2.

 

清理系统配置文件

　　Windows 的配置文件（主要是 Win.ini、System.ini 和 wininit.ini），也可以加载一些自

 

动运行的程序。
　　Win.ini

 

文件

　　此文件位于 C:\Windows\Win.ini，可用记事本打开，在它的[windows]

“

段下的 Run=”和

“LOAD=”

“

语句后面，就是随机启动的程序， load=”后面的程序在自启动后最小化运行；

“

而 run=”

 

后程序则会正常运行。根据实际需要清除即可。

　　System.ini

 

文件

　　此文件位于 C:\Windows\System.ini，在它的[boot]

“

段下 shell=”语句，默认为

“shell=Explorer.exe”

“

。如果是病毒，就可能是 shell=c:/xxxx.exe”，可将其恢复为默认值，

 

以阻止病毒自动运行。
　　除了 Explorer.exe

“

外，也可以执行其他的系统程序，如 Shell "C:\Program Files\Internet 

Explorer\IEXPLORE.EXE http://www.XXX.com" ”，它的作用是启动时自动调用浏览器打开
“http://www.XXX.com”

 

网站。

　　Wininit.ini

 

文件

　　Wininit.ini 很容易被人忽略，因为它在 Windows 启动自动执后会被自动删除，这就是
说该文件中的命令只会自动执行一次。Wininit.ini 文件在系统中起到一个延迟删除的作用，
我们都知道在 Windows 中，一个可执行文件如果正在运行或某个库文件（*. dll 、
*.vxd、*.sys 等）正在被打开使用，则不能被改写或删除。如果我们要对这样的文件（比如
驱动）进行升级或改动，就必须在 Windows 保护模式下进行，于是 Windows 就提供了这
样一个机制，即在系统重启时将在 Windows 目录下搜索 Wininit.ini 文件，如果找到就遵
照该文件指令删除、改名、更新文件，完成任务后，删除 Wininit.ini 文件本身，然后继续启

 

动。

 

　　

 

　　技术扩展
　　病毒是如何感染 DLL

 

的

　　Wininit.ini 的运行机制极有可能被病毒所用。比如病毒可以利用它感染 DLL 文件，病

 

毒改写该文件内容如下：
　　[rename] 
　　nul=c:\windows\dll.lzh 
　　c:\windows\system\wsock33.dll=c:\windows\system\wsock32.dll 
　　c:\windows\system\wsock32.dll=c:\windows\dll.tmp 
　　第一行是删除 dll.lzh ，第二行是把原 wsock32.dll 改名为 wsock33.dll，第三行用
dll.tmp 替换 wsock32.dll。下一次启动时指令将生效，这样 wsock32.dll 就被感染了。当然这
只是病毒感染 DLL

 

的方法之一，知道原理后我们就可以更好地预防了。

　　在运行对话框中执行 sysedit

“

”

命令打开 系统配置编辑程序 ，在这里可以很方便地对

 

上述文件进行查看与修改。

 

　　

 

　　
　　3.清理开机/关机/登录/

 

注销脚本

　　在运行对话框中输入执行 gpedit.msc

“

，打开组策略编辑器，依次展开 本地计算机策

”

“

略→用户配置→管理模板→系统→登录 ，然后在右侧窗格中双击 在用户登录时运行这

”

“

” “

”

 

些程序 ，将该项目设置为 已禁用 ， 确定 后关闭组策略编辑器即可。
　　4.

 

清理任务计划