2.
清理系统配置文件
Windows 的配置文件(主要是 Win.ini、System.ini 和 wininit.ini),也可以加载一些自
动运行的程序。
Win.ini
文件
此文件位于 C:\Windows\Win.ini,可用记事本打开,在它的[windows]
“
段下的 Run=”和
“LOAD=”
“
语句后面,就是随机启动的程序, load=”后面的程序在自启动后最小化运行;
“
而 run=”
后程序则会正常运行。根据实际需要清除即可。
System.ini
文件
此文件位于 C:\Windows\System.ini,在它的[boot]
“
段下 shell=”语句,默认为
“shell=Explorer.exe”
“
。如果是病毒,就可能是 shell=c:/xxxx.exe”,可将其恢复为默认值,
以阻止病毒自动运行。
除了 Explorer.exe
“
外,也可以执行其他的系统程序,如 Shell "C:\Program Files\Internet
Explorer\IEXPLORE.EXE http://www.XXX.com" ”,它的作用是启动时自动调用浏览器打开
“http://www.XXX.com”
网站。
Wininit.ini
文件
Wininit.ini 很容易被人忽略,因为它在 Windows 启动自动执后会被自动删除,这就是
说该文件中的命令只会自动执行一次。Wininit.ini 文件在系统中起到一个延迟删除的作用,
我们都知道在 Windows 中,一个可执行文件如果正在运行或某个库文件(*. dll 、
*.vxd、*.sys 等)正在被打开使用,则不能被改写或删除。如果我们要对这样的文件(比如
驱动)进行升级或改动,就必须在 Windows 保护模式下进行,于是 Windows 就提供了这
样一个机制,即在系统重启时将在 Windows 目录下搜索 Wininit.ini 文件,如果找到就遵
照该文件指令删除、改名、更新文件,完成任务后,删除 Wininit.ini 文件本身,然后继续启
动。
技术扩展
病毒是如何感染 DLL
的
Wininit.ini 的运行机制极有可能被病毒所用。比如病毒可以利用它感染 DLL 文件,病
毒改写该文件内容如下:
[rename]
nul=c:\windows\dll.lzh
c:\windows\system\wsock33.dll=c:\windows\system\wsock32.dll
c:\windows\system\wsock32.dll=c:\windows\dll.tmp
第一行是删除 dll.lzh ,第二行是把原 wsock32.dll 改名为 wsock33.dll,第三行用
dll.tmp 替换 wsock32.dll。下一次启动时指令将生效,这样 wsock32.dll 就被感染了。当然这
只是病毒感染 DLL
的方法之一,知道原理后我们就可以更好地预防了。
在运行对话框中执行 sysedit
“
”
命令打开 系统配置编辑程序 ,在这里可以很方便地对
上述文件进行查看与修改。
3.清理开机/关机/登录/
注销脚本
在运行对话框中输入执行 gpedit.msc
“
,打开组策略编辑器,依次展开 本地计算机策
”
“
略→用户配置→管理模板→系统→登录 ,然后在右侧窗格中双击 在用户登录时运行这
”
“
” “
”
些程序 ,将该项目设置为 已禁用 , 确定 后关闭组策略编辑器即可。
4.
清理任务计划