趕跑病毒木馬遠離電腦死機故障

1、 趕跑病毒木馬 遠離電腦死機故障常在網(wǎng)上漂，哪能不挨刀。天天上網(wǎng)，殺毒軟件、防火墻雖然都安裝了，但由于殺毒軟件的滯后性等其他因素，總是會感染一些病毒、木馬，有時一不小心就會被裝上許多惡意軟件，這些“家伙”是導(dǎo)致我們系統(tǒng)死機、不穩(wěn)定的罪魁禍首，下面我們就和大家一起來清除他們。 這時的首要任務(wù)就是要清除病毒、木馬及惡意軟件，IT八哥網(wǎng)()建議進入安全模式查殺。開機時，按住鍵上的F8鍵，在出現(xiàn)的系統(tǒng)啟動菜單中選擇安全模式，進入安全模式后進行病毒查殺。對于惡意軟件建議選擇多款惡意軟件配合清除，效果比較好。這里重點推薦360安全衛(wèi)士，主要是除了惡意軟件清理外，還具體很多其他實用的功能。為了防止惡意軟件更

2、改注冊表中一些和IE瀏覽器相關(guān)的選項，等上網(wǎng)的時候再次重新下載、安裝惡意軟件，修復(fù)IE瀏覽器顯得比較重要?？梢赃\行360安全衛(wèi)士，單擊“高級”，單擊“修復(fù)IE”標簽，然后單擊“立即修復(fù)”按鈕修復(fù)IE瀏覽器（圖1）。圖1除了惡意軟件，一些病毒會將自己注冊為系統(tǒng)的服務(wù)項，這時在“系統(tǒng)配置實用程序”中隱藏系統(tǒng)服務(wù)的方法不能很好的解決，特別是除了系統(tǒng)服務(wù)之外，如果服務(wù)項有很多的話就很難判斷哪些有可能是病毒了。這里推薦瑞星的卡卡助手，利用卡卡助手的服務(wù)功能，可以更方便的判別一些服務(wù)是否為病毒或木馬程序。運行卡卡助手，單擊“系統(tǒng)啟動項管理”，再單擊左側(cè)的“服務(wù)項”，在右側(cè)的服務(wù)列表中單擊右鍵，在彈出的快捷

3、菜單中分別選中“隱藏微軟已簽名的項”和“隱藏瑞星已簽名的項”，這時就會剩下極少數(shù)幾項了，根據(jù)名稱就可大致判斷是否是病毒了。選中懷疑為病毒的選項，單擊右鍵，在彈出的快捷菜單中選擇“刪除當前選中的項”（圖2）。經(jīng)過這樣的兩個實用小工具軟件的幫助，我們成功的剿殺了系統(tǒng)中隱藏的病毒木馬，讓系統(tǒng)恢復(fù)了平日的“寧靜”！推薦閱讀：輕松解決盤符打不開的病毒最近Autorun.inf病毒越來越多，也越來越厲害，最近就碰上了一種，雙擊盤符打不開，連在右鍵菜單中選擇“打開”也提示錯誤。 要知道里面保存了很多有用的資料，如果格式化的話就全沒了，難道就沒有辦法了嗎？無意之中發(fā)現(xiàn)了一種超簡單的解決辦法。打開資源管理器，在

4、左側(cè)目錄樹中點擊受感染的盤符，這時在右側(cè)的內(nèi)容窗格中，便顯示出分區(qū)內(nèi)的內(nèi)容了。找到Autorun.inf文件，雙擊打開，找到調(diào)用的目標，連同Autorun.inf文件一起刪除搞定。除了上面這種方法外，也可以在打開“我的電腦”后，在地址欄中直接輸入對應(yīng)的盤符（類似于“F:”的形式）來打開。小提示：病毒一般都是隱藏屬性，因此需要在“文件夾選項”中勾選“顯示所有文件”，并取消“隱藏受保護的操作系統(tǒng)文件（推薦）”選項的選擇，這樣才能找到病毒文件。堵住系統(tǒng)自動運行，堵住病毒木馬不管你遇到的是什么病毒，它想霸占你的系統(tǒng)，侵害你的文件，大部分都要在每次系統(tǒng)重啟時將自己加入自動運行，如果我們有方法讓它喪失這個

5、能力，那么你將遠離大多數(shù)病毒木馬。 改注冊表就想自動運行 不行病毒木馬一般都通過修改注冊表將自己設(shè)置為自動運行，我們可以針對他們修改的三種方式，來設(shè)置相應(yīng)的三種對策：1.設(shè)置注冊表自啟動項為everyone只讀權(quán)限（Run、RunOnce、RunService），防止木馬、病毒通過自啟動項目啟動。2.設(shè)置.txt、.com、.exe、.inf、.ini、.bat等文件關(guān)聯(lián)為everyone只讀權(quán)限，防止木馬、病毒通過文件關(guān)聯(lián)啟動。3.設(shè)置注冊表HKLMSYSTEMCurrentControlSetServices為everyone只讀權(quán)限，防止木馬、病毒以“服務(wù)”方式啟動。我們特地為大家準備了

6、一個批處理文件，只要你下載后運行一下，就可以完成上述的權(quán)限設(shè)置，一次免除后顧之憂（點擊下載批處理文件）。白名單 只運行許可的Windows應(yīng)用程序設(shè)置白名單可以有效地防范外來的惡意程序在你系統(tǒng)中運行或者設(shè)置自動運行，方法簡單有效。第一步：首先以管理員賬戶（Administrator）登錄WinXP。第二步：選擇“開始”菜單里面的“運行”項，輸入“gpedit.msc”命令，然后單擊“確定”按鈕打開“組策略編輯器”窗口。第三步：在“組策略”窗口的左側(cè)窗格中依次展開“用戶配置管理模板系統(tǒng)”分支，然后在右側(cè)窗格中雙擊“只運行許可的Windows應(yīng)用程序”策略項打開“只運行許可的Windows應(yīng)用程序

7、屬性”窗口。第四步：在“只運行許可的Windows應(yīng)用程序?qū)傩浴贝翱谥修D(zhuǎn)到“策略”選項卡，先選擇“啟動”項，再單擊“顯示”按鈕打開“顯示內(nèi)容”對話框。第五步：在“顯示內(nèi)容”對話框中單擊“添加”按鈕打開“添加項目”對話框，再在相應(yīng)文本框中輸入允許運行程序的命令行，然后單擊“確定”按鈕將它添加到“顯示內(nèi)容”對話框的列表中。當設(shè)置完成后，在WinXP中除了列表中指定的程序外，其他程序一律將被禁止運行，更別說病毒想方設(shè)法將自己加入到自動運行的行列，也無法在系統(tǒng)啟動時運行。限制病毒木馬容身之所通過瀏覽網(wǎng)頁時下載到本地被執(zhí)行的病毒木馬，很多時候?qū)戎懺谝恍┏Ｒ姷南到y(tǒng)目錄中，比如Temp、system3

8、2、drivers等，我們對這寫目錄做一定的權(quán)限設(shè)定，很容易將它們攔阻，防止它們自動運行。這里要求我們的C盤必須是NTFS格式的，這樣才能設(shè)置權(quán)限，這里我們以Temp目錄為例：第一步：選擇“我的電腦工具文件夾選項查看去掉隱藏受保護的系統(tǒng)文件選中顯示所有文件和文件夾確定”。做這一步是為了顯示出temp文件夾，以便設(shè)置權(quán)限。第二步：右鍵單擊“temp文件夾屬性安全高級”，現(xiàn)在開始設(shè)置，選擇名稱為你用戶名的權(quán)限項目，點擊“編輯”。在“遍歷文件夾/運行文件”勾選“拒絕”，依次確定。小提示：FAT2NTFS如果你的C盤不是NTFS格式，可以過DOS命令來轉(zhuǎn)換：convert c： /fs：ntfs，而且

9、不必強制卸下該卷，繼續(xù)下一步，系統(tǒng)會計劃下次重啟后執(zhí)行。當然，比如著名的sxs病毒，除了C盤之外，也在其它盤的根目錄下生成兩個或三個文件autorun.inf、sxs.exe、autorun.pif，為了預(yù)防這種木馬我們也可以通過設(shè)置權(quán)限來預(yù)防。不過，我們要付出的代價就是不能在根目錄下創(chuàng)建文件了。方法如下：第一步：右鍵單擊D盤，選擇“屬性安全組或用戶名稱”，這里只留一個你的用戶名。第二步：選擇“高級”，在“應(yīng)用到”列表中選擇該文件夾或文件。這里的意思是說只對于本目錄有效，下級目錄我們?nèi)钥梢詫憚h。第三步：設(shè)置“創(chuàng)建文件/寫入數(shù)據(jù)”為“拒絕”；設(shè)置“文件夾/附加數(shù)據(jù)”為“拒絕”。這樣一個個性化的防

10、止木馬病毒自動運行批處理程序就打造完畢。教你一招從根本上廢除木馬功能的招數(shù)1.前言： 木馬的危害，在于它能夠遠程控制你的電腦。當你成為“肉雞”的時候，別人（控制端）就可以進入你的電腦，偷看你的文件、盜竊密碼、甚至用你的QQ發(fā)一些亂七八糟的東西給你的好友木馬大量出現(xiàn)，在于它有著直接的商業(yè)利益。一旦你的網(wǎng)上銀行密碼被盜，哭都來不及了。正因為如此，現(xiàn)在木馬越繁殖越多，大有“野火燒不盡”之勢。木馬與病毒相互配合、相得益彰，危害越來越大。毫不夸張地說：木馬就是從網(wǎng)線上走進你家里的小偷強盜。防殺木馬，已成為現(xiàn)代電腦用戶的必修課。2.原理：木馬危害，雖然手段繁多，但是萬變不離其宗，其中必需的步驟是在你的系統(tǒng)

11、里建立管理員用戶。本文就是從這一環(huán)節(jié)入手，阻止木馬建立用戶。這樣，即便你的電腦已經(jīng)感染了木馬病毒，但是由于不能建立用戶，木馬就不能發(fā)揮遠程控制的功能。換句話說，就是廢了它，讓他變成垃圾。當然，垃圾也需要清理，但這已經(jīng)不在本文的討論范圍之內(nèi)了。3.方法：運行 regedt32.exe 打開你的注冊表，里面有一個目錄樹：打開其中目錄 HKEY_LOCAL_MACHINE再打開其中目錄 SAM再打開其中目錄 SAM再打開其中目錄 Domains再打開其中目錄 Account再打開其中目錄 Groups好了，就是這個 Groups 就是負責(zé)建立用戶的。（注意，在進行下一步操作之前，你先要對Groups

12、進行備份，必要的時候，可以還原。）刪掉它，系統(tǒng)就不能建立用戶了。無論木馬怎樣折騰，都無法建立用戶，更談不上提升為管理員了。這個目錄里的文件如果被刪除，是沒有辦法還原的。備份方法：右鍵點擊 Groups 選擇“導(dǎo)出”，給導(dǎo)出的文件起個名字，保存好，就可以了。4.說明：可能你進入注冊表的時候，只能看到第一個 SAM 目錄，其他的都看不到。別著急，那是因為你權(quán)限不夠，右鍵點擊相應(yīng)目錄選擇“權(quán)限”，把你自己（通常是 Administrators ）設(shè)置為“允許完全控制”就可以了。以此類推，一直找到 Groups 目錄為止。5.還原：很簡單，找到你導(dǎo)出的那的文件，直接點擊就可以了。由于刪除 Groups

13、 目錄之后，你將不能使用控制面板中的“用戶帳戶”和“本地用戶和組”的功能，因此，備份文件很重要。需要使用相應(yīng)功能的時候，先還原一下，就跟以前一樣了。當然，如果你是一個個人用戶，一直都是你一個人使用這臺計算機，那就無所謂了。至此，文章也結(jié)束了。有興趣的朋友，可以一試。但愿能幫上你的忙，祝你好運。如何查殺運行狀態(tài)下的EXE、DLL病毒一、對于啟動進程的EXE病毒的查殺 1、在進程中可以發(fā)現(xiàn)的單進程EXE病毒或木馬程序，如：svch0st.exe，有些殺毒軟件可以發(fā)現(xiàn)且可以停掉進程，殺掉病毒；有些殺毒軟件會報警提示用戶或形成日志，需要用戶作進一步判斷后，再手工停掉相應(yīng)進程，殺掉病毒。2、在進程中可以

14、發(fā)現(xiàn)的雙進程EXE病毒或木馬程序，由于手工方式不能同時停掉兩個進程，當我們手工掉其中一個進程后，另一個進程會將該進程重新啟動。針對這種情況殺毒軟件也無能為力，若兩個都是非系統(tǒng)進程，我們可以通過任務(wù)管理器/進程/結(jié)束進程樹的方式停掉該進程，殺掉病毒；也可以用工具 冰刃IceSword中文件/設(shè)置/禁止進線程創(chuàng)建，來停掉其中一個進程，再停掉另一個進程，殺掉病毒。3、對于像被熊貓燒香感染的EXE文件，上述兩種手工處理無效，因為無法手工清除受病毒感染的文件中的病毒，這時只能向殺毒軟件廠商提供病毒樣本，等待殺毒軟件升級后再進行處理，或重新安裝操作系統(tǒng)。二、 對于采用進程插入技術(shù)，隱藏了進程DLL病毒的查

15、殺目前的一些高級病毒或木馬程序，采用進程插入技術(shù)，隱藏了進程，將其DLL動態(tài)鏈接庫文件插入現(xiàn)有的系統(tǒng)進程中，常見的插入explorer.exe和winlogon.exe中，目前殺毒軟件針對這種動態(tài)鏈接庫的病毒查殺，效果都不理想，有時殺毒軟件甚至?xí)霈F(xiàn)誤判，如賽門鐵克誤殺系統(tǒng)兩個關(guān)鍵動態(tài)鏈接庫文件事件。對于插入explorer.exe中DLL文件，大部分可以利用工具IceSword中模塊/卸除，將DLL文件卸載，然后手工刪除DLL病毒文件。對于插入winlogon.exe中DLL文件，少數(shù)可以利用工具IceSword中模塊/卸除，將DLL文件卸載，然后手工刪除DLL病毒文件；大部分是不可以卸除的

16、，對于上述兩種不可以卸除的情況，需要在安全模式下，手工刪除DLL病毒文件。另外，目前還有些病毒或木馬程序有時還會感染U盤，在U盤產(chǎn)生Autorun.inf和相應(yīng)的EXE文件。巧妙從進程中判斷出病毒和木馬任何病毒和木馬存在于系統(tǒng)中，都無法徹底和進程脫離關(guān)系，即使采用了隱藏技術(shù)，也還是能夠從進程中找到蛛絲馬跡，因此，查看系統(tǒng)中活動的進程成為我們檢測病毒木馬最直接的方法。但是系統(tǒng)中同時運行的進程那么多，哪些是正常的系統(tǒng)進程，哪些是木馬的進程，而經(jīng)常被病毒木馬假冒的系統(tǒng)進程在系統(tǒng)中又扮演著什么角色呢？請看本文。 病毒進程隱藏三法當我們確認系統(tǒng)中存在病毒，但是通過“任務(wù)管理器”查看系統(tǒng)中的進程時又找不出

17、異樣的進程，這說明病毒采用了一些隱藏措施，總結(jié)出來有三法：1.以假亂真系統(tǒng)中的正常進程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你發(fā)現(xiàn)過系統(tǒng)中存在這樣的進程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對比一下，發(fā)現(xiàn)區(qū)別了么？這是病毒經(jīng)常使用的伎倆，目的就是迷惑用戶的眼睛。通常它們會將系統(tǒng)中正常進程名的o改為0，l改為i，i改為j，然后成為自己的進程名，僅僅一字之差，意義卻完全不同。又或者多一個字母或少一個字母，例如explorer.exe和iexplore.exe本

18、來就容易搞混，再出現(xiàn)個iexplorer.exe就更加混亂了。如果用戶不仔細，一般就忽略了，病毒的進程就逃過了一劫。2.偷梁換柱如果用戶比較心細，那么上面這招就沒用了，病毒會被就地正法。于是乎，病毒也學(xué)聰明了，懂得了偷梁換柱這一招。如果一個進程的名字為svchost.exe，和正常的系統(tǒng)進程名分毫不差。那么這個進程是不是就安全了呢？非也，其實它只是利用了“任務(wù)管理器”無法查看進程對應(yīng)可執(zhí)行文件這一缺陷。我們知道svchost.exe進程對應(yīng)的可執(zhí)行文件位于“C:WINDOWSsystem32”目錄下（Windows2000則是C:WINNTsystem32目錄），如果病毒將自身復(fù)制到“C:WI

19、NDOWS”中，并改名為svchost.exe，運行后，我們在“任務(wù)管理器”中看到的也是svchost.exe，和正常的系統(tǒng)進程無異。你能辨別出其中哪一個是病毒的進程嗎？3.借尸還魂除了上文中的兩種方法外，病毒還有一招終極大法借尸還魂。所謂的借尸還魂就是病毒采用了進程插入技術(shù)，將病毒運行所需的dll文件插入正常的系統(tǒng)進程中，表面上看無任何可疑情況，實質(zhì)上系統(tǒng)進程已經(jīng)被病毒控制了，除非我們借助專業(yè)的進程檢測工具，否則要想發(fā)現(xiàn)隱藏在其中的病毒是很困難的。系統(tǒng)進程解惑上文中提到了很多系統(tǒng)進程，這些系統(tǒng)進程到底有何作用，其運行原理又是什么？下面我們將對這些系統(tǒng)進程進行逐一講解，相信在熟知這些系統(tǒng)進程后

20、，就能成功破解病毒的“以假亂真”和“偷梁換柱”了。svchost.exe常被病毒冒充的進程名有：svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由svchost.exe進程來啟動。而系統(tǒng)服務(wù)是以動態(tài)鏈接庫(DLL)形式實現(xiàn)的，它們把可執(zhí)行程序指向scvhost，由cvhost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫來啟動服務(wù)。我們可以打開“控制面板”“管理工具”服務(wù)，雙擊其中“ClipBook”服務(wù)，在其屬性面板中可以發(fā)現(xiàn)對應(yīng)的可執(zhí)行文件路徑為“C:WINDOWSsystem32clipsrv.exe”

21、。再雙擊“Alerter”服務(wù)，可以發(fā)現(xiàn)其可執(zhí)行文件路徑為“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服務(wù)的可執(zhí)行文件路徑為“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通過這種調(diào)用，可以省下不少系統(tǒng)資源，因此系統(tǒng)中出現(xiàn)多個svchost.exe，其實只是系統(tǒng)的服務(wù)而已。在Windows2000系統(tǒng)中一般存在2個svchost.exe進程，一個是RPCSS(RemoteProcedureCall)服務(wù)進程，另外一個則是由很多服務(wù)共享的一個svchost.exe；而在WindowsXP中

22、，則一般有4個以上的svchost.exe服務(wù)進程。如果svchost.exe進程的數(shù)量多于5個，就要小心了，很可能是病毒假冒的，檢測方法也很簡單，使用一些進程管理工具，例如Windows優(yōu)化大師的進程管理功能，查看svchost.exe的可執(zhí)行文件路徑，如果在“C:WINDOWSsystem32”目錄外，那么就可以判定是病毒了。explorer.exe常被病毒冒充的進程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經(jīng)常會用到的“資源管理器”。如果在“任務(wù)管理器”中將explorer.exe進程結(jié)束，那么包括任務(wù)欄、桌面、以

23、及打開的文件都會統(tǒng)統(tǒng)消失，單擊“任務(wù)管理器”“文件”“新建任務(wù)”，輸入“explorer.exe”后，消失的東西又重新回來了。explorer.exe進程的作用就是讓我們管理計算機中的資源。explorer.exe進程默認是和系統(tǒng)一起啟動的，其對應(yīng)可執(zhí)行文件的路徑為“C:Windows”目錄，除此之外則為病毒。iexplore.exe常被病毒冒充的進程名有：iexplorer.exe、iexploer.exeiexplorer.exe進程和上文中的explorer.exe進程名很相像，因此比較容易搞混，其實iexplorer.exe是Microsoft Internet Explorer所產(chǎn)生

24、的進程，也就是我們平時使用的IE瀏覽器。知道作用后辨認起來應(yīng)該就比較容易了，iexplorer.exe進程名的開頭為“ie”，就是IE瀏覽器的意思。iexplore.exe進程對應(yīng)的可執(zhí)行程序位于C:ProgramFilesInternetExplorer目錄中，存在于其他目錄則為病毒，除非你將該文件夾進行了轉(zhuǎn)移。此外，有時我們會發(fā)現(xiàn)沒有打開IE瀏覽器的情況下，系統(tǒng)中仍然存在iexplore.exe進程，這要分兩種情況：1.病毒假冒iexplore.exe進程名。2.病毒偷偷在后臺通過iexplore.exe干壞事。因此出現(xiàn)這種情況還是趕快用殺毒軟件進行查殺吧。rundll32.exe常被病毒

25、冒充的進程名有：rundl132.exe、rundl32.exe。rundll32.exe在系統(tǒng)中的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù)，系統(tǒng)中存在多少個Rundll32.exe進程，就表示Rundll32.exe啟動了多少個的DLL文件。其實rundll32.exe我們是會經(jīng)常用到的，他可以控制系統(tǒng)中的一些dll文件，舉個例子，在“命令提示符”中輸入“rundll32.exe user32.dll,LockWorkStation”，回車后，系統(tǒng)就會快速切換到登錄界面了。rundll32.exe的路徑為“C:Windowssystem32”，在別的目錄則可以判定是病毒。spoolsv.exe常被病

26、毒冒充的進程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系統(tǒng)服務(wù)“Print Spooler”所對應(yīng)的可執(zhí)行程序，其作用是管理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。如果此服務(wù)被停用，計算機上的打印將不可用，同時spoolsv.exe進程也會從計算機上消失。如果你不存在打印機設(shè)備，那么就把這項服務(wù)關(guān)閉吧，可以節(jié)省系統(tǒng)資源。停止并關(guān)閉服務(wù)后，如果系統(tǒng)中還存在spoolsv.exe進程，這就一定是病毒偽裝的了。限于篇幅，關(guān)于常見進程的介紹就到這里，我們平時在檢查進程的時候如果發(fā)現(xiàn)有可疑，只要根據(jù)兩點來判斷：1.仔細檢查進程的文件名；2.檢查其路徑。通過這兩點，一般

27、的病毒進程肯定會露出馬腳。找個管理進程的好幫手系統(tǒng)內(nèi)置的“任務(wù)管理器”功能太弱，肯定不適合查殺病毒。因此我們可以使用專業(yè)的進程管理工具，例如Procexp。Procexp可以區(qū)分系統(tǒng)進程和一般進程，并且以不同的顏色進行區(qū)分，讓假冒系統(tǒng)進程的病毒進程無處可藏。運行Procexp后，進程會被分為兩大塊，“System Idle Process”下屬的進程屬于系統(tǒng)進程，explorer.exe”下屬的進程屬于一般進程。我們介紹過的系統(tǒng)進程svchost.exe、winlogon.exe等都隸屬于“System Idle Process”，如果你在“explorer.exe”中發(fā)現(xiàn)了svchost.e

28、xe，那么不用說，肯定是病毒冒充的。用Ftype命令讓病毒白白運行朋友電腦中了病毒，我去看了一下，是個QQ病毒，由于挺長時間沒有上網(wǎng)搜集病毒方面消息了，我對這些病毒的特性也不甚了解。我先打開“進程管理器”，將幾個不太熟悉的程序關(guān)閉掉，但剛關(guān)掉一個，再去關(guān)閉另外一個時，剛才關(guān)閉的那個馬上又運行了。沒辦法，我決定從注冊表里先把啟動項刪除后，再重啟試試，結(jié)果，我剛把那些啟動項刪除，然后刷新一下注冊表，那些啟動項又還原了，看來一般的方法是行不通了，上網(wǎng)下載專殺工具后，仍然不能殺掉。我知道這是因為病毒正在運行，所以無法刪除。 由于這臺電腦只有一個操作系統(tǒng)，也沒辦法在另一個系統(tǒng)下刪除這些病毒，這時怎么辦呢

29、？如果大家也遇到這種情況時，我向大家推薦一種方法。第一步：在“開始運行”中輸入CMD，打開“命令提示符”窗口。第二步：輸入ftype exefile=notepad.exe %1，這句話的意思是將所有的EXE文件用“記事本”打開。這樣原來的病毒就無法啟動了。第三步：重啟電腦，你會看見打開了許多“記事本”。當然，這其中不僅有病毒文件，還有一些原來的系統(tǒng)文件，比如：輸入法程序。第四步：右擊任何文件，選擇“打開方式”，然后點擊“瀏覽”，轉(zhuǎn)到WindowsSystem32下，選擇cmd.exe，這樣就可以再次打開“命令提示符”窗口。第五步：運行ftype exefile=%1 %*，將所有的EXE文件

30、關(guān)聯(lián)還原?，F(xiàn)在運行殺毒軟件或直接改回注冊表，就可以殺掉病毒了。第六步：在每一個“記事本”中，點擊菜單中的“文件另存為”，就可看到了路徑以及文件名了。找到病毒文件，手動刪除即可，但得小心，必須確定那是病毒才能刪除。建議將這些文件改名并記下，重啟后，如果沒有病毒作怪，也沒有系統(tǒng)問題，再進行刪除，最后介紹一下Ftype的用法在Windows中，F(xiàn)type命令用來顯示及修改不同擴展名文件所關(guān)聯(lián)的打開程序。相當于在注冊表編輯器中修改“HKEY_CLASSES_ROOT”項下的部分內(nèi)容一樣。Ftype的基本使用格式為：Ftype 文件類型=打開方式/程序比如：像上例中的ftype exefile=note

31、pad.exe %1，表示將所有文件類型為EXE(exefile表示為EXE類型文件)的文件都通過“記事本”程序打開，后面的%1表示要打開的程序本身(就是雙擊時的那個程序)。ftype exefile=%1 %*則表示所有EXE文件本身直接運行(EXE 可以直接運行，所以用表示程序本身的%1即可)，后面的%*則表示程序命令后帶的所有參數(shù)(這就是為什么EXE文件可以帶參數(shù)運行的原因)。個人IE安全優(yōu)化技巧幾則打開C:Program FilesInternet Explorer文件夾，右擊Iexplore.exe文件，選擇“發(fā)送到桌面快捷方式”，再右擊桌面上新建的快捷方式，即可在后面添加參數(shù)，要注

32、意的是，程序名和參數(shù)之間要用空格分開，如果有多個參數(shù)，則也必須將多個參數(shù)用空格分開。 1.給IE穿上一件免費防彈衣在Iexplore.exe后面添加-nohome參數(shù)，這樣雙擊此快捷方式則可以打開一個空白IE窗口,不但能夠加快啟動速度，更重要的是，即使我們的主頁被惡意程序修改了，利用此法也不會自動打開惡意網(wǎng)頁。2.輕松修復(fù)IE如果安裝的是Windows XP SP2，發(fā)現(xiàn)IE總是不大對勁，比如打不開某些網(wǎng)站經(jīng)常無反應(yīng)。此時可新建一個指向“C:Program FilesInternet ExplorerIEXPLORE.EXE” /rereg的名為重新注冊IE組件的快捷方式，雙擊即可重新注冊IE

33、組件，之后就能解決前面的問題。3.本地網(wǎng)絡(luò)均兼顧在IEXPLORE.EXE后面添加一個-e參數(shù)，會讓IE瀏覽器以Explorer方式來瀏覽，這時不僅可以看到網(wǎng)站的內(nèi)容，同時還可在左側(cè)窗格操作本地文件。4.拯救“死掉”的IEIE不聽使喚已是家常便飯，這時，你首先在桌面上建立一個指向“C:Program FilesInternet ExplorerIEXPLORE.EXE” -new的快捷方式，將其命名為“開啟新的IE”。當你發(fā)現(xiàn)當前的IE不受控制時，按下Win+D鍵回到桌面并雙擊此快捷方式，可以啟動另一個IEXPLORE進程，可以在任務(wù)管理器中看到多個IEXPLORE進程），而且此IE可以保證你

34、在不重新啟動系統(tǒng)的前提下仍可以正常瀏覽網(wǎng)站，可以解決一時之急。5.其他參數(shù)-k參數(shù)可以讓IE工作在全屏方式下， -remote參數(shù)可以在Unix平臺上啟動另一個IE進程，-slf參數(shù)會讓IE連接到默認的主頁，而且會從緩存中打開默認主頁。-v參數(shù)會顯示出IE當前的版本（Unix平臺上適用）。重新注冊IE組件1、IE莫名跳窗應(yīng)該是惡意廣告程序作怪，可以按以下方法修復(fù)：重新注冊IE項，修復(fù)IE注冊。從開始-運行輸入命令 regsvr32 actxprxy.dll 確定輸入命令 regsvr32 shdocvw.dll 確定2、跳窗網(wǎng)頁可能保留在HOSTS，一經(jīng)上網(wǎng)就先觸發(fā)該網(wǎng)址為默認，就會自動打開。

35、檢查HOSTS：用記事本在C:WINDOWSsystem32driversetc目錄下打開HOSTS在里面檢查有沒有網(wǎng)址，有則刪除?；蛟谇懊婕?保存后屏蔽掉。教你幾招讓黑客遠離你的網(wǎng)絡(luò)本文想告知普通電腦用戶的是，防止電腦成為別人的“肉雞”，和攻擊者抓“肉雞”一樣超級簡單，并且行之有效。您只要認識到如果成為“肉雞”，會很受傷，你一定會拒絕被任何人控制。做到這幾點，攻擊者想抓住你，門兒都沒有。 言歸正傳，防止成為“肉雞”的，你只需要注意以下幾點：要點1：盜版Windows XP存在巨大風(fēng)險，需要對這樣立即進行安全性改造。如果你的操作系統(tǒng)是其它技術(shù)人員安裝，或者有可能是盜版XP，比

36、如電腦裝機商的*版本，蕃茄花園XP，雨木林風(fēng)XP，龍卷風(fēng)XP等。這樣的系統(tǒng)，很多是無人值守安裝的。安裝步驟非常簡單，你把光盤放進電腦，出去喝茶，回來就可能發(fā)現(xiàn)系統(tǒng)已經(jīng)安裝完畢。這樣的系統(tǒng)，最大的缺陷在哪兒呢？再明白不過，這種系統(tǒng)的管理員口令是空的，并且自動登錄。也就是說，任何人都可以嘗試用空口令登錄你的系統(tǒng)，距離對于互聯(lián)網(wǎng)來說，根本不是障礙。改造方法：立即修改administrator用戶口令，口令使用字母和其它特殊字符的組合，長度不低于8位。改變登錄方式，要求必須按ctrl+alt+del才可以登錄。要點2：任何時候離開你的電腦，建議拔掉網(wǎng)線，不能斷線的計算機，建議立即鎖定，不要讓陌生人能夠

37、物理的接觸到你的計算機。隨便找一個windows PE的光盤（深山紅葉修復(fù)工具盤等），用這種光盤引導(dǎo)，可輕易修改你的管理員登錄密碼，修改你的注冊表信息，當然也包括寫入病毒，再啟動病毒程序。曾經(jīng)有個例子，上海某白領(lǐng)的網(wǎng)上銀行一次性被云南的黑客劃走數(shù)10萬元。對于一般的網(wǎng)上銀行來說，大眾版通常限制了一天取款1000元左右，是小額支付，一旦丟失賬號，也不至于損失特別巨大。對于專業(yè)版網(wǎng)上銀行來說，如果數(shù)字證書是存儲在本機計算機，當你較長時間離開你的電腦時，攻擊者可以遠程控制你的電腦，在你的電腦上轉(zhuǎn)移財產(chǎn)。這和你本地進行在線銀行業(yè)務(wù)沒有任何區(qū)別。對于使用移動數(shù)字證書的網(wǎng)上銀行用戶，千萬注意，用完就拔掉數(shù)

38、字證書，不要給攻擊者任何機會。解決辦法：當你需要較長時間離開電腦時，鎖定電腦，或拔掉網(wǎng)線。要點3：確保啟用網(wǎng)絡(luò)防火墻對于互聯(lián)網(wǎng)用戶來說，網(wǎng)絡(luò)防火墻（注意，這里指Firewall，不是很多人認為的病毒實時監(jiān)控）是隔離你和外界的一道關(guān)口，正確啟用和配置防火墻，將會使你減少很多直接面對攻擊的機會。在你的系統(tǒng)有漏洞未修補時，防火墻可能是唯一可保護你的電腦安全的解決方案。但是，不要以為開啟了防火墻就萬事無憂了，防火墻基本只是攔截由外到內(nèi)（由互聯(lián)網(wǎng)到本機）通信，由內(nèi)向外的訪問，很容易使用各種手段進行欺騙，木馬就是這樣逃避防火墻完成盜竊任務(wù)的。盡管，防火墻不是總有效，但有防火墻比沒有強很多，是必須要啟用的。

39、要點4：切實關(guān)注安全漏洞信息，及時使用各種補丁修復(fù)工具，提升系統(tǒng)安全性系統(tǒng)漏洞在正式公布前，通常會被黑客利用很長時間，這就是通常說的0day攻擊，這樣的攻擊也越來越常見。漏洞涉及Windows 操作系統(tǒng)文件和其它應(yīng)用軟件，但風(fēng)險最大的仍是Windows 系統(tǒng)漏洞。應(yīng)用軟件漏洞的利用會受到較多的環(huán)境制約，通常風(fēng)險相對較低。最近廣泛引起人們關(guān)注的是Flash player漏洞，攻擊者可利用這個漏洞運行任意指定的代碼。解決方案：能用Windows Update的，一定要用，讓W(xué)indows進行自動更新。看到右下角Windows Update正在工作的圖標，別給阻止了。部分盜版用戶不能正常使用Wind

40、ows Update或Microsoft Update的，建議使用第三方漏洞修復(fù)工具，比如金山清理專家的漏洞掃描修復(fù)模塊。要點5：安裝使用殺毒軟件，并經(jīng)常檢查是否工作正常，是否可以進行病毒特征的更新不要把安全問題只交給殺毒軟件來負責(zé)，安全是系統(tǒng)工程，殺毒軟件只是其中的一環(huán)。總是先有病毒，才會有殺毒軟件更新。在很多情況下，安裝殺毒軟件之后，還 是會中各種各樣的病毒。但這不能說明殺毒軟件不必要，相反，殺毒軟件是非常重要的，如果沒有殺毒軟件，你的系統(tǒng)可能會更糟。越來越多的病毒為了入侵你的系統(tǒng)，首先會嘗試將殺毒軟件廢掉。破壞殺毒軟件的功能，可能比殺毒軟件對付病毒還要容易。因為破壞者的目標很明確，就是市面最流行的軟件，針對這幾種安全軟件做手腳是很容易的。并且，病毒制造者不象殺毒軟件那樣，必須考慮每個更新帶來的兼容性問題，攻擊者只關(guān)注木馬需要完成的任務(wù)，其它后果，病毒制造者是不用花很多功夫去考慮的。木馬病毒制造者是這樣痛恨殺毒軟件，以至于目前有相當多的木馬入侵后，首先會去破壞殺毒軟件，只要破壞者愿意，有針對性