编者按：病毒入侵历来是计算机系统面临的常见网络攻击方式，虽说如今针对病毒攻击的安全防护措施已非常成熟，但用户依然会被狡猾的病毒趁虚而入。

病毒往往使用各种五花八门的方式来获得运行权限，为了摆脱追捕，很多病毒采取了非常规的更加隐蔽的启动方式。对于这些狡猾的病毒伎俩，用户需要对其进行充分了解，才可以战而胜之。

禁止病毒提前加载运行

为了防止病毒自动抢先运行，获取系统控制权，需要对注册表的关键位置进行检测。例 如，运 行“regedit.exe”程序，在注册表编辑器中打 开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager”分支，在右侧“BootExecute”键值名查看是否存在可疑程序，在默认情况下其值为空。如果存在则将其清空即可。

禁止病毒绑架任务管理器

有些狡猾的病毒会采用替换法，将自身伪装成任务管理器的主文件“taskmgr.exe”，这样只要打开任务管理器，就会激活病毒。对此，用户只需打开“C:Windowssystem32” “C:WindowsSysWOW64”等系统文件夹，查看其中的“taskmgr.exe”文件是否发生了改变，如文件尺寸、创建时间等信息是否出现了变动。如果出现异常，只需将虚假的文件删除，并恢复正常文件即可。

禁止病毒劫持快捷方式

正常的程序会在桌面等位置创建快捷方式，如果病毒替换某个常用的快捷方式，并进行精心伪装，那么用户就会在毫不知情的情况下激活病毒。处理的方法是打开桌面上的某个常用快捷方式属性窗口，在“目标”栏中查看其内容是否发生了变化，诸如指向某个可疑程序等。并据此将病毒创建的虚假快捷方式删除，同时清除对应的病毒文件即可。

禁止病毒利用环境变量运行

利用环境变量（如“%System Root%”等），可以快速启动目标程序。一些病毒会利用环境变量的这一特性来实现自动运行。例如，病毒会针对“c:windowssystem32”文件夹中存在的某个系统程序（如“xxx.exe”），将自身文件修改为与其同名的文件，但却藏身到“c:windowssystem32”路径中，并会拥有更高的运行级别。这种启动方式应用的并不广泛，因为大多数系统程序都位于“c:windowssystem32”路径中。但这一启动方式却不得不引起我们的足够警觉。

禁止病毒利用文件关联运行

非法修改文件关联方式是很多病毒的常用伎俩。处理方法是使用“ftype”命令，恢复正常的文件关联。例如，执 行“ftype exefile="%1"%*”命 令，修 复EXE程 序的关联关系，执行“ftype txtfile=%SystemRoot%system32NOTEPAD.EXE %1”命令，修复TXT文件关联等。

还应恢复目标文件类型的“打开方式”属性。打开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts”，在其中列出了所有可用的文件类型，在对应的文件类型（例如“.txt”）下打开“OpenWithList”项，在右侧窗口中双击“a” “b” “c”等项，输入正确关联程序，即可恢复正确的打开方式功能。

禁止病毒利用组策略运行

有些病毒会躲进组策略中，实现自动运行。对于这类病毒，只需运行“Gpedit.msc”，在组策略窗口中依次展开“本地计算机策略”→“计算机配置”→“管理模块”→“系统”→“登录”，在右侧双击“在用户登录时运行这些程序”，在属性窗口中如果发现已经激活了“已启用”项，就表示有程序隐藏在其中非法运行。点击“显示”按钮，可以浏览所有自动运行的程序项，从中找到病毒启动项，将其删除即可。

禁止病毒绑架CMD外壳

有些病毒会修改系统参数，来绑架CMD程序。在注册表中打开路径“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Proce ssor”，可以看到在窗口右侧存在“AutoRun”的键值名，其值默认为空。当每次启动cmd.exe时，该程序都会对该“AutoRun”键值名的内容进行检测，一旦发现其指向了某个程序文件，就会自动加载。解决的方法是清空上述“AutoRun”的键值名数据。

禁止病毒利用屏保启动

有的病毒会将其扩展名修改为“.scr”，来冒充屏保程序。处理方法是在注册表编辑器中展开“HKEY_CURRENT_USERControl PanelDesktop”分 支，在“SCRNSAVE.EXE”键值名中查看当前的屏保文件是否正常。也可以在注册表中定位到“HKEY_USERS.DEFAULTControl PanelDesktop”，将其下的ScreenSaveActive值改为0，来禁用屏保。

禁止病毒利用开机脚本运行

当病毒藏身到组策略中中的开机脚本中，就可以毫不费力的获得运行权。处理方法是运行“gpedit.msc”程序，在组策略编辑器左侧选择“用户配置”→“管理模版”→“系统”项，在右侧双击“不要运行指定的Windows应用程序”项，查看相关的安全软件是否处于禁用行列。在左侧选择“本地计算机配置”→“计算机配置”→“Windows设置”→“脚本（启动/关机）”项，在右侧双击“启动”项，查看是否存在和病毒文件相关的信息。如果存在病毒启动项的话，将其删除即可。当然，也可以在“C:WINDOWSsystem32GroupPolicyMachineScripts”中打开“Scripts.ini”文件，可以查阅开机脚本中是否加载病毒程序，如果不想启用启开机脚本，直接将“Scripts.ini”删掉即可。

禁止病毒劫持控制面板项目

控制面板中的项目由系统目录中的众多“.CPL”文件组成，在Windows 7中，这些“.cpl”文件位于“C:WindowsSysWOW64”文件夹，而且可以直接启动。实际上，控制面板中的所有程序项其执行文件都是独立的，存储在系统路径中的“System32”文件夹中。每一个控制面板程序都和一个“.cpl”文件对应。处理方法对常用控制项目文件进行检查，来发现是否存在被替换的情况。同时检查系统启动项目，查看其中是否存在非法调用“.cpl”文件的项目，如果发现的话及时删除，并恢复正常的控制面板控制面板项目文件即可。

禁止病毒利用系统服务运行

很多病毒都喜欢将自身注册为系统服务，来获得更高的运行权限。运行“services.msc”程序，在服务列表管理器中查看相关的服务项目，如果发现有的服务的描述信息是空白或全英文的，内容看起了很奇怪，则多半是病毒程序所为。双击相应的服务名称，在属性窗口中将启动方式改为手动，即可阻止其非法加载运行。

如果不太容易发现病毒服务名，可以在任务管理器中查找病毒程序名称，之后运行注册表编辑器，选中“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices”，打开搜索窗口，根据程序名在搜寻与之关联的主键后，在该主键右侧的“ImagePath”键值名中显示病毒程序的具体位置，并在“Start”键值名中显示启动方式，将其设置为“3”或“4”，即可禁止其自动运行。

禁止病毒利用映像劫持启动

如果杀毒软件突然无法正常运行了，那么极有可能使病毒通过映像劫持技术绑架了杀毒软件。例如，某安全软件的程序名为“xxx.exe”，打开注册表编辑器，展开“HKEY_LOCAL_ MACHINESOFTWAREMicrosoft Win dows NTCurrent VersionImage File Execution Op tions”分支，在该分支下就会发现名称为“xxx.exe”子健，选中该子键，在右侧窗口双击名称为“debugger”的键值名，在其中就会发现劫持该安全软件的病毒。之后在上述注册表分支下删除被劫持项即可。

禁止病毒劫持下载工具

很多下载工具都提供了病毒检测功能，可以自动调用杀毒软件来检测下载的文件是否安全。如果被病毒非法利用，就会对系统造成威胁。例如，对于某款下载在工具来说，打开其配置文件“Config.ini”，如果在其中的“[SafeHost]”节下的“ProgramPath”栏中发现可疑程序信息，说明病毒已经和该下载工具进行了非法关联。当该下载工具扫描文件时，调用的是却是病毒程序。

当然，如果病毒直接劫持了某个常用的下载工具，就会更加肆无忌惮的运行。处理的方法是将该虚假的下载程序主程序删除，并重新安装该下载工具即可。

有的下载工具提供的下载链接信息也可能被病毒利用，同样会对系统安全造成威胁。处理方法是找到相关的文件（例如“geturl.htm”等），查看其内容是否被病毒篡改。如果其内容存在异常，将其删除即可。

禁止病毒利用注册表启动

在注册表中除了常见的启动项位置外，还有一些地方也可实现隐蔽启动预设程序的功能，给计算机带来潜在危害。例如，打开 “HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”分支，在其下的“Load”键值名查看是否存在病毒程序信息等。为了防止病毒利用ActiveX方式启动，可以打开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components”路径，其中有很多以GUID字符串命名的键值，选择对应的项目，在右侧的“StubPath”键值名中查看是否存在病毒信息。

之后展开“HKEY_LOCAL_MACHINESOFTWAREMicro softWindows NTCurrent VersionWinlogon”分支，并在窗口右侧双击“Shell”键值名，如果它的内容不是“Explorer.exe”，说明病毒已经替换了系统外壳。将其恢复为默认值，即可禁止病毒非法启动。在上述分支下检查“userinit”，“logonui.exe”等键值名，如果内容异常的话，说明病毒也对其进行了替换操作。

禁止病毒强制运行

病毒为了达到非法运行的目的，往往会不择手段，例如通过强制系统只运行预设的程序的方式，来强迫系统执行病毒程序。在注册表编辑器中打开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”，在窗口右侧如果出现类型为DWORD名称为“RestrictRun”的键值名，并且数值为1，就说明病毒已经开启了强制运行预设程序功能。

同时，在上述分支中发现名称为“RestrictRun”的子键，选择该子键，如果在其中发现以一些字符串类型的、名称为数字编码的（例如“0”等）的键值名，其中包含了一些来路不明的程序，那么就说明病毒已经对系统进行了绑架，让其只能运行这些规定的程序。应对方式病毒复杂，只需分别删除上述注册表路径中预设的启动项即可。

禁止病毒冒充驱动运行

现在很多安全软件都提供了主动防御功能，可以让很多病毒彻底现出原形。为了对抗主动防御，有些病毒会将以驱动程序的嘴脸出现，披着看似合法的驱动程序外衣，从系统底层进行渗透破坏，让主动防御对其无能为力。

对于这类病毒木马，由于其活动在系统底层，使用了高级隐身技术，一般的安全工具根本无法寻觅，只有使用PowerTool、XurTr等专业反黑利器，才可以发现其行踪，进而将相关的病毒驱动文件及DLL文件彻底删除。

禁止病毒利用计划任务运行

Windows内置的计划任务功能可以让我们定时启动程序。实际上，很多正常的软件也都会创建所需的计划任务，来实现定时升级的目的。病毒也很有可能会将魔爪伸向计划任务，通过创建看似合法的计划任务，可以在系统启动时，登录时，空闲时或者指定的时间日期，来启动病毒程序。

对付这类病毒的最好办法就是打开“计划任务”窗口，逐一检测所有的计划任务，发现可疑的项目将其删除。此外，通过查阅病毒计划项目，可以了解病毒程序的藏身地，跟踪追击将病毒彻底歼灭。