引言： 对付网络病毒，很多人常常简单地认为用杀毒软件就能万事大吉。殊不知，现在杀毒软件能力有限，加之病毒木马程序极度狡猾，常有一些漏网病毒文件，躲过杀毒软件的“围剿”。这些漏网病毒不但隐蔽性强，而且还时刻渗透和破坏着系统，对系统带来了相当大的威胁。为此，需要想方设法，让漏网病毒无力回天。

对付网络病毒，很多人常常简单地认为“请”出杀毒软件就能万事大吉。殊不知，现在杀毒软件能力有限，加之病毒木马程序极度狡猾，常有一些漏网病毒文件躲过杀毒软件的“围剿”。这些漏网病毒不但隐蔽性强，而且还时刻渗透和破坏着系统，对系统带来了相当大的威胁。为此，需要想方设法，让漏网病毒无力回天。

寻找漏网病毒踪迹

为了逃避杀毒软件的扫描检测，漏网病毒常常会将自身隐藏到系统的暗角，以便让各类安全工具对其可望不可及。这时，只能手动寻找其踪迹了。

1.从临时文件中找

在长时间工作过程中，Windows系统会生成各式各样的临时文件，它们集中存储在系统临时文件夹中，杀毒软件对其往往无可奈何。正是基于这点，漏网病毒才会将自身混迹其中，以等待机会卷土重来。所以，及时删除各种临时文件，既能让漏网病毒无机可乘，又能有效节约宝贵的磁盘空间。

例如在Windows 7系统环境下，进入系统文件 夹“X:User用户名AppdataLocalTemp”，可看到所有的临时文件，选中并删除，就能让所有漏网病毒全部从计算机中消失。值得注意的是，在默认状态下，“Appdata”文件夹处于不可显示状态，用户只有先打开“文件夹选项”对话框，勾选“显示所有文件和文件夹”选项，才能让该文件夹正常显示出来。

2.从系统还原点找

为了保护数据和系统安全，有些用户会启用系统还原功能，及时为重要内容做好备份操作。而杀毒软件无法清理系统还原文件夹，这让不少漏网病毒趋之若骛。为了对付这种类型的漏网病毒，需定期清除系统还原点，以铲除网络病毒的“温床”。

在Windows 8系统环境下，要删除所有的系统还原点时，可使用“Windows+X”组合键，调出系统快捷访问菜单，单击“控制面板”命令，进入系统控制面板窗口，逐一双击“系统安全”、“系统”图标，在其后界面的左侧列表区域，选择“系统保护”选项。在系统保护标签页面中，选择“配置”按钮，单击其后窗口中的“删除”按钮，可彻底删除所有的系统还原点。

3.从引导记录中找

一些相当狡猾的漏网病毒，有时会将自身潜藏到系统的引导记录中，只要用户重新启动计算机系统，漏网病毒就会借机进入系统内存并运行。这种类型的病毒相当难缠，用户即使格式化硬盘也无法真正除掉病毒文件，毕竟其已深入到系统引导扇区中。为让此类漏网病毒无力回天，只有重新创建引导扇区记录，让病毒文件无处藏身。

使用外力工具“DiskGenius”，即可轻松对付潜藏在系统引导扇区中的漏网病毒。先使用Windows PE重新启动计算机系统，在Windows PE状态下开启目标工具的运行状态，打开对应程序主操作界面，依次单击“磁盘”、“重建主引导记录”菜单命令，确认后目标工具就会自动重新创建系统主引导记录，潜藏在引导记录中的漏网病毒文件就灰飞烟灭了。

如果不想重新创建系统主引导记录时，不妨使用更强力的安全工具——“PowerTool”，来对引导记录进行强制修复。打开目标工具的主操作窗口，逐一进入“系统修复”、“主引导记录”标签页面，按下“检测”或“强力检测”按钮，开始自动扫描测试系统引导区内容，按下“自动修复主引导记录”按钮，就能达到删除漏网病毒目的了。

图1 注册表编辑器

4.从系统文件中找

某些漏网病毒为了更好地躲避用户，经常会将自身伪装成系统文件，甚至直接替换掉系统文件。要想对付这类漏网病毒文件，用户只有选择去修复系统文件。

以系统管理员权限登录系统，依次单击“开始”、“运行”命令，弹出系统运行对话框，输入命令“sfc /scannow”并回车，确定后开始扫描测试所有系统文件。一旦有系统文件受到损坏时，正确放置系统安装光盘到计算机中，执行系统文件提取安装操作，就能将被漏网病毒替换掉的系统文件恢复正常。当然，如果无法成功执行“sfc /scannow”命令时，不妨尝试使用“sfc /scanonce”命令，让系统下次启动时自动扫描系统文件。

5.从系统注册表找

有的漏网病毒会将自身拷贝到系统注册表启动项中，以实现随系统自动启动的目的。为了让这种类型漏网病毒无力回天，可以进行下面的操作来寻找并对付漏网病毒：

首先依次单击“开始”、“运行”命令，弹出运行对话框，执行“regedit”命令，打开系统注册表编辑窗口，将鼠标先定位到左侧列表中的注册表节 点“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”上（如图1所示），检查对应节点下是否存在陌生键值，如果看到陌生键值，不妨通过双击键值找出漏网病毒的源头文件，同时将其直接删除，一并删除注册表中的陌生键值。

接着将鼠标定位到注册表节点“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun” 上，将该节点下的陌生键值所有病毒源文件依次删除。此外，还要逐一检查“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRunOnce”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunonce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”等注册表节点，看看这些节点下是否存在陌生键值，如果存在，一定要及时将陌生键值和相关病毒文件删除，这样才能将潜藏在系统注册表中的漏网病毒清除干净。

不让漏网病毒潜藏

找到并清除漏网病毒后并不意味着高枕无忧，因为其可能随时会卷土重来。还需采取一劳永逸的措施，禁止其再次潜藏到Windows系统中！

图2 权限设置

图3 在用户登录时运行这些程序设置

1.不让潜藏到注册表中

为防止漏网病毒程序日后再次将自身拷贝到系统注册表启动项中，不妨尝试修改有关注册表节点的操作权限，具体操作为：首先依次单击“开始”、“运行”命令，输入“regedit”命令，切换到系统注册表编辑窗口，选中“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”节点选项，再依次单击“编辑”、“权限”命令，弹出权限设置对话框（如图2所示），在这里将“everyone”帐号权限设置为“读取”，将其他权限全部设置为“拒绝”，同时将其他普通账号删除掉，并单击“确定”按钮保存设置操作即可。同样，将其他节点的“everyone”帐号权限设置为“读取”，将普通账号权限全部设置为拒绝。

2.不让潜藏到组策略

有的漏网病毒隐蔽性很强，往往将自身潜藏到系统组策略中，这样普通用户甚至杀毒软件都很难发现。可以采取下面的操作方法来配置系统组策略：

首先逐一点击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，展开组策略编辑对话框，在该对话框的左侧显示区域，将鼠标定位到“本地用户和组”、“用户配置”、“管理模板”、“系统”、“登录”节点上。在指定节点的右侧显示区域中，用鼠标右键单击“在用户登录时运行这些程序”选项，打开如图3所示的选项设置框，取消“已启用”选项的选中状态，确认后保存设置操作。

3.不让潜藏到临时目录

系统临时目录是漏网病毒程序的一个好去处，倘若事先将系统临时目录“封杀”，日后漏网病毒就不能潜藏其中了：首先逐一单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，开启组策略编辑器。在该编辑界面的左侧列表中，将鼠标定位到“计算机配置”、“Windows 设置”、“安全设置”、“软件限制策略”、“其他规则”节点上。

接着选中“其他规则”选项，用鼠标右键单击该选项，从弹出的右键菜单中执行“新路径规则”命令，在其后界面“路径”位置处（如图4所示），输入系统临时目录路径，或直接单击“浏览”按钮，将临时目录导入进来。之后打开“安全级别”下拉列表，选择“不允许”选项，确认后漏网病毒程序就无法将自身潜藏到系统临时目录中了。

4.不让潜藏到还原点中

Windows XP以上版本系统都支持系统还原功能，漏网病毒经常会将自身隐藏到系统还原点中。可进行如下操作关闭系统还原功能：

图4 新建路径规则

图5 系统属性

图6 注册表编辑器

右击“我的电脑”或“计算机”图标，选择“属性”命令，弹出系统属性设置对话框。点击“系统还原”选项，切换到如图5所示的对话框，勾选“在所有驱动器上关闭系统还原”选项，点击确认。

5.不让潜藏到主页面中

有的漏网病毒会悄悄修改IE浏览器主页面，同时将自身潜藏到默认主页面中去，用户一旦进入IE浏览器窗口，这些漏网病毒就能自动运行。可以采取如下操作进行设置：

首先在系统运行对话框中，输入“regedit”命令，开启注册表编辑器运行状态。将鼠标定位到注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”节点上（如图6所示），逐一点选“编辑”、“权限”命令，展开特定节点选项的权限设置对话框。在“组或用户名称”设置项处，将“everyone”的“读取”权限设置为“允许”，将其他权限设置为“拒绝”，并且将其他一些陌生的用户账号全部删除。

同样地，再将鼠标定位到“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”注册表节点上，打开对应节点的权限设置框，仅将“读取”权限授予“everyone”账号，删除其他陌生账号，最后重新启动本地系统。