)算機(jī)”圖標(biāo)，選擇“屬性”命令，彈出系統(tǒng)屬性設(shè)置對話框。點(diǎn)擊“系統(tǒng)還原”選項(xiàng)，切換到如圖5所示的對話框，勾選“在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”選項(xiàng)，點(diǎn)擊確認(rèn)。

5.不讓潛藏到主頁面中

有的漏網(wǎng)病毒會悄悄修改IE瀏覽器主頁面，同時(shí)將自身潛藏到默認(rèn)主頁面中去，用戶一旦進(jìn)入IE瀏覽器窗口，這些漏網(wǎng)病毒就能自動運(yùn)行。可以采取如下操作進(jìn)行設(shè)置：

首先在系統(tǒng)運(yùn)行對話框中，輸入“regedit”命令，開啟注冊表編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到注冊表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”節(jié)點(diǎn)上（如圖6所示），逐一點(diǎn)選“編輯”、“權(quán)限”命令，展開特定節(jié)點(diǎn)選項(xiàng)的權(quán)限設(shè)置對話框。在“組或用戶名稱”設(shè)置項(xiàng)處，將“everyone”的“讀取”權(quán)限設(shè)置為“允許”，將其他權(quán)限設(shè)置為“拒絕”，并且將其他一些陌生的用戶賬號全部刪除。

同樣地，再將鼠標(biāo)定位到“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”注冊表節(jié)點(diǎn)上，打開對應(yīng)節(jié)點(diǎn)的權(quán)限設(shè)置框，僅將“讀取”權(quán)限授予“everyone”賬號，刪除其他陌生賬號，最后重新啟動本地系統(tǒng)。