個人系統的安全保護
只要我們上網,病毒,木馬似乎就是個永恆的話題.我在這裡把自己在處理一些簡易木馬或者是非法的啟動項的手工清除方法,高手當然都懂,我只是看到論壇裡經常有人遇到這種問題,在這裡也只是交流我的經驗,不足之處也請指教:網上的相關好教程也很多。
1.對待一般的非法隨系統啟動的程式如彈出網頁,打個某些程式,還有在後臺執行的木馬等可以隨機啟動的地方很多,在這裡我只介紹常被利用的地方,有的不常見。如果是win98,winme,winxp系統,直接在[開始]選單的[執行]中輸入msconfig -6,進入後,如下圖所示:
在啟動項裡,根據“命令”欄,可以看到啟動程序的路徑及命令引數等,找到可疑的,將對勾去掉,一般的如果只有啟動專案,後面的命令欄什麼也沒有,通常為非法的。如上圖,可只留下防毒的kav,防火牆pfw,ctfmon三個,其它的如MSMSGS是MSN的啟動程序,另外兩個更是不知道,去掉選擇。如果確定某個程序是可疑的,記下路徑,重啟後刪除之。
如果是2000系統,因為沒有msconfig,可以從98或是XP系統中系統中copy一份,也照樣可以用,只是會彈出找不到**的提示,確定後就能用,最方便的是用第三方的,毒霸很早出的一個登錄檔清理工具,比較方便。
我比較喜歡直接對登錄檔修改,因為這樣雖然麻煩,但是也是最直接的:
執行 regedit,進入登錄檔編輯器,啟動項在登錄檔中主要有兩個大位置,分別是第二項和第三項,HKEY_CURRENT_USER和HKEY_CURRENT_MACHINE
先依次展開:
+HKEY_CURRENT_USER
+ Software
+Microsoft
+Windows
+CurrentVersion
Run
RunOnce 將這兩個項的右側的無用啟動項,直接刪除。
再依次展開 :
+HKEY_CURRENT_MACHINE
+ SOFTWARE
+Microsoft
+Windows
+CurrentVersion
Run
RunOnce
RunOnceEx
將以Run開頭的這幾個項,都開啟看看,有很多木馬之類的不是在run中,而是在runonceex等中,隨機啟動的通常都在這兩個地方藏的:
有時候會有這樣的情況,有些刪除不了,或者有的一刪除,重新整理又出來了,這說明是有程序在監測登錄檔,這樣的話,就需要先結束掉非法的程序,結束的方法在下面提到。並且現在的木馬都有三程序的,所以非常的難纏。
重啟,再開啟啟動項時,如果啟動組中原來刪除的又來了,那麼這個就需要用下面的方法來對付。
2.對付捲土重來的程序
記下他的準備路徑,將他的啟動選項去掉。
這個軟體使用非常簡單,執行後,所有的程序都會顯示出來,找到啟動項中類似的程序名,記下他的具體位置,結束掉程序後,找到位置刪除掉,如果怕誤刪,可以直接給程式改副檔名也行。
這個軟體非常的實用,我一般都放U盤中,用這個軟體所殺的程序,通常是防毒軟體查不出來是病毒的,其實也就是說,如果程序帶病毒性質的,最好配合防毒軟體。
另外就是對付木馬的過程中,最好斷開網路。
由於水平有限,只希望這些會對您有些許啟示。