找出系统启动项中的病毒

     一.利用“系统配置实用程序”

     点击“开始”菜单→“运行”，输入“msconfig”运行“系统配置实用程序”。这是Windows管理系统启动的一个配置工具，通过它我们就可以揪出一部分随系统启动的病毒了。

     运行“系统配置实用程序”后，切换到“启动”标签，其中罗列着系统启动时会运行的应用程序，判断其中是否存在病毒等恶意程序需要一定的病毒知识，至少需要了解系统自带的启动项。在“命令”标签中会显示可执行程序的路径，我们尤其要注意的是位于每个分区根目录，以及%systemroot%\system32目录下的不常见或常见位置不对的可执行文件，在启动项中出现很可能就是病毒文件。

图1.系统配置实用程序

     小贴士：Windows 2000系统没有“系统配置实用程序”，我们可以从Windows XP中拷贝一份msconfig.exe到Windows 2000中，双击运行即可。msconfig.exe位于Windows XP的%systemroot%\PCHealth\HelpCtr\Binaries目录。

     二.启动文件夹

     在我们系统中有一个文件夹，任何文件放到这个文件夹中都可以实现随系统启动，这个文件夹位于：C:\Documents and Settings\用户名\「开始」菜单\程序\启动。由于它的特殊作用，病毒也喜欢把自身拷贝到这个文件夹中，因此这里也是我们要检查的地方。

     小贴士：通常情况下，“启动”是空的，如果里面有可执行文件存在，请仔细检查。

     三.注册表中的启动项

     注册表是病毒最喜欢藏身的地方，因为在注册表的启动项中动手脚，可以实现病毒随系统启动的效果。启动项位于注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处。

图2.注册表中的启动项

     在“运行”中输入“regedit”可以打开“注册表编辑器”，展开上述的两个位置，这时在“注册表编辑器”的右侧就会看到所有的启动项。如果发现了病毒，可以在键值上面点右键，选择“删除”即可。

     四.系统服务

     现在不少病毒会通过系统的“服务”来实现自动启动，因为通过服务启动更隐蔽也更安全。我们可以依次进入“控制面板”→“管理工具”→“服务”，查找是否存在病毒的服务。点击两下“启动类型”列表，可以优先查找“自动”启动的服务，因为病毒服务通常是自动启动的。

图3.检测系统服务

     如果你对病毒的服务不甚熟悉，也可以借助一些安全工具进行检测，例如IceSword，运行后进入“查看”标签，点击“服务”按钮，即可查看系统中的服务，尤其在检测病毒的隐藏服务时很有效。此外，System Repair Engineer、360安全卫士等工具也可以检测系统服务。

图4.通过安全工具检测

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-12-01 15:28:28,点击:65824