自啟動病毒之局域防護

白冰

有道是“常在江湖飄，哪有不挨刀”，經常上網沖浪時，遭遇病毒、木馬程序是不可避免的事情。當病毒、木馬程序悄悄攻擊了本地計算機系統后，為了達到自動傳播或攻擊目的，它們常常會將自身移植到系統啟動項中，希望日后能跟隨Windows系統啟動而自動運行發作，很顯然，自啟動的病毒木馬程序危害性很大。為了遠離自啟動病毒攻擊，我們可以采取措施，及時清除潛藏的自啟動病毒，同時利用一些特色的小工具，加強對系統的局域防護，以達到防患于未然的效果！

清除自啟動病毒

使用殺毒軟件清除自啟動病毒，是一件很簡單的事情。不過，有些狡猾的自啟動病毒，偽裝效果很好，能有效躲避殺毒軟件的清除。這個時候，我們就需要采取手工操作，來對自啟動病毒執行定點清除操作。

從注冊表中清除

自啟動病毒經常會將自身移植到系統注冊表啟動項中，這樣每次啟動Windows系統時，它們就能自動發作運行了。一般來說，系統注冊表啟動項往往位于“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce”、“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”等分支位置處，依次將鼠標定位到這些分支上，檢查對應分支下有沒有陌生的鍵值，要是看到存在陌生鍵值，那需要查看它們的鍵值數值，根據數值內容找到自啟動病毒源文件，將它們清除干凈，同時也刪除陌生鍵值。

為了防止自啟動病毒木馬程序再次將惡意文件拷貝到注冊表啟動項中，我們還應該限制上述注冊表分支的訪問權限，禁止任何病毒木馬程序拷貝內容到對應注冊表分支下面。例如，要限制用戶向“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”分支寫入內容時，可以使用“Win+R”快捷鍵，調出系統運行對話框，輸入“regedit”命令并回車，彈出系統注冊表編輯窗口，選中目標注冊表分支選項，依次選擇“編輯”、“權限”命令，打開權限設置對話框（如圖1所示），將這里的“everyone”帳號權限調整為“讀取”，將其他賬號的權限都調整為“拒絕”，同時刪除陌生用戶賬號，確認后退出設置對話框，并重新啟動計算機系統即可。

從配置程序清除

大家知道，通過Windows系統內置的系統配置實用程序，可以快速管理系統所有自啟動類型的應用程序。所以，一些自啟動病毒程序在傳播擴散時，往往會在系統配置實用程序的啟用標簽頁面中，留下蛛絲馬跡，我們只要在這里檢查，或許也能找到并刪除一部分自啟動的病毒木馬程序。

首先使用“Win+R”快捷鍵，調出系統運行對話框，輸入“msconfig”命令并回車，切換到系統配置實用程序設置框，選擇“啟用”標簽，打開如圖2所示的標簽設置頁面，我們能在這里看到所有已經開啟運行的應用程序名稱。

其次檢查這里是否有陌生應用程序的“身影”，如果看到有陌生程序存在，應該立即將它們的自啟動狀態取消。不過，要想準確識別陌生應用程序的“身份”，需要了解常見的病毒知識，特別是對Windows系統正常啟動項要了如指掌，實在不行，可以上網搜索相關信息，以提高陌生程序的識別成功率。

檢查陌生程序的“命令”列，我們還能識別出目標應用程序的可執行文件路徑，如果某個陌生程序的保存位置指向系統分區根目錄，或者指向system32文件夾，那么它們很有可能就是自啟動病毒木馬文件。此時，不妨打開系統資源管理器窗口，從中找到可疑的自啟動病毒木馬文件，并將它們及時從系統中刪除掉，這能在一定程度上防護自啟動病毒的攻擊。

從組策略中清除

Windows系統專門有一個啟動文件夾，所有存儲在該文件夾中的可執行程序，就可以隨著Windows系統的啟動，而自動開啟運行，該文件夾一般指向“C：＼Documents and Settings＼用戶名＼開始菜單程序＼啟動”路徑，平時這里應該什么也沒有。由于它的作用很特別，一些自啟動病毒程序往往會將病毒文件拷貝到啟動文件夾中，以達到自動傳播擴散目的。所以，定期進入系統資源管理器窗口，檢查系統啟動文件夾中的內容，看看有沒有陌生的可執行程序存在，是尋找自啟動病毒的一種有效方法。

不過，位于系統啟動文件夾中的自啟動病毒木馬文件，很容易被殺毒軟件發現并清除，為了躲避專業工具的清除，很多狡猾的自啟動病毒木馬程序，有時會悄悄調整系統組策略相關設置，強制Windows系統在登錄成功后，自動執行躲藏在暗處的病毒木馬文件。為了對付這類自啟動病毒，我們可以進行如下設置操作，來尋找并清除潛藏在系統組策略中的自啟動病毒：

首先依次選擇“開始”|“運行”命令，展開系統運行文本框，輸入“gpedit.msc”命令并按“確定”按鈕，開啟系統組策略編輯器運行狀態。在組策略編輯界面左側窗格中，找到“用戶配置”|“管理模板”|“系統”|“登錄”節點，用鼠標雙擊該節點下的“在用戶登錄時運行這些程序”組策略，進入如圖3所示的組策略屬性對話框。

其次看看“已啟用”選項的選中狀態是否正常，當發現該選項已被選中時，只要簡單地點擊“顯示”按鈕，切換到應用程序默認啟動列表窗口，默認狀態下，這里應該不會有任何內容，要是發現有陌生程序出現時，那幾乎就能斷定該陌生應用程序就是自啟動病毒程序的“化身”。這個時候，應該立即選中陌生程序，將其從列表中清空，再依照源路徑找到隱藏自啟動病毒的原始執行文件，將病毒文件從系統中手工清除掉，這樣就能避免躲藏在系統組策略中的自啟動病毒程序，再次威脅本地計算機安全了。

從服務列表清除

還有部分自啟動病毒程序偽裝效果更好，它們直接以系統服務形式悄悄發作運行，讓普通殺毒工具不能準確識別到它們的“蹤跡”。這個時候，我們需要從系統服務列表中，尋找自啟動病毒程序的“身影”，下面就是具體的檢查步驟：

首先使用“Win+R”快捷鍵，調出系統運行對話框，輸入“services.msc”命令并回車，進入系統服務列表窗口。由于自啟動病毒木馬程序的運行類型，都屬于自啟動類型，我們應該選擇“啟動類型”選項卡，按啟動類型重新對系統服務進行排序，以便讓那些自啟動類型的系統服務自動位于窗口最頂端，如圖4所示，這樣可以迅速地識別出病毒偽裝的自啟動服務。

當看到有陌生服務出現時，應該用鼠標雙擊之，切換到對應服務的屬性設置框，按下“停止”按鈕，強制陌生程序服務繼續運行。同時，從“常規”選項設置頁面中，弄清楚陌生程序服務的原始文件路徑，再打開系統資源管理器界面，從中定位到陌生程序文件，并將它們從系統中清除干凈，謹防它們日后繼續攻擊本地系統。如果我們無法確認陌生服務就是病毒服務時，可以嘗試借助一些安全工具進行探測，例如啟動IceSword程序，進入到該程序的“查看”選項設置頁面，單擊“服務”按鈕，就能直觀地看到系統中的所有服務，通過該方法探測隱藏型病毒服務很方便。

還有部分自啟動病毒木馬程序，會將偽裝好的服務隱藏在系統注冊表服務節點下面，因此，我們還要檢查系統注冊表服務節點選項，看看“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”節點下面，有沒有陌生鍵值的“身影”（如圖5所示），要是找到的話，應該立即刪除陌生鍵值，同時將相關病毒文件清除掉。當然，為了防止自啟動病毒木馬再次以服務形式躲藏在注冊表服務節點下面，我們應該打開目標分支權限編輯對話框，將“everyone”賬號權限調整為“讀取”，將其他權限調整為“拒絕”，同時刪除其他陌生用戶賬號，最后將計算機系統重新啟動一下即可。

為病毒接種疫苗

通過優盤、移動硬盤等外部設備感染的病毒程序，往往都屬于自啟動型病毒，我們可以使用Panda USB Vaccine這款特色的疫苗軟件，為本地計算機中的USB接口接種防病毒疫苗，以徹底拒絕任何來歷不明的自啟動程序開啟運行，這樣就能有效避免自啟動病毒的攻擊了。

從網上下載獲取Panda USB Vaccine工具的安裝文件后，按照默認設置將其安裝成功后，打開該程序的主操作界面，按下其中的“Vaccinate Computer”按鈕，就能對特定計算機的USB接口接種病毒疫苗了，從而可以對自啟動病毒程序進行免疫。接種操作完成后，我們會在對應程序界面中看到綠色勾號標記，日后所有來自USB接口的自啟動病毒程序，都會被自動禁止運行。當然，那些來自CD光盤和DVD光盤的自啟動病毒，也會被禁止運行的。

攔截自啟動病毒

自啟動病毒一個很重要的特點，就是自動在系統后臺悄悄運行，一般安全工具很難識別并攔截到它。為了能在第一時間對自啟動病毒程序進行攔截，我們需要請“無毒空間”工具來幫忙，它能對任何在系統前臺、后臺自動運行的程序進行攔截，根據攔截提示，就能判斷是否有病毒木馬程序在系統后臺嘗試啟動運行了。

從www.virusfree.com.cn這個官方網站中下載獲得最新版本的“無毒空間”工具，該工具不需要進行一些設置就能安裝成功。之后，啟動該工具，它會要求我們選擇需要掃描的驅動器，我們可以按照默認設置，選中所有的磁盤分區。接著，開始對磁盤文件執行掃描操作，只是該掃描操作不是對病毒程序的掃描，而是對系統文件信息進行一個統計。依照磁盤空間的大小，該掃描操作耗費的時間也會有明顯不同。下面，該工具需要對本地計算機中的所有磁盤分區進行免疫處理，該免疫處理操作是在Windows系統后臺悄悄運行的，我們的正常工作基本上是不會受到明顯干擾的。免疫處理操作其實就是檢查本地計算機中是否存在可疑的文件信息，當免疫處理任務結束后，該工具會自動彈出相關提示信息。最后，再將計算機系統重新啟動一下，這樣“無毒空間”工具就能攔截自啟動病毒程序，并保護系統的運行安全了。

日后，無論是自啟動病毒運行的程序，還是我們用戶自己運行的程序，“無毒空間”工具都會對目標程序文件進行自動攔截，通過彈出攔截提示界面，我們能發現自動運行的程序標題名稱，要是發現目標程序的確是自己設定要求運行的，那么只要按下提示界面中的“知道了”按鈕即可。要是我們在沒有執行任何程序的情況下，出現這個攔截提示對話框，那就意味著此時系統中有自啟動病毒程序在后臺悄悄運行。為了獲取自啟動病毒程序的詳細信息，只要按下提示界面中的“查看詳情”按鈕，根據這些信息，就能順藤摸瓜地找到自啟動病毒的可執行文件路徑，然后再采取措施將病毒的可執行文件徹底從系統中刪除干凈。

防范自啟動病毒

對付那些躲藏在移動硬盤或優盤中的自啟動病毒，最有效的辦法，就是開啟最新版本的殺毒工具，自動掃描USB設備中的病毒，確保這些自啟動病毒程序在沒有運行之前，已經被自動清除干凈。當然，我們平時使用的移動硬盤或優盤分區多半是“干凈”的，要是讓殺毒工具每次自動掃描這樣的磁盤分區，需要耗費很長時間，顯然這會影響我們的平時工作。實際上，通過合理設置殺毒工具相關參數，僅讓其自動掃描陌生的移動硬盤或優盤分區，就能有效防范潛藏在陌生硬盤分區中的自啟動病毒木馬程序了。

例如，本地計算機系統中假設安裝了NOD32殺毒工具，如果希望該殺毒工具自動掃描陌生的移動磁盤分區時，不妨先進入該殺毒工具界面中的“ESET Smart Security”設置框，在“文件系統實時防護”設置項處，按下“高級設置”按鈕，彈出對應工具高級設置對話框，接著點擊“可移動磁盤上的文件時采用高級啟發式掃描”處的“例外”按鈕，打開文件夾選擇設置框，從中將移動磁盤對應的分區符號依次選中并導入進來。經過之前的設置操作，平時頻繁使用的移動磁盤插入到本地計算機系統后，殺毒工具是不會對它進行掃描查殺的，而有陌生的USB設備插入到本地時，殺毒工具就會對它自動掃描查殺了，這樣就能很好地防范自啟動病毒程序的攻擊了。

限制自啟動病毒

如果我們能夠提前采取措施，限制自啟動病毒程序的運行權限，那么日后本地計算機即使不小心被感染了自啟動病毒，該病毒也會由于無權運行而不能發作，那么本地計算機受到安全攻擊的機率就小多了。現在，我們只要按照下面的操作，為自啟動病毒之外的幾個可信任程序授予運行權限，其他程序都不授予運行權限：

首先依次點擊“開始”|“運行”選項，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，進入系統組策略編輯窗口。在該組策略編輯界面左側列表中，找到“用戶配置”|“管理模板”|“系統”節點，雙擊目標節點下面的“只運行指定的Windows應用程序”選項。

其次在“只運行指定的Windows應用程序”選項設置框中，選中“已啟用”選項，激活并單擊“顯示”按鈕，打開“顯示內容”對話框，如圖6所示，按下“添加”按鈕，打開添加項目設置框，導入可信任應用程序的具體路徑信息，確認后退出設置對話框。

同樣地，依次將其他可信任應用程序，手工添加到“只運行指定的Windows應用程序”列表中，添加操作結束后，按下“確定”按鈕，這樣在本地計算機系統中除了那些可信任應用程序外，其他任何程序包括自啟動病毒程序，都將無權自動啟動運行。