病毒防治：清除***從它的寄生地開始

當提到***和流氓軟件這些字樣時，不知道有多少網民痛心疾首，甚至也讓許多網民束手無策。就從最近在IT界上發生了無數次事件來說吧，9月12日晚上11時37分，著名的搜索引擎機構-北京百度公司被******，隨後，這次***使百度搜索服務在全國各地出現了近30分鐘的故障，從而使百度不能提供正常的服務，最近一段時間以來，百度公司負面事件不斷；專業提供虛擬主機以及域名服務商-北京新網數碼信息技術有限公司（簡稱：新網）接二連三地被******，新網被黑後幾天，國內另一域名註冊和虛擬主機服務提供商-創聯萬網國際信息技術北京有限公司（簡稱：中國萬網）也被***們大規模的***，其次就是流氓軟件的泛濫成災，導致許多用戶的機器成爲病毒的棲息地，用戶拼命地用各種各樣的殺毒軟件去幹掉它們，甚至重裝系統或者格式化硬盤，中文域名的搶注與被搶注問題等等，朋友們，事實就擺在我們面前，我們該拿什麼出來挽救自己的網絡呢？我們怎樣行動起來呢？

***病毒的寄生所：註冊表

現在最讓網民頭痛的除了***、病毒之外，而註冊表一直都是很多***和病毒“青睞”的寄生場所，除此之外恐怕就是那種修改註冊表的惡意代碼了，它們不僅隨意篡改用戶IE瀏覽器的各種屬性，如標題欄、起始頁等等，甚至有時還會在註冊表中加入一些特殊的鍵值來達到禁用註冊表編輯或限制程序運行的目的，最可惡的是，有些***你通過各種清除它的方法首先把它幹掉了，可是你重新啓動你的機器時，***死而復生了,例如說曾讓許多網民痛恨的7939***病毒。面對如此猖獗的惡意代碼，我們豈能坐以待斃，那我們怎麼做到一人防守萬人(***病毒以及流氓軟件等等帶有破壞性的東東)難攻呢？

當某天我們打開自己的電腦或者在上網的路途中，發現自己的機器像是蝸牛在爬行時，甚至同一個網頁不斷在自己眼前跳舞，一分鐘之內就可以連續跳100步舞曲之上，最後直到資源耗盡死機，說到這裏，我想有意識的人應該會覺悟得到，我的電腦中毒了。有些人不禁在問，我是電腦盲，我還是第一次用電腦呢，我該怎麼做才能把病毒一網打盡呢？這個問題問得好，對於一些電腦新手來說，註冊表是個很難理解的一組詞語，簡單來說的話，註冊表就是操作系統的數據庫，相當於一個國家的金庫，裏面存放着許多金銀財寶以及國家祕密，那我們通過什麼樣的方法進入呢？在XP/2000/2003等等WINDOWS系列的操作系統中,我們可以通過下面這個方法，看到電腦的左下角一個”開始”菜單，然後我們用鼠標點擊它一下，再點擊”運行”此選項，我們進入”運行”工作環境中，我們在空白框中輸入這樣的英文字母, regedit，最後點擊確定就可以進入註冊表編輯器倉庫了，緊接着我們就可以進入下一個環節了。

檢查註冊表以及設置註冊表

一、檢查註冊表中HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run以及HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce，查看鍵值中有沒有自己不熟悉的自動啓動文件，擴展名一般爲EXE，然後記住***程序的文件名，再在整個註冊表中搜索，凡是看到了一樣的文件名的鍵值就要毫不留情地刪除，接着到電腦中找到***文件的藏身地將其徹底刪除。

二、檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Explorer＼Main中的幾項(如Local Page)，如果發現鍵值被修改了，只要根據你的判斷改回去就行了。

三、檢查HKEY_CLASSES_ROOT＼inifile ＼shell＼open＼command和HKEY_CLASSES_ROOT ＼txtfile＼shell＼open＼command等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來，很多病毒就是通過修改.txt、.ini等的默認打開程序而清除不了的。

四、有些病毒會通過修改下面的鍵值來阻止用戶查看和修改註冊表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

DisableRegistryTools =

爲了阻止用戶利用.REG文件修改註冊表鍵值，以下鍵值也會被修改來顯示一個內存訪問錯誤窗口

例如:Win32.Swen.B 病毒會將缺省健值修改爲:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(Default) = "cxsgrhcl.exe

showerror"

五、取消“默認共享”

安全隱患:大家都知道在windows 2000/xp/2003中，系統默認開啓了一些“共享”，它們是ipc$、c$、d$、e$和admin$。很多***和病毒都是通過這個默認共享***操作系統的。

解決方法:要防範ipc$***應該將註冊表中“hkey_local_machine\system\currentcontrolset\control\lsa”的restrictanonymous項設置爲“1”，這樣就可以禁止ipc$的連接。

對於c$、d$和admin$等類型的默認共享則需要在註冊表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters”項。如果系統爲windows 2000 server或windows 2003，則要在該項中添加鍵值“autoshareserver”(類型爲“reg_dword”，值爲“0”)。如果系統爲windows 2000 pro，則應在該項中添加鍵值“autosharewks”(類型爲“reg_dword”，值爲“0”)。

六、拒絕activex控件的惡意騷擾

安全隱患:不少***和病毒都是通過在網頁中隱藏惡意activex控件的方法來私自運行系統中的程序，從而達到破壞本地系統的目的。爲了保證系統安全，我們應該阻止activex控件私自運行程序。

解決方法:activex控件是通過調用windows scripting host組件的方式運行程序的，所以我們可以先刪除“system32”目錄下的wshom.ocx文件，這樣activex控件就不能調用windows scripting host了。然後，在註冊表中找到“HKEY_LOCAL_MACHINE\software\ classes\clsid\{f935dc22-1cf0-11d0-adb9-00c04fd58a0b}”，將該項刪除。通過以上操作，activex控件就再也無法私自調用腳本程序了。

七、禁止病毒啓動服務

安全隱患:現在的病毒很聰明，不像以前只會通過註冊表的run值或msconfig中的項目進行加載。一些高級病毒會通過系統服務進行加載。那麼，我們能不能使病毒或***沒有啓動服務的相應權限呢?

解決方法:運行“regedit”指令啓用帶權限分配功能的註冊表編輯器。在註冊表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services”分支，接着點擊菜單欄中的“編輯→權限”，在彈出的services權限設置窗口中單擊“添加”按鈕，然後單擊”高級“->“立即查找”,將everyone賬號導入進來，然後選中“everyone”賬號，將該賬號的“讀取”權限設置爲“允許”，將它的“完全控制”權限取消。現在任何***或病毒都無法自行啓動系統服務了。當然，該方法只對沒有獲得管理員權限的病毒和***有效。

八、病毒自討苦吃

安全隱患:很多病毒都是通過註冊表中的run值進行加載而實現隨操作系統的啓動而啓動的，我們可以按照“禁止病毒啓動服務”中介紹的方法將病毒和***對該鍵值的修改權限去掉。

解決方法:運行“regedit”指令啓動註冊表編輯器。找到註冊表中的“HKEY_LOCAL_MACHINE\software\microsoft\windows\

currentversion\run”分支，將everyone對該分支的“讀取”權限設置爲“允許”，取消對“完全控制”權限的選擇。這樣病毒和***就無法通過該鍵值啓動自身了。

九、防止網頁腳本病毒執行

腳本病毒的執行離不開WSH。WSH全稱“Windows Scripting Host”,是微軟提供的一種基於32位Windows平臺的、與語言無關的腳本解釋機制，它使得腳本能夠直接在Windows桌面或命令提示符下運行。WSH所對應的程序“WScript.exe”是一個腳本語言解釋器，位於Windows所在的文件夾下，大多數系統在默認安裝後都會有WSH的身影。正是由於它使得腳本可以被執行，也因此給腳本病毒的傳播提供了途徑，方法：通過打開“我的電腦”，依次點擊[工具]→[文件夾選項]→[文件類型]在文件類型中將後綴名爲“VBS、VBE、JS、JSE、WSH、WSF”的所有針對腳本文件的操作均刪除。這樣這些文件就不會被執行了。

十、做好IE的安全設置

ActiveX控件和Java Applets有較強的功能，但也存在被人利用的隱患，網頁中的惡意代碼往往就是利用這些控件編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的***只有禁止這些惡意代碼的運行。IE對此提供了多種選擇，具體設置步驟是:“工具”→“Internet選項”→“安全”→“自定義級別”，建議您將ActiveX控件與Java相關選項禁用。謹慎些總沒有錯!

另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過，微軟在這裏隱藏了“我的電腦”的安全性設定，通過修改註冊表把該選項打開，可以使我們在對待ActiveX控件和Java Applets時有更多的選擇，並對本地電腦安全產生更大的影響。

下面是具體的方法:打開“開始”菜單中的“運行”，在彈出的“運行”對話框中輸入Regedit.exe，打開註冊表編輯器，點擊前面的“+”號順次展到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右邊窗口中找到DWORD值“Flags”，默認鍵值爲十六進制的21(十進制33)，雙擊“Flags”，在彈出的對話框中將它的鍵值改爲“1”即可，關閉註冊表編輯器。無需重新啓動電腦，重新打開IE，再次點擊“工具→Internet選項→安全”標籤，你就會看到多了一個“我的電腦”圖標，在這裏你可以設定它的安全等級。將它的安全等級設定高些，這樣的防範更嚴密。