個人系統(tǒng)的安全保護(hù)

　　只要我們上網(wǎng)，病毒，木馬似乎就是個永恒的話題.我在這里把自己在處理一些簡易木馬或者是非法的啟動項的手工清除方法，高手當(dāng)然都懂，我只是看到論壇里經(jīng)常有人遇到這種問題，在這里也只是交流我的經(jīng)驗，不足之處也請指教：)網(wǎng)上的相關(guān)好教程也很多。

　　1.對待一般的非法隨系統(tǒng)啟動的程序(如彈出網(wǎng)頁，打個某些程序，還有在后臺執(zhí)行的木馬等)可以隨機(jī)啟動的地方很多，在這里我只介紹常被利用的地方，有的不常見。如果是win98,winme,winxp系統(tǒng)，直接在[開始]菜單的[運(yùn)行]中輸入msconfig -6,進(jìn)入后，如下圖所示：

　　在啟動項里，根據(jù)“命令”欄，可以看到啟動進(jìn)程的路徑及命令參數(shù)等，找到可疑的，將對勾去掉，一般的如果只有啟動項目，后面的命令欄什么也沒有，通常為非法的。如上圖，可只留下殺毒的(kav)，防火墻(pfw)，ctfmon三個，其它的如MSMSGS是MSN的啟動進(jìn)程，另外兩個更是不知道，去掉選擇。如果確定某個進(jìn)程是可疑的，記下路徑，重啟后刪除之。

　　如果是2000系統(tǒng)，因為沒有msconfig，可以從98或是XP系統(tǒng)中系統(tǒng)中copy一份，也照樣可以用，只是會彈出找不到**的提示，確定后就能用，最方便的是用第三方的，毒霸很早出的一個注冊表清理工具，比較方便。

　　我比較喜歡直接對注冊表修改，因為這樣雖然麻煩，但是也是最直接的：)

　　運(yùn)行 regedit,進(jìn)入注冊表編輯器，啟動項在注冊表中主要有兩個大位置，分別是第二項和第三項，HKEY_CURRENT_USER和HKEY_CURRENT_MACHINE

　　先依次展開：

　　+HKEY_CURRENT_USER

　　+ Software

　　+Microsoft

　　+Windows

　　+CurrentVersion

　　Run

　　RunOnce　將這兩個項的右側(cè)的無用啟動項，直接刪除。

　　再依次展開 ：

　　+HKEY_CURRENT_MACHINE

　　+ SOFTWARE

　　+Microsoft

　　+Windows

　　+CurrentVersion

　　Run

　　RunOnce

　　RunOnceEx

　　將以Run開頭的這幾個項，都打開看看，有很多木馬之類的不是在run中，而是在runonceex等中,隨機(jī)啟動的通常都在這兩個地方藏的：)

　　有時候會有這樣的情況，有些刪除不了，或者有的一刪除，刷新又出來了，這說明是有進(jìn)程在監(jiān)測注冊表，這樣的話，就需要先結(jié)束掉非法的進(jìn)程，結(jié)束的方法在下面提到。并且現(xiàn)在的木馬都有三進(jìn)程的，所以非常的難纏。

　　重啟，再打開啟動項時，如果啟動組中原來刪除的又來了，那么這個就需要用下面的方法來對付。

　　2.對付卷土重來的進(jìn)程

　　記下他的準(zhǔn)備路徑，將他的啟動選項去掉。

　　這個軟件使用非常簡單，執(zhí)行后，所有的進(jìn)程都會顯示出來，找到啟動項中類似的進(jìn)程名，記下他的具體位置，結(jié)束掉進(jìn)程后，找到位置刪除掉，如果怕誤刪，可以直接給程序改擴(kuò)展名也行。

　　這個軟件非常的實用，我一般都放U盤中，用這個軟件所殺的進(jìn)程，通常是殺毒軟件查不出來是病毒的，其實也就是說，如果進(jìn)程帶病毒性質(zhì)的，最好配合殺毒軟件。

　　另外就是對付木馬的過程中，最好斷開網(wǎng)絡(luò)。

　　由于水平有限，只希望這些會對您有些許啟示。