手动防止病毒入侵

jsjdhgh

１、首先确保您的系统自动播放功能已经关闭
关闭方法：
①、组策略（Windows XP Professional ↑）
开始菜单-->运行-->输入：GPEDIT.MSC-->确定
-->计算机配置
-->管理模板
-->系统-->关闭自动播放-->设置-->已启用 & 所有驱动器-->确定
-->用户配置
-->管理模板
-->系统-->关闭自动播放-->设置-->已启用 & 所有驱动器-->确定
②、Tweak UI（Microsoft Powertoys for Windows XP）
-->My Computer
-->AutoPlay
-->Types
-->取消 「Enable Autoplay for CD and DVD drives」
-->取消 「Enable Autoplay for removable drives」
-->OK
③、Windows 优化大师
-->系统优化
-->系统安全优化
-->勾选 「禁止光盘、U盘等所有磁盘自动运行」-->优化
④、REGEDIT（WINDOWS 2000/XP/2003）
-->开始菜单-->运行-->输入：REGEDIT-->确定
-->HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer
-->NoDriveTypeAutoRun-->0x000000ff (255)
-->HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer
-->NoDriveTypeAutoRun-->0x000000ff (255)
（没有的话就自己新建一个，类型：DWORD，值：ff / 255 「十六进制 / 十进制」）
２、其次确保可以正确的显示所有文件
启用方法：
①、文件夹选项（WINDOWS 2000/XP/2003）
我的电脑-->工具-->文件夹选项
-->查看
-->取消 「隐藏受保护的操作系统文件(推荐)」
-->隐藏文件和文件夹
-->勾选 「显示所有文件和文件夹」
②、病毒破坏导致无法显示隐藏文件（WINDOWS 2000/XP/2003）
-->开始菜单-->运行-->输入：REGEDIT-->确定
-->HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
-->CheckedValue-->0x00000001 (1)
-->重复①的步骤
（注意：「CheckedValue」一定要是\"DWORD\"类型，病毒有时不是修改数值而是删除正常的新建一个\"REG_SZ\"类型的导致其失效，删除病毒建立的自己建立一个\"DWORD\"并赋值\"1\"就可以了）
③、使用第三方资源管理器
类如：TotalCommand、WINRAR、ACDSEE都可以取代Explorer成为不错的管理器，推荐使用 Total Command。
３、查看及清除Autorun型病毒
首先启动「资源管理器」：
①、按 WIN+E 组合键（WIN键就是键盘下边角带有WINDOWS徽标的那个键）
②、在「开始」菜单按钮上单击鼠标右键，选择「资源管理器」
③、打开「我的电脑」-->查看-->浏览器栏-->文件夹
在右侧的「文件夹」列表栏里定位到驱动器的根目录，右侧会显示出所有文件，找到Autorun.inf，用「记事本」打开它。
（之所以这么麻烦是因为即使禁止了自动播放，病毒伪装的右键菜单类如“打开”、“资源管理器”依然会迷惑人导致再次中招）
４、Autorun.inf 结构分析
这个文件存放着所有自动播放的参数设置，属于 WINDOWS INI 类型：
[SECTIONS]结构
-->[AutoRun]\"这个就是AutoRun的配置SECTION标志
[ENTRIES]结构
-->Auto \"定义自动打开的程序文件路径及文件名
-->shellexecute\"定义自动播放的程序
-->Open \"同上
-->Icon \"定义显示的图标
-->Shell\\Name\\\"定义右键菜单
-->Shell\\Name\\Command \"定义右键菜单命令
５、Autorun.inf 举例分析
[autorun]
OPEN=SETUP.EXE /AUTORUN \"自动播放及打开驱动器时自动运行根目录下的 SETUP.EXE
ICON=SETUP.EXE,1\"在我的电脑里驱动器图标显示为 SETUP.EXE 的图标资源ID为1的图标
shell\\configure=打开(&O)...\"显示右键菜单「打开」
shell\\configure\\command=SETUP.EXE \"设置右键菜单「打开」指向的程序
shell\\install=资源管理器(&X)... \"显示右键菜单「资源管理器」
shell\\install\\command=SETUP.EXE \"设置右键菜单「资源管理器」指向的程序
６、开始清除 Autorun.inf 病毒
①、在已经关闭「自动播放」且干净的操作系统上新插入的U盘或移动硬盘
：直接删除 Autorun.inf 和 其所指向的程序（在「资源管理器」模式下）
②、已经中招的机器上
：首先终止病毒进程并删除其在注册表中的项目，之后重复①的步骤，限于篇幅，清除方法不详细说明。
７、系统自动启动项目在注册表中的路径（WINDOWS 2000/XP/2003）
\"HKCU 代表 HKEY_CURRENT_VERSION_USER
\"HKLM 代表 HKEY_LOCAL_MACHINE
-->HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell
（正常的情况应该是：\"Explorer.exe\"，如果不是这个值或多了部分内容就有问题，恢复它）
-->HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\load
-->HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\run
-->HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\load
-->HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\run
（正常情况下这些项应该不存在，存在也应该是空白无内容的，否则就有问题，删除掉）
-->HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
-->HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
-->HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx
-->HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunAsServices
-->HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
-->HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
-->HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx
-->HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunAsServices
（大部分的自动启动项目都会在这里记录，包括病毒，这些项的\"(默认)\"应该是空的即「数据」显示\"(数值未设置)\"，否则就按\"DEL\"键清空）
-->HKCU\\Control Panel\\Desktop\\Scrnsave.exe
（系统屏幕保护，病毒也喜欢用自己替换它）
-->HKLM\\System\\CurrentControlSet\\Services
（系统后台服务，包括隐藏的服务，病毒也会伪装成服务在这里注册一个项目达到自动启动的目的）
（运行：\"Services.msc\"可以查看系统服务）
-->HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects
（IE浏览器的 插件 项目）
-->HKCU\\Software\\Microsoft\\Internet Explorer\\UrlSearchHooks
（IE浏览器的 HOOK 项目）
-->HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions
（IE浏览器工具栏）
-->HKLM\\System\\CurrentControlSet\\Services
（系统驱动，顽固删除不掉的病毒多是采取此方式躲避查杀，需要到DOS或PE模式下清除）
-->HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options
（劫持，部分病毒会在此建立对许多常见软件和系统应用程序的劫持）
８、特别注意事项
第７项的内容若非是对系统非常熟悉的朋友请不要随意改动，否则系统轻则无法正常使用，重则瘫痪。
有些系统文件夹比如 System Volume Information 和 Recycled 也是病毒喜欢藏匿的地方
①、System Volume Information
：这是「系统还原」的文件夹，每个分区下都会有一个，首先要关闭系统还原，禁用系统还原的服务才能删除掉，如果删除不掉，那么分区很可能是NTFS格式，设置用户权限后就可以安全清除掉了
②、Recycled
：这是「回收站」在每个分区建立的文件夹，如果删除不掉同样说明分区可能是NTFS格式，设置用户权限删除即可。
③、如果不是NTFS却删除不掉很可能是其中藏匿的病毒在运行，终止其进程就可以删除掉了。
９、推荐的软件
IceSword、Autoruns、PE TOOLS、Tweak UI、Unlocker、Total Command、RegistryWorkshop、Process Monitor（FILE MON & REG MON）
（上面这一系列软件基本可以拿下所有病毒不成问题，当然还需要一张引导光盘，最好是带WINDOWS PE的，本人耗时一个月自己制作了一张，光盘及光盘盒的封面都有设计，有谁需要可以和我联系）
Sandboxie
（这款软件中文名称叫：沙盘，是个媒介，类似于虚拟机，可以让所有的程序在它的平台上运行，所有的操作都是对它进行的并且可以随时清除及终止程序，并不会对系统造成伤害）

scarscc

学习一下

暧武夷

jsjdhgh 发表于 2011-5-11 15:45
１、首先确保您的系统自动播放功能已经关闭
关闭方法：
①、组策略（Windows XP Professional ↑）

是自己写的还是度娘告诉你的

Memiose

支持下！

wuyongliang

哈哈  百度也是个好老师