当将光盘插入光驱，或者将移动设备（U盘等）接入系统，将会自动运行光盘/移动设备中的内容。
     目前比较流行的Autorun病毒都是通过移动设备进入系统，如果开启有自动运行功能，则病毒通过Autorun.inf激活从而使电脑中招 .

什么是Autorun病毒？它的运作原理是什么？如何手工清除？

Autorun病毒又名U盘病毒。

【原理】

U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U盘病毒,当用 户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可 以实现可移动设备的自动运行

其文档格式为:
[autorun]
open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe)
icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.)

【防治】

步骤1：打开记事本编辑如下:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件"
然后双击此文件将其导入注册表

步骤2: 显示所有文件;(如果已经设置过的可以进入下一步)

我的电脑→工具→文件夹选项→查看
勾选“显示所有文件和文件夹”，取消“隐藏受保护的操作系统文件(推荐)”

步骤3:删除U盘下的病毒文件autorun.inf、toy.exe

    网络中心决定将于2008年6月26日正式启用校园网新的客户端3.30（win2000，winxp，win2003），原来的锐捷客户端3.10,3.11版将不能够通过认证。

    请到网络中心主页或者学校Ftp上下载安装程序，安装新客户端之前请将3.10,3.11版的客户端卸载，然后安装新的客户端。

    软件安装以后不需做其他设置。如有问题请联系网络中心：5687184。

    锐捷客户端  3.30 点击下载。

    望大家相互转告。

                                 网络中心

                                 2008-6-26

1. Su3..11发行的Vista 平台下的客户端版本。该版本的用户对象是——使用Vista 操作系统平台的用户。

2. 在Vista 平台下安装完成Su 客户端后，必须执行以下操作才能保证Su 客户端的正常运

行：选择Su 客户端的安装目录下的8021x.exe 文件，鼠标右键选择“属性”，在“兼容

性”选项中选择“用兼容模式运行这个程序（Windows XP（Service Pack2））”，同时选

择“请以管理员身份运行该程序”，最后选择“确定”完成设置.

Windows98，2000，XP，vista客户端下载：版本3.30  点击下载

    近期校内学生宿舍，教工家属区，办公区都不同程度的受到ARP网关欺骗病毒的攻击，影响校内校园网用户正常访问网络。为了保证广大教职工正常办公、学习，网络中心建议校园网用户所有电脑都安装防网关欺骗保护程序最新版4.0.2。软件按照默认方式进行安装，参数默认即可。当前版本有效期到2007年7月1日，网络中心将会及时给大家提供最新版本。

    另外建议校园网用户安装360安全卫士，扫描流氓软件，以及常见木马。如有非常顽固的病毒木马，建议使用卡巴斯基杀毒软件查杀。

     防网关欺骗保护程序可在学校ftp上下载，或者  点击下载

     360安全卫士下载： 点击下载

     如有疑问，请拨打网络中心电话：5687184

                              网络中心

                             2007-4-12日

防网关欺骗保护程序使用说明：

本文章为帮助用户快速使用ARP防火墙，主要分为二部分如下:
一.安装与卸载;
二.快速使用入门;

+ 安装ARP防火墙单机版:
支持操作系统:Windows 2000/XP/2003

1.使用浏览器下载ARP防火墙单机版，下载地址为:http://www.antiarp.com/newsopen2.asp?ArticleID=14
2.完成下载之后双击安装包运行，如下图:

3.单击[ Next> ]按钮开始安装，使用本软件需要接受许可协议，如下图:

4.点选[ I accept the terms in the License Agreement ] 按钮说明你接受我们的许可协议，点击[ Next > ]按钮之后，再点击[ Install > ]按钮开始安装本程序如下图:

5.安装程序在安装过程中大约需要十秒钟左右，如果出现以下安装界面恭喜您已经安装成功，如下图:

常见问题:
Q:  软件安装过程中，为何网络会中断？
A: ARP防火墙单机版依赖驱动程序对ARP攻击数据进行拦截，软件安装过程中需要安装驱动程序，此时网络会有几秒种的中断，这是正常现象，请广大网友放心使用。 安装软件过程中请关闭网卡属性对话框。

Q:  为什么不能安装新版本的软件？
A: 由于旧版本的ARP防火墙没有卸载，所以在安装新版本软件出现无法安装的提示，请卸载旧版本之后重新安装，卸载过程中请关闭软件。

Q:  为什么安装了软件上不了网？
A: 1.由于攻击者发送的数据包超大导致无法与网关进行通讯，请在软件设置里调节防御值。
   2.由于软件读取错误的网关MAC地址导致无法与网关进行通讯，请在软件设置里手工输入网关IP与MAC地址。
   3.请重新启动计算机看是否能解决问题。如果依然无法解决请向我们反馈。

+ 卸载ARP防火墙单机版
点击开始-->设置-->控制面板-->添加删除程序，点选< AntiARP Stand-alone Edition >，单击 Remove ，在出现的对话框点击[ Yes ]开始卸载

常见问题:
Q:  软件卸载过程中，为何网络会中断？
A: ARP防火墙单机版依赖驱动程序对ARP攻击数据进行拦截，软件卸载过程中同样需要卸载驱动程序，此时网络会有几秒种的中断，这是正常现象，请广大网友放心使用。 卸载软件过程中请关闭网卡属性对话框。

Q:  软件卸载过程中，为何卸载不成功？
A: ARP防火墙单机版卸载过程中需要关闭ARP防火墙单机版软件，未卸载成功是由于软件正在运行，请关闭软件之后卸载软件。



+ 快速使用入门
软件术语:
外部攻击数据-->是指本机受到外部计算机的攻击数据
IP冲突数据---->是指本机受到外部计算机的攻击数据
对外攻击数据-->是指本机对外发出的攻击数据

1.双击桌面[AntiARP]图标启动软件,软件界面如下:

软件状态说明:


拦截对外攻击---->拦截本机对外发送的虚假数据包累计。
拦截 IP 冲突---->受到外部攻击的IP冲突欺骗累计次数。
拦截外部攻击---->受到外部其它计算机攻击的累计次数。
发送ARP广播----->本机发送的ARP广播包累计数量。
接收ARP广播----->本机接受的ARP广播包累计数量。
主动防御速度---->受到外部攻击时向网关发送正确MAC的数量。
本机 IP/MAC----->本机的IP以及MAC地址，支持多网卡多IP。
网关 IP/MAC----->网关的IP以及MAC地址。
主动防御状态---->状态分为[待命与防御]。


ARP攻击详细信息说明:


图片说明:
+ [外部攻击数据] 受到外部计算机攻击的次数达到1110次，对于检测是否存在ARP攻击非常有效。
+ [ IP 冲突数据] 受到外部IP冲突攻击的次数，0表示没有发生IP冲突攻击。对于检测是否存在IP冲突攻击非常有效。
+ [外部攻击数据] 本机对外攻击的次数。这个功能对于检测本机是否感染了ARP恶意程序来说是个不错的功能，即使感染了ARP病毒也不会影响网络，因为虚假数据全部被拦截。


如何追踪攻击者:


图片说明:
+ 软件自动识别攻击者MAC地址为:00-11-22-33-44-55，推荐使用 MacScan.exe 扫描IP与MAC地址的对应列表，如果扫描出的IP与攻击者MAC地址相符，说明该IP进行了ARP欺骗，但数据也有可能是伪造的。
+ 如果扫描的IP与MAC列表中找不到攻击者MAC，说明该MAC地址是伪造的。建议管理员在网关设备上分析并查找ARP包的来源。


常见问题:

Q:  更改本机IP地址时，为何软件会报告有攻击行为？
A: 为了降低资源占用率，ARP防火墙每隔5秒读取一次网卡的IP地址设置。更改本机IP地址时，操作系统会向网络广播新的IP和MAC地址，此时如果防火墙还没有从网卡获取到新的IP地址，那么上述ARP广播包会被拦截，且会报告为本机正在向外攻击。上述ARP广播包被拦截后，不会对本机网络正常使用造成任何问题，请用户放心。

Q: ARP防火墙为何也会拦截对外攻击的数据包？能禁止拦截吗？
A: 如果本机感染了ARP病毒，这些病毒会对外发送大量攻击数据，可能会给用户带来一些不必要的麻烦。同时，彩影软件也不赞同攻击行为，所以ARP防火墙默认也会拦截对外攻击。暂时没有计划将拦截对外攻击做为可配置。请各位用户给予理解和支持！

Q:  beta4版本中新出现的“主动防御”功能有什么作用？
A: ARP攻击软件一般会发送两种类型的攻击数据包：
 (1) 向本机发送虚假的ARP数据包。此种攻击包，ARP防火墙可以100%拦截。
 (2) 向网关发送虚假的ARP数据包。因为网关机器通常不受我们控制，所以此种攻击包我们无法拦截。“主动防御”的功能就是，“告诉”网关，本机正确的MAC地址应该什么，不要理睬虚假的MAC地址。

Q: “主动防御”三种不同的配置分别是什么意思？
A: 主动防御支持三种模式
 1, 停用。任何情况下都不向网关发送本机正确的MAC地址。
 2. 警戒。平时不向网关发送本机正确的MAC地址。当检测到本机正在受到ARP攻击时，开始向网关发送本机正确的MAC地址，以保证网络不会中断。
 3. 始终运行。始终向网关发送本机正确的MAC地址。如果攻击者只向网关发送攻击数据，不向本机发送攻击数据，那么如果主动防御处于“警戒”状态时是无法保证网络不会中断的，“始终运行”主动防御功能，可以应对这种情况。     

Q: “主动防御”速度设置为多少比较合适？
A: 主动防御功能默认配置为：警戒状态，发包速度10 pkts/s。经过彩影软件大量测试，防御速度为10pkts/s时可以应对市面上大多数ARP攻击软件。向网关发送正确MAC时，每次会发送两种类型的数据包，每个数据包大小是42字节(Bytes)，所以当速度为10时，网络流量是： 10*2*42=840Bytes，即不到1KBytes/s。同理可计算，防御速度为100时，网络流量<10KBytes/s。防御速度支持自定义，最小为1，最大为100，用户可以根据自己的网络情况自行调准。

Q: 运行ARP防火墙之后，为何用"arp -a"命令还能看到其它主机？
A: ARP防火墙不是拦截所有ARP包，只是拦截虚假的ARP包。所以它并不能保证你用"arp -a"命令看不到其它主机，只能保证你看的数据都是正确的。反过来说，如果你用"arp -a"命令看不到任何主机，那么你的机器就“断网”了。

Q: 为何ARP防火墙没有检测到攻击，但我仍然会掉线（断网）？
A: 原因有几种：
 1.可能是攻击者只向网关发送了ARP攻击数据包，所以ARP防火墙没有检测到攻击。解决办法：建议用户把“主动防御”功能设置为“始终运行”，并且把防御速度设置到最大：100。
 2.ARP防火墙在启动之前，机器就已经处于攻击之下，ARP防火墙自动取到的网关MAC地址是假的。解决办法：咨询网管人员，获取网关的正确MAC，然后在ARP防火墙中手动设置网关的IP/MAC。
 3. 如果上述两个办法都不可行，那么估计掉线原因就跟ARP攻击没有关系了，毕竟造成掉线的原因有很多，如：硬件问题、线路问题、应用程序（如游戏）本身的问题等等。

根据学校精神，网络收费从今日起停止现金充值，所有校园网用户缴纳网络使用费必须通过一卡通校园卡转帐进行，为了不耽误您的使用，请您提前充足网络使用费。

无一卡通的校园网用户请用到卡务中心（5公寓楼下工行旁边）按照相关规定办理临时卡，办理临时卡的时候请记好临时卡的编号，到网络中心（主楼801）办理新的入网手续，以后上网帐号需更改为临时卡的编号，到学校新食堂二楼存钱交网络使用费。为了不耽误您的使用，请及时办理临时卡及相关入网手续。现有帐号可以使用到帐号中无费用为止。

由此给大家带来的不便请多谅解，请大家相互转告。

如有其它问题，请咨询5687184。

                                                              网络中心

                                                              2007-3-29

 　　该蠕虫变种在受感染的计算机系统中运行后，会在系统目录下释放两个可执行文件，同时在系统的每一分区根目录下释放一个安装可执行文件和自动运行配置文件。蠕虫变种可以利用微软的“自动播放”功能，只要计算机用户双击受感染系统中任意分区的盘符，变种就可以自动被启动激活。

　　另外，新变种和以往其它变种一样，会终止受感染操作系统中防病毒软件的进程和服务，使得防病毒软件无法正常工作，逃避防病毒软件对其进行的查杀。新变种会修改系统中注册表启动项的设置，使得自身和受感染操作系统一同启动。

　　监测数据显示，目前蠕虫“威金”及其变种已经使很多个人用户和企业用户的计算机系统遭受不同程度的损害。由于其变种出现的种类多，间隔时间短，给计算机用户的查杀工作带来一定的困难。

          亚运会期间网络中心视频直播亚运比赛，转播频道为CCTV5。转播比网上快，清晰。

         转播地址：http://172.31.0.200/CCTV5.asx 

         需要media player 播放器。 

         由于转播系统不大稳定，如发现无法观看，请及时打电话联系5687184。以便及时恢复正常转播

                                                                                                              网络中心

                                                                                                     2006-12-2

    鉴于校内最近U盘传播病毒较多，网络中心特制作一个简易U盘病毒查杀工具，能够查杀大部分U盘病毒。欢迎广大师生下载使用。先将该工具下载到用户自己的计算机上，使用时，先将U盘插到电脑上，然后运行下载的软件。

    点击下载

                                网络中心

                               2006-11-28

　　IE 7正式发布后，随即传出耸动的安全漏洞报道，但事后证明问题出在电子邮件软件Outlook Express，而不是IE本身。事实上，微软已大费周章增强IE 7的安全防护。以下是新增IE7安全功能的简介。

　　1. 缺省环境防堵潜在安全风险的Active X控制项

　　改变缺省环境，凡未经查验为安全的Active X控制项，即不再自动执行，而会通过Active X“择择加入”功能自动予以关闭。

　　2. 以Active X选择加入功能控制每个网页内容的区域

　　你可逐一解除每个网页内容“区域”的Active X选择加入功能。针对“互联网”与“限制的网站”而言，这项“选择加入”功能缺省为开启，以提升安全性；但对“近端内部网络”(intranet) 与“信任的网站”而言，缺省为关闭。

　　3. 锁站和锁区式的Active X控制

　　开发人员今后可让他们的Active X控制元件更安全，方法是限制某控制元件只在特定的网站上执行，即“锁站”(site locking)；或只在特定的安全区域内执行，即“锁区”(zone locking)。

　　4. 防范网钓

　　IE 7推出网钓过滤器(Phishing Filter)，以免使用者受骗后在仿冒网站输入个人信息或密码，遭有心人士收集和冒用身份。网钓过滤器会自动检查你所造访的网站，并与已知的网钓网站黑名单比对；若是该网站被识别出是钓鱼网站，就会发布警示信息。若你宁可不要自动检查网站，也可以选择性地检查令你起疑的特定网站。

　　5. 跨域名安全性

　　新的IE 7安全机制防止一种称为“跨域名scripting”的手法，迫使script程序在原属的安全区域内执行，即使script已被转到不同的安全区域也一样。

　　6. 锁定安全区域

　　由于安全环境缺省在更高层级，IE 7的安全区域锁得比以往更严密，包括取消非域名电脑上的近端内部网络区域，并且用新的界面让人更难选择低级或中低级的安全性。

　　7. 更强的SSL/TLS通知与数字认证信息

　　IE 7的使用者可更轻易地判断某个网站是否具有SSL/TLS安全性，并取得该网站获得的数字认证信息。若网站具有高可靠度认证，浏览器网址列的颜色会变绿。

　　8. 隐私保护功能

　　新增三种注册键(registry keys)，正式名称是功能控制键(feature control keys)，用来防止HTML窃取使用者的个人信息。此外，你只要点击一下鼠标，即可轻易清除曾在网页上输入的信息，以及浏览器缓存(网络暂存盘)、浏览纪录、cookies和其他个人信息。

　　9. 网址列

　　IE 7的浏览窗口都内含网址列，让恶意网站更无所遁形。恶意网站以前可借隐藏URL网址隐匿形迹。

　　10. 国际字符警示

　　IE 7支持国际字符，但为了防止歹徒利用不同语言字符的相似性为害，每当你使用国际字符集时，如果出现属于另一种语言的字符，浏览器会提醒你留意。

关于病毒木马网上的资料实在是太多，怎么说都很难说是自己原创的文章，所以金州在此说明，凡是网上已经很详细的资料就不再多写了，主要是说明一个思路。这个文章本来是写给我的一位上海的朋友的，是很简单的东西。
说明：1．因为我的朋友不大会用工具，所以这篇文章说的是不用任何工具的简单的对病毒木马的防御和解决．
2．解决的也是简单的木马病毒，我的朋友是一般使用电脑的用户。中了复杂的病毒木马我干脆劝他重装。
3．针对的是我朋友的Windows XP 专业版本系统。
4．关于网上已经很详细的一些方法，不再做过多阐述。可自己搜索。

一．基本防御思想：备份胜于补救。

1．备份，装好机器之后，金州首先备份c盘（系统盘）windows里面，和C:\WINDOWS\system32下的文件目录。
运行,cmd命令如下；
dir/a C:\WINDOWS\system32 >c:\1．txt
dir/a c:\windows >c:\2．txt
这样就备份了windows和system32下面的文件列表，如果有一天觉得电脑有问题，同样命令列出文件，然后cmd下面，fc命令比较一下，格式为，假如你出问题那一天system32列表为3．txt，那么fc 1．txt 3．txt >c:/4．txt
(金州说明: dir/a是为了察看隐藏文件，备份位置放在c根目录是为了好找)
因为木马病毒大多要调用动态连接库，可以对system32进行更详细的列表备份，如下
cd C:\WINDOWS\system32
dir/a >c:\1．txt
dir/a *．dll >c:\>2．txt
dir/a *．exe >c:\>3．txt
然后把这些备份保存在一个地方，除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件，虽然有一些是安装软件的时候产生的，并不是病毒木马，但是还是可以提共很好的参考的。

2．备份进程中的DLL, CMD下面命令
tasklist/m >c:/dll．txt
这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下，比较方法如上不多说，对于DLL木马，一个一个检查DLL太麻烦了。直接比较方便一些。
3．备份注册表，
运行REGEDIT，文件——导出——全部，然后随便找一个地方保存。
4．备份C盘，（硬盘大的朋友使用，金州注释）
开始菜单，所有程序，附件，系统工具，备份，然后按这说明下一步，选择我自己选择备份的内容，然后把系统备份在一个你选定的位置。
出了问题，同样打开，选择还原，然后找到你的备份，还原过去就是了。
（金州说明，这个方法比系统还原好用，而且剩心，只备份才安装时候的系统就好，是最终解决方案。）

二，基本防御思想，防病胜于治病。

1．关闭共享，这个网上说得很多，可以自己搜索，金州不再详细说明。关闭139．445端口，终止xp默认共享。
2．关闭服务server,telnet, Task Scheduler, Remote Registry这四个。防止一般小黑客常用的at命令等等。其他的服务可以搜索相关资料自己看着办。（注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。）
3．控制面板，管理工具，本地安全策略，安全策略，本地策略，安全选项给管理员和guest用户从新命名，最好是起一个中文名字的，如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。
4．网络连接属性里面除了tcp/ip协议全部其他的全部停用，或者干脆卸载。
5．关闭远程连接，桌面，我的电脑，属性，远程，里面取消就是了。也可以关闭Terminal Services服务，不过关闭了以后，任务管理器中就看不到用户名字了。
（金州注释，注意如果你是一个喜欢黑客技术的人并且准备学习研究黑客技术，以上设置不适合你，呵呵，另外相关安全细节网上资料很多，不再啰嗦。自己可以搜索看看。）

三，基本解决方法，进程服务注册表。

1． 首先应该对进程服务注册表有一个简单的了解，大约需要3个小时看看网上的相关知识应该就会懂得了。
2．检查启动项目，不建议使用运行msconfig命令，而要好好察看注册表的run项目，和文件关联，还有userinit,还有shell后面的explorer．exe是不是被改动。相关的不在多说，网上资料很多，有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目，（金州声明，不是我自己找出来的，只是觉得这个最全面一点。）
1． HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\．
4． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
8． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\Run\
9． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11． HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
12． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
13． HKEY_CURRENT_USER\Control Panel\Desktop
14． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
15． HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16． HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17． HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18． HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19． HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20． HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21． HKEY_CLASSES_ROOT\exefile\shell\open\command\
22． HKEY_CLASSES_ROOT\comfile\shell\open\command\
23． HKEY_CLASSES_ROOT\batfile\shell\open\command\
24． HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25． HKEY_CLASSES_ROOT\piffile\shell\open\command\
26． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
27． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
28． HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29． HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
30． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
32． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
33． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
34． HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
35． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
 （金州注释，凡是木马，必须要启动，所以这些简单的启动项目还是应该好好看一下的。）
3．检查服务，最简单的吧，服务列表太长，我估计你也不一定能全部记住。说一个简单的，运行msconfig，服务，把“隐藏所有的microsoft服务”选中，然后就看到了不是系统自带的服务，要看清楚啊，最后在服务里面找找看看属性，看看关联的文件。现在一般杀毒都要添加服务，我其实讨厌杀毒添加服务，不过好像是为了反病毒。
4．进程，这个网上资料更多，只说明两点，1．打开任务管理器，在“查看”，“选项列”中把“pid”选中，这样可以看到pid，所谓pid金州简单理解为就是进程的身份证，这样便于很多相关的处理。2．点一个进程的时候右键有一个选项，“打开所在目录”，这个很明显的，但是很多哥们都忽略了，这个可以看到进程文件所在的文件夹，便于诊断。
5．cmd下会使用，netstat –ano命令，觉得这一个命令对于简单的使用就可以了，可以查看协议端口连接和远程ip．
6．删除注册表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝
{0D43FE01-F093-11CF-8940-00A0C9054228}
两个项目，搜索到以后你会看到是两个和脚本相关的，备份以后删除，主要是防止一下网上的恶意代码
（金州注释：如果对脚本感兴趣，自己准备学习相关知识并且测试的朋友不要删除）

四，举一个简单的清除例子。

1．对象是包含在一个流行BT绿色软件里面的木马，杀毒可以杀出，但是错误判断为灰鸽子。有的杀毒杀不出来。以下说的是不用任何工具的判断和清除，当然任何工具中包括杀毒。
2．中毒判断：使用时候，忽然硬盘灯无故猛烈闪烁。系统有短暂速度变慢。有程序不正常的反映，怀疑有问题。
2．检查，服务发现多了一个不明服务，文件指向C:\Program Files\Internet Explorer下面的server．exe文件，明显的这不是系统自带的文件，命令行下察看端口，有一个平常没有得端口连接。进程发现不明进程。启动项目添加server．exe．确定是木马。
4．清除：打开注册表，关闭进程，删除启动项目，注册表搜索相关服务名字，删除，删除源文件。同时检查temp文件夹，发现有一个新的文件夹，里面有一个“免杀．exe”文件，删除，清理缓存。当然最好是安全模式下进行。
5．对照原来备份的system32下面的dll列表，发现可疑dll文件，删除，也可以在查看选择“选择详细信息”选择上“创建日期”（这个系统默认是没有添加的），然后查看详细信息，按创建日期显示，可以发现新创建的文件。这个木马比较简单，没有修改文件日期。
（金州注释，这是一个简单的病毒，时间长了，记不住具体病毒开启的服务的名字和开启的端口了，只是说明一下思路。提醒的就是一定不要忘记了清理缓存，因为很多文件安装或者下载的时候是存在那里的，有时候忘记了清理，病毒如果关联在这个文件上，删除后还会出现的。）

最后说明：
1．这篇文章首先提交于邪恶八进制。
2．这篇文章是很简单的知识，主要是提供一个思路。本文是金州为华东师范大学现代文学研究生毋二宾弟弟所写的杀毒简单指导。祝福我的朋友幸福，幸福，幸福。
3．转载劳烦注明出处并保持完整。

金州 2005．12．15 0:18 完成 email：zjz1222000@163.com

　　一、简单文件共享

　　为了让网络上的用户只需点击几下鼠标就可以实现文件共享，XP加入了一种称为“简单文件共享”的功能，但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是:打开“我的电脑”，选择菜单“工具”→“文件夹选项”，点击“查看”，在“高级设置”中取消“使用简单文件共享(推荐)”。

　　二、FAT32

　　凡是新买的机器，许多硬盘驱动器都被格式化成FAT32。要想提高安全性，可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限，进而还可以使用加密文件系统(EFS，Encrypting File System)，从文件分区这一层次保证数据不被窃取。在“我的电脑”中用右键点击驱动器并选择“属性”，可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS，先备份一下重要的文件，选择菜单“开始”→“运行”，输入cmd，点击“确定”。然后，在命令行窗口中，执行convert x: /fs:ntfs(其中x是驱动器的盘符)。

　　三、Guest帐户

　　Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户，最好禁用它。在Win XP Pro中，打开“控制面板”→“管理工具”，点击“计算机管理”。在左边列表中找到“本地用户和组”并点击其中的“用户”，在右边窗格中，双击Guest帐户，选中“帐户已停用”。WinXP Home不允许停用Guest帐户，但允许为Guest帐户设置密码:先在命令行环境中执行Net user guest password命令，然后进入“控制面板”、“用户设置”，设置Guest帐户的密码。

　　四、Administrator帐户

　　黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限，但不一定非用“Administrator”这个名称不可。所以，无论在XP Home还是Pro中，最好创建另一个拥有全部权限的帐户，然后停用Administrator帐户。另外，在WinXP Home中，修改一下默认的所有者帐户名称。最后，不要忘记为所有帐户设置足够复杂的密码。

　　五、交换文件

　　即使你的操作完全正常，Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件，但黑客肯定会。你首先要做的是，要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的“开始”菜单，选择“运行”，执行Regedit。在注册表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management，然后创建或修改ClearPageFileAtShutdown，把这个DWORD值设置为1。

　　六、转储文件

　　系统在遇到严重问题时，会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题，但对一般用户来说没有用;另一方面，就象交换文件一样，转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下:打开“控制面板”→“系统”，找到“高级”，然后点击“启动和故障恢复”下面的“设置”按钮，将“写入调试信息”这一栏设置成“(无)”。类似于转储文件，Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是:在注册表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug，把Auto值改成“0”。然后在Windows资源管理器中打开Documents and Settings\All Users\Shared Documents\DrWatson，删除User.dmp和Drwtsn32.log这两个文件。

　　七、多余的服务

　　为了方便用户，WinXP默认启动了许多不一定要用到的服务，同时也打开了入侵系统的后门。如果你不用这些服务，最好关闭它们:NetMeeting Remote Desktop Sharing，Remote Desktop Help Session Manager，Remote Registry，Routing and Remote Access，SSDP Discovery Service，telnet，Universal Plug and Play Device Host。打开“控制面板”→“管理工具”→“服务”，可以看到有关这些服务的说明和运行状态。要关闭一个服务，只需右键点击服务名称并选择“属性”菜单，在“常规”选项卡中把“启动类型”改成“手动”，再点击“停止”按钮。

　　微软称，利用其中的一个安全漏洞，黑客们可在用户不进行任何操作前提下完成一种恶意蠕虫病毒的复制。该公司称，在上述5个“危急”安全安全漏洞中，4个与Windows操作 系统有关，另一个与微软XML核心服务包有关。此外，微软还针对Windows发布了另一项安全升级，漏洞危害级别为“重要(important)”。

　　过去数年中，由于越来越多的恶意软件针对Windows及其他微软软件发起攻击，该公司一直在努力加强产品安全性和可靠性。用户可到www.microsoft.com/security下载上述最新安全补丁。

　　病毒特征：这是一个盗取QQ号码与密码的病毒。

　　发作症状：它能插入Explorer.exe进程中。在Explorer.exe中运行的病毒首先会中止掉常见的反病毒软件/防火墙的进程，并把QQ的键盘保护驱动文件改名，使QQ键盘保护失效，之后病毒就可以轻易的读取用户输入的登录号码与密码，之后病毒会把记录到的QQ号码与密码通过邮件的方式发送到木马种植者事前指定的邮箱中，使用户的QQ号码丢失。