問:前兩天我打開了mail中的一個附件,因為那個mail的地址和我一個同事的地址很像,因此沒有多考慮就將附件下載打開了。不想這個附件是個病毒,它讓我的機器變的很慢,殺毒之后好像沒有太大作用。請問我該怎么辦? 答:病毒、木馬、和一些惡意軟件,往往都會對Widnows的注冊表下毒手,雖然破壞形式不盡相同,但是經(jīng)過分析它們的破壞手法并非無規(guī)律可循。這里列出了一些用戶系統(tǒng)中被易被修改的系統(tǒng)設(shè)置和注冊表項。建議再換用其他木馬專殺工具試一下,并再針對以下注冊表鍵值進行檢查,看看是否有被改動過的跡象。 系統(tǒng)設(shè)置文件 對于Widnows 9X系統(tǒng),常見的是病毒修改可能會更改autoexec.bat,只要在其中加入執(zhí)行病毒程序文件的語句即可在系統(tǒng)啟動時自動激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中將“shell=”更改。 注冊表鍵值 目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統(tǒng)注冊表的動作。它們修改的位置一般有以下幾個地方: 在系統(tǒng)啟動時自動執(zhí)行的程序 HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 在系統(tǒng)啟動時自動執(zhí)行的系統(tǒng)服務(wù)程序 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ 在系統(tǒng)啟動時自動執(zhí)行的程序,這是病毒最有可能修改/添加的地方 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command 說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行,以此類推,\txtfile\ 或者 \comfile\ 也可被更改,以便實現(xiàn)病毒自動運行的功能。 另外,有些健值還可能被利用來實現(xiàn)比較特別的功能: 有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 為了阻止用戶利用。REG文件修改注冊表鍵值,以下鍵值也會被修改來顯示一個內(nèi)存訪問錯誤窗口 例如:Win32.Swen.B 病毒 會將缺省健值修改為: HKCR egfile\shell\open\command\(Default) = “cxsgrhcl.exe showerror” 通過對以上地方的修改,病毒程序主要達(dá)到的目的是在系統(tǒng)啟動或者程序運行過程中能夠自動被執(zhí)行,已達(dá)到自動激活的目的。
編輯:北京信誠IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn
當(dāng)前位置:
