替换系统程序的病毒与“windows文件保护”
近期流行替换系统文件的病毒。目前常见的有:
1、替换userinit.exe
2、替换explorer.exe
上述文件是系统加载或用户登录windows界面时必须运行的系统程序,因而,替换这些程序的病毒比较难杀。
其实,系统本身具有保护系统程序不被篡改的防护机制————windows文件保护。
关于“windows文件保护”的详细介绍见:
http://support.microsoft.com/kb/222193中毒后,系统程序被病毒替换,原因是用户没有开启“windows文件保护”,或未完全执行“windows文件保护”的步骤之一sfc/scannow。
最近,帮人解决一个usreinit.exe被病毒替换的中毒案例时,发现有这种“马大哈”现象(图1)。很尴尬哦!
查看其dllcache文件夹,发现其中只有212个文件(图2)。
搞掂病毒后,帮其完成“windows文件保护”。步骤如下:
1、点击“开始”、“运行”(图3)。
2、键入cmd,按回车(图4)。
3、键入sfc/scannow,按回车(图5)。
4、耐心等待windows文件保护扫描完成(图6)。
5、完成windows文件保护扫描后,再检查以下dllcache文件夹(受保护的系统文件缓存处),发现文件数目达3340个。这还算靠谱(图7)。
6、最后,再查看一下“组策略”中的相应设置(图8)。无误。完事。
图1
[用户系统信息]Opera/9.27 (Windows NT 5.1; U; zh-cn)