杀毒必会技巧集锦

杀毒必会技巧集锦
目 录

关于本 书 组策略, 帮我守好U盘的大门!
NTFS格式下禁止病毒 运行
U盘修复小技巧
WINDOWS系统之金 蝉脱窍
XPSP2本身支持的查 杀流氓软件
辨别“反钓”技巧
不小心备份了病毒程序教 你快速删除
菜鸟秘籍不给权限，饿死 木马
对于卡巴国外更新服务器 的简单设置
防护AUTORUN病毒 常用技巧
防止hosts文件被修 改小技巧一则
给你的 IE 套件盔甲
关于卡巴斯基误杀后的恢 复方法
缓解系统压力定期清理卡 巴的report文件夹
教你快速查找ARP病毒 源技巧三则
拒绝恶意代码小窍门
卡巴斯基防火墙兼容问题 解决小方
卡巴斯基杀毒软件离线更 新技巧两则
快速在迅雷中运用卡巴 7.0扫描下载完成文件
两招反劫持
另类处理无法删除的病毒
免疫一下病毒更改系统时 间
是谁在掩护病毒
让病毒白白运行
让我们轻松挖出恶意网站 中藏的病毒
删除还原文件夹内的病毒 方法
手工一个命令免疫 autorun.inf
提升权限 把无法删除病毒扫地出门
通过卡巴斯基程序完整性 控制预防病毒
通过修复注册表修复IE 的一些方法
系统自带的最不起眼但又 很强大的杀毒程序
修复病毒导致所有文件夹 为隐藏
修改注册表权限免疫U盘 病毒的方法
一个命令追查DLL病毒 的踪迹
一种安全打开U盘的技巧
以其道还其身 注册表映像劫持巧治病毒
用组策略阻击“流氓软 件”
在Win XP中赤手空拳备份注册表
值得注意的权限控制点
重装系统卡巴巧升级
注册表+组策略运行病毒 不中病毒
快速转移病毒的临时窝点
如何让你不再卡?我的卡 巴!
卡巴快速 更新本地病毒库教程
偏激方法禁用U盘防止U盘病毒侵入
修 复病毒导致的系统无法打开.exe可执行文件
关于本书说明
本书中的文章大多为网上收集整理,所以非常感谢网友们的经验技巧分享,很多文章的原创作者暂时无法获得,所以希望作者们能见谅!
因为本书为新手技巧集锦,旨在提高电脑安全新人们的技术和知识,所以书中收集的全部是基础实用的反病毒知识技巧.安全高手们可以略过!如果网友们能认真学习琢磨,那对提高自己的反病毒能力和安全技术会有很大帮助!
也希望网友们能踊跃投稿,共同分享自己的
杀毒经历和优秀文章!以便我们制作更多版本的电子书籍分享给大家,让新人不再畏惧病毒.^_^
组策略,帮我守好U盘的大门!
随着U盘等移动存储设备的广泛应用,移动存储器也成为病毒传播和寄生的主要途径之一.相关的防护措施也已经出现了,最常见的是禁止自动播放功能和用工具保护.所以今天再说说另一个方法,毕竟方法多了路好走嘛,大家可以选择适合自己的来使用.
首先点开始菜单,打开运行框,输入"gpedit.msc",打开组策略,点击里面的"计算机配置"--"WINDOWS设置"--"安全设置
"--"软件限制策略"--"其它规则"
右击其它策略,选择"新路径规则",在弹出等规则框里输入: U盘的盘符:\*.exe,我机器上的U盘路径为H:,所以输入"H:\*.EXE",安全级别选择"不允许",意思是禁止运行盘H:下的所有EXE程序.
好了,就这么简单,现在我们双击U盘下任意一EXE可执行文件都会弹出警告框.
当然现在的病毒也很聪明,有时会把扩展名改成.COM或.BAT之类,我们也可以按以上顺序在组策略里一一添加.以此守住U盘病毒进入电脑的必经之路
NTFS格式下禁止病毒运行
对于无法清除的病毒源文件可能是因为其正在运行中,而在身边没有安全工具无法找出其进程或强制删除时该怎么办呢!
下面说个小技巧:右击病毒文件，选择属性--安全，删除管理员之外的所有组和用户，然后选中管理员组或用户，点击下面的"高级",
在"权限"栏中选中"ADMINISTRATORS"点击编辑进入该程序的权限项目,将除了"删除"之外的其它所有项目都改为拒绝,点击确定后再重起机器.这样,病毒程序就无法再次启动,我们也可以轻松删除它了
U盘修复小技巧
现在,U盘的使用已经非常普遍，人们经常用U盘来备份、携带、转移文件。但是，如果将U盘从USB口拔出之前，忘记了执行卸载*作，或者执行卸载 *作不彻底，或者由于误*作，而直接将U盘从USB口拔了出来，就有可能会导致U盘损坏，有时甚至会导致计算机不能识别U盘。如果以前没有处理这种情况的经验，多半会认为U盘已经不能使用，该扔进垃圾箱了，但这样又觉得太可惜了。
有没有办法恢复U盘的功能呢？答案是肯定的，可以按照下面的步骤进行:
依次打开控制面板--管理工具--计算机管理--存储--磁盘管理，在文字“磁盘1”上单击右键，选择“初始化磁盘”，直接单击“确定”。初始化完成后， U盘的状态变成为“联机”状态。注意此时U盘的锁要处于打开状态，否则会出现如下提示：“由于媒体受写保护，要求的*作无法完成。” 右边的白框上单击右键，选择“新建磁盘分区”，进入新建磁盘分区向导，直接单击下一步，选择分区类型（主磁盘分区、扩展磁盘分区或逻辑驱动器），一般选择主磁盘分区即可。（注：下面的对话框会顺序出现，所以就不在这里给出其屏幕拷贝了。）
下一步-选择磁盘空间容量：一般使用默认大小。
下一步-指派一个驱动器号（或不指派）。
下一步-选择“按下面的设置格式化这个磁盘分区”设置格式化的形式（文件系统类型、分配单位大小、卷标）（不用选择快速格式化）。
下一步-成功完成格式化向导。单击完成等待其格式化完成即可。
格式化完成后，U盘状态显示为“状态良好”，即大功告成。
这种修复方法一般都能将U盘恢复。但是这种修复方法也有一个弊端，就是不能恢复U盘上原有的数据。如果U盘上原有的数据不是很重要，这种方法比较使用。如果U盘上有非常重要的文件，必须要恢复不可，建议去找专业公司。现在各大城市基本上都有做数据恢复的专业公司!
WINDOWS系统之金蝉脱窍
很多用户都为网上的病毒和木马头疼，如果大家使用的是windows2K或WindowsXP的话。今天就教大家一招金蝉脱窍——而且只需要这一招克就能死所有病毒!
如果你是新装的系统(或者是你能确认你的系统当前是无毒的)，那就再好不过了，现在就立即就打开:
“开始→程序→管理工具→计算机管理→本地用户和组→用户”
首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是双保险:如果你忘记了其中一个密码，还可以使用另一个超管密码登陆来挽回，免得你被拒绝于系统之外;再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。
接着再添加两个用户，比如用户名分别为:user1、user2;并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了，只使用user1登陆就可以了。
巧改IE浏览，隐藏活动用户
登录之后上网的时候找到ie，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择“以其他用户方式运行”点确定!要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入user2的用户名和密码!!!
好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了!因为你当前的系统活动的用户是user1。而user2是不活动的用户，我们使用这个不活动的用户去上网时，无论多聪明的网站，通过ie得到的信息都将让它都将以为这个user2就是你当前活动的用户。
如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的仅仅是use2的一个配置文件罢了，而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败，因为user2根本就没运行，怎么能取得系统的操作权呢?既然取不得，也就对你无可奈何了。
而他们更不可能跨越用户来操作，因为微软的配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们无法占据user1的位置!所以你只要能保证总是以这个user2用户做代理来上网(但却不要使用user2来登陆系统，因为如果那样的话，如果user2以前中过什么网页病毒，那么在user2登陆的同时，他们极有可能被激活!)，那么无论你中多少网页病毒，全部都将是无法运行或被你当前的user1用户加载的，所以你当前的系统将永远无毒!
金蝉脱壳之术
不过总有疏忽的时候，一个不小心中毒了怎么办???不用担心，现在我们就可以来尽情的表演脱壳的技术了!
开始金蝉脱壳:
重新启动计算机，使用超级管理员登陆——进入系统后什么程序都不要运行。
你会惊奇的发现在的系统竟然表现的完全无毒，那就再好不过了，现在就立即就打开:
“开始→程序→管理工具→计算机管理→本地用户和组→用户”
把里面的user1和user2两个用户权删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了——(好象是陪葬，呵呵!)。这么做过之后我保证你的win2k就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的!
好!现在再重复开始的步骤从新建立user1和user2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为win2k重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的!!!建立完成之后立即注销超级管理员，转如使用user1登陆，继续你象做的事吧，你会发现你的系统如同全新了。
以上方法可以周而复始的使用，再加上经常的去打微软的补丁，几乎可以永远保证你的操作系统是无毒状态!只要你能遵循以下几条规辙:
一、任何时间都不以超级管理员的身份登陆系统——除非你要进行系统级更新和维护、需要使用超级管理员身份的时候或是你需要添加和删除用户的时候。
二、必须使用超级管理员登陆的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，而且所有维护都只通过开始菜单里的选项来完成，甚至连使用资源管理器去浏览硬盘都不!只做做用户和系统的管理和维护就立即退出，而决不多做逗留!(这也是微软的要求，微软最了解自己的东东，他的建议是正确的。浏览硬盘的事，在其他用户身份下你有大把的机会，在超级管理员的身份下还是不要了!这应该事能完全作到的)。
如果上面的都做到了，那么排除了硬件和误操作原因、病毒跟系统瘫痪都将离你更加遥远了!
XPSP2本身支持的查杀流氓软件
mrt.exe是微软增强安装技术相关程序，用于监视间谍软件和其它系统进程在你不知情的情况下访问网络。
在运行栏键入:　 MRT.EXE　 就可以打开的，并随时查杀系统。
很不错，请相互推荐使用。
辨别“反钓”技巧
提示1：不要点击你的电子邮件中的链接。
如果你收到了一封银行的邮件向你询问一些事情，不要点击电子邮件中的链接，也不要使用电子邮件中的表单进行登录。取而代之的是，打开你的浏览器，直接打开该银行的web页面，在那里进行登录，然后再做你要做的事情。即使这封邮件来自你知道的某人，也不要点击这个链接。
提示2：无效的认证信息通常在假扮的web站点上起作用。
如果你感觉到一个站点有些可疑，就使用虚构的用户名和密码进行登录。如果这个站点出现“登录失败”的页面，只能说明你可能是在一个合法的站点上。它不可能总是使用模拟的登陆失败来仔细检查用户的输入的，在收集了认证信息后它就会重定向到合法的站点上了。如果你用虚构的认证信息通过了认证，那很显然，这是一个钓鱼陷阱了。
不小心备份了病毒程序教你快速删除
一,删除System Volume Information文件夹
用WINXP时间长的网友都知道,本来是想用系统还原来保证系统永不被病毒摧垮,但其结果是System Volume Information文件夹成了病毒最爱栖身的处所。有它存在有毒杀不掉，眼看着它肆虐却无能为力。所以重装系统后删除这个文件夹，让系统还原彻底走开，成了使用winxp的必要措施之一。
下面来具体步骤:
1.我的电脑-工具--文件夹选项--查看-除去使用简单文件共享前的勾。
2.右击System Volume Information文件夹，点击属性,会多出一个安全选项-（中间的）添加--选择用户或组，点高级--立即查找-双击你目前的管理员用户名-确定。
3.返回到选择用户或组 ，点确定--在System Volume Information属性下组或用户名称中就有了你所设定的管理员用户。--点窗口下的高级--在弹出的System Volume Information的高级安全设置窗口中选中过去的用户（不一定是SYSTEM，如果不是要先删除那个，才会出来SYSTEM，再来删除SYSTEM。下面两项如勾选过，把勾去掉）--编辑--全部清除--确定。
4.返回到System Volume Information的高级安全设置窗口，点确定--回到System Volume Information属性，把下面的完全控制勾选上--确定。这就完成了对此文件夹的控制权。
5.删除各分区下的System Volume Information文件夹。
这样就禁用系统还原，为了避免再次出现：
1.在运行,输入"gpedit.msc"／（组策略）程序／ 计算机配置／管理模板／系统／系统还原／右边，关闭系统还原，双击打开它，启用。
2,在运行,输入"gpedit.msc"／（组策略）程序／计算机配置／管理模板／windows组件／终端服务／windows Installer／在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。
删完后它还会在C：盘上出现，重复下3.--5.,再删除,一般它就不再出现了,出现了重复前面步骤,很容易删除.
二,删除GHOST备份文件*.GHO内的病毒
使用Ghost Explorer 工具,利用他可以对 GHOST 创建的映象文件进行编辑，可以按自己的意愿向映象文件里添加、删除文件，也可以将需要的文件提取出来。打开其主界面选择要修改的GHO为后缀的备份文件即可,就像操作资源管理器一样修改备份内容
菜鸟秘籍不给权限，饿死木马
在Windows2000/XP/2003等系统中，用户可以加入Administrators、PowerUsers、Users等不同权限的组，分别具有不同级别的操作权限。如果你平时也就上上网看看新闻，打打游戏聊聊天，编写文字处理几张图片，而不需要频繁地装卸软件，那么不妨藏起管理员，使用一个低权限的用户账户。
通过“控制面板→用户账户”，创建一个新的用户，然后安装常用的软件之后，将其加入到受限用户(Users)组。受限用户能够正常运行大部分的程序，但是无法对系统的心脏——系统目录和注册表进行写操作。该操作需要一个前提条件，即C盘应采用NTFS格式。
木马以及其他恶意软件有个特殊的爱好:往往喜欢藏身于系统目录，并且修改注册表以达到自动加载的目的。而采用这个办法，很大程度上限制了木马的渗透。即使木马已进入硬盘，也不会有权限进行相应的操作，有效地降低了木马的破坏力，事后在灭杀木马过程中也不至于破坏系统。
但是有的软件需要管理员权限账户才可以正常运行，或者有时候我们需要安装一些软件，目前账户权限不够，怎么办?切换用户太麻烦，而且也容易因此给木马可乘之机。那么，用下面的办法实现吧!
右键点击程序，选择“运行方式”，弹出窗口，然后选择合适的账户并输入相应密码即可。这样软件就可以其他账户的方式运行，而与当前账户无关。虽然比起直接管理员账户登录操作麻烦了点，但是安全上得到了保障，还是值得的。
小提示
有时候一些常用软件必须以管理员权限运行，如果每次都这么选择未免太麻烦，小程序RunAs可以解决这个问题。
对于卡巴国外更新服务器的简单设置
相信最近的卡巴封KEY给很多用户带来很大的不便和压力，热心 的网友都赞成使用国外更新服务器来避免被封【是否有效有待考证】，但有些网友对更换服务器不是很懂，网上有的方法比较难操作。这里偶介绍一个简单的方法，十分有效：点击设置-点击更新-点击更新设置下的“设置”【这是KIS，没自定义选项】-把“定义区域”前的勾打上-点击小三角符号选你想要的国家-然后一路“确定”，OK，大功告成啦!
防护AUTORUN病毒常用技巧
1,在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器(开始-所有程序-附件-windows资源管理器)将其打开，或者使用快捷键winkey+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯)
2,点开始菜单,打开运行框,输入"gpedit.msc",打开组策略,点击里面的"计算机配置"--"WINDOWS设置"--"安全设置
"--"软件限制策略"--"其它规则"
右击其它策略,选择"新路径规则",在弹出等规则框里输入: U盘的盘符:\*.exe,我机器上的U盘路径为H:,所以输入"H:\*.EXE",安全级别选择"不允许",意思是禁止运行盘H:下的所有EXE程序.
好了,就这么简单,现在我们双击U盘下任意一EXE可执行文件都会弹出警告框.
3,插入U盘后，
在Windows操作系统中点击左下角“开始”——>“运行”——>输入“CMD”命令（进入DOS命令模式）——>键入“G：”（举例G盘为U盘的盘符，此命令为进入Ｕ盘所在盘符）——键入“start .”（注意start 后面是一个点“。”此命令为打开Ｕ盘）
说明：现在的Ｕ盘病毒比较猖獗，在设计时，哪怕用户使用“资源管理器”打开Ｕ盘，也会激活病毒，此种打开Ｕ盘的方法，是一种非常规的打开方式，病毒的激活代码中并不会涉及到DOS中的内容
4,（1）在CMD中进入要免疫磁盘的根目录
（2）md autorun.inf (新建一个名为autorun.inf的文件夹)
（3）cd autorun.inf（进入Autorun.inf文件夹）
（4）md killdu..\（关键一步，使得autorun.inf文件夹无法删除）
注意后边一定要带..
这样就不可删除了，病毒也就不可以写入了
关于怎么删除这个文件夹：还是在命令行进入刚建立的autorun.inf目录下
输入 dir /x ，看看刚才建立的文件夹 "killdu.\" 前面是不是有一个乱七八糟的字符串？你可以把这个字符串理解成“killdu.”的真正文件名，用这个文件名，先改名再删除。
或简单点用命令rd autorun.inf\killdu..\,然后再删除autorun.inf文件夹
该方法的小缺点就是可能被改名称,后来找了点资料发现了一个可以在NTFS分区下禁止改名的小技巧.
即在autorun.inf文件夹上点右键，选择"属性--安全 --高级 --编辑`，把“包括可以从该对象的父项继承的权限”前面的对钩去掉，这时，会弹出一个确认对话框，选择点击“删除”，再点击“添加”输入“everyone”再点击“确定”。
确定后弹出的权限设置的窗口中，将“拒绝”下方所有的复选框中，然后按“确定”，在弹出窗口中点击“是”。
这样，这个autorun.inf目录就变成不可写，不可删，不可改名了.
5,Autorun病毒其实都是通过在磁盘根目录下面创建一个autorun.inf文件来达到自动启动的目的，要是关掉自动运行功能，它就无法发作了。很多安全软件都提供有关闭自动运行功能的，你可以通过它们关掉自动运行。当然，我们也可以选择利用组策略管理器，关闭windows系统的自动播放服务就可以了。具体操作方法是：
运行中输入“gpedit.msc”打开组策略管理器，定位到：
用户配置－－管理模版－－系统，在右边的窗口中双击：“关闭自动播放”，在出现的对话框中选择“已启用”，且将对象设置为“所有驱动器”，再确定即可。
这样下来，就不必担心再中这种病毒了，其实组策略是一个想当有用的配置工具，善于使用会有不少便利的。
禁用Shell Hardware Detection服务
不过这样做的话，仅仅能够阻止autorun.inf中设置的程序自动运行，创建右键的欺骗菜单无法阻止，要彻底去掉右键菜单被autorun控制，禁用掉Shell Hardware Detection服务就可以了，这样还能省点系统资源。
禁用办法：在“我的电脑”上点击右键，选择“管理”，进入“服务和应用程序”中的“服务”，寻找Shell Hardware Detection，双击它，在出现的窗口中选择“启动类型”为“已禁用”，最后确定即可。
6,注册表关闭AutoRun功能
在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer 主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
双击 “NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到 “NoDriveTypeAutoRun”默认键值为95,00,00,00，附件上传了抓图。其中第一个值“95”是十六进制值，它是所有被禁止自动运 行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示：
设备名称 第几位 值 设备用如下数值表示　设备名称含义
DKIVE_UNKNOWN　 　　　 0101h 不能识别的设备类型
DRIVE_NO_ROOT_DIR 1002h　没有根目录的驱动器(Drive without root directory)
DRIVE_REMOVABLE　 　2104h　可移动驱动器(Removable drive)
DRIVE_FIXED　　 　3008h 固定的驱动器(Fixed drive)
DRIVE_REMOTE　　4110h 网络驱动器(Network drive)
DRIVE_CDROM 5020h　光驱(CD-ROM)
DRIVE_RAMDISK　　　　6040h RAM磁盘(RAM Disk)
保留　　　 7180h 未指定的驱动器类型
在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。
防止hosts文件被修改小技巧一则
打开记事本,根据需要输入以下代码:
禁止修改HOSTS文件:
attrib +r +a +s +h %windir%\system32\drivers\etc\hosts
echo y|cacls %windir%\system32\drivers\etc\hosts /g everyone:r
允许修改HOSTS文件:
echo y|cacls %windir%\system32\drivers\etc\hosts /g everyone:f
attrib -r -a -s -h %windir%\system32\drivers\etc\hosts
保存为.BAT格式后双击运行即可,当然也可以在CMD中逐条输入!
给你的 IE 套件盔甲
常在网上走，哪能不染毒”。如今，我们常用的Windows系统中，最脆弱的莫过于IE了，尽管你万分的小心，装上防火墙、防病毒软件，IE主页还是经常被修改，工具栏上还会出现不请自来的工具按钮，把你的IE搞得面目全非。我们何不利用IE参数来给脆弱的IE增加一层防护呢？
首先，我们要确定设置的对象。如果你的电脑桌面上有 IE 的图标，那就请你先删除它，然后找到IE的安装目录，比如 C:\Program Files\Internet Explorer，在该目录中找到“Iexplore.exe”，点击鼠标右键，在弹出的右键菜单中选择“发送到→桌面快捷方式”。（注：桌面默认的IE图标无法使用参数。）
接下来我们就可以利用桌面上的IE快捷图标来设置参数了。可以用来保护IE的参数有两种：“-nohome”和“主页网址”（不包括双引号）。
1. “-nohome”参数的使用
在 IE　快捷图标上单击鼠标右键，在弹出的右键菜单中选择“属性”，在打开的属性对话框中选择“快捷方式”标签，然后在“目标（T）”选项内容的最后加上“-nohome”（不包括双引号），选择“确定”退出对话框。
这时候你再双击打开IE快捷方式，你会发现IE的地址栏里什么也没有，连安放其他软件工具按钮的位置也没了，而且打开IE的速度特别快。
2. “主页网址”参数的使用
在上网过程中，主页网址被修改是经常发生的，要想不被修改，我们可以利用“主页网址”参数设置自己指定的网站，不管恶意网站怎么厉害，它也无法在你的 IE 上做恶。如设置“-nohome”参数，打开“属性”对话框，在添加“-nohome”参数的位置输入你要指定的网站，如“www.163.com”（不包括双引号）。选择“确定”退出，以后你每次双击打开这个IE快捷方式，就会打开“www.163.com”。
怎么样，快给你的 IE 套件盔甲吧！
关于卡巴斯基误杀后的恢复方法
最近似乎看到很多网友谈卡巴色变，总是担心卡巴斯基误杀！其实卡巴斯基误杀并没有网上流传的那么严重。不过误杀是有的。前些天就误杀了网络游戏梦幻西游。
其实即便卡巴斯基真的误杀并没有什么可怕的，卡巴斯基有完善的误杀备份还原系统，可以将误杀的文件还原！
首先，我们来看看卡巴斯基的备份系统，如图：卡巴斯基主界面的报告和数据文件有一个备份区域这里就是卡巴斯基存放被删除的病毒文件的地方
我们点击右边的设置即可设置卡巴斯基保留备份的时间，卡巴斯基默认为30天
下面我们来使用一下还原功能，首先我先用释放一个机器狗病毒让卡巴斯基删除并备份到备份区域
下面我们来使用还原功能，这里要说明如果这个文件是被误杀的那么即便还原卡巴斯基还会再报毒，所以在还原前我们需要把误杀的文件添加至信任区域，这里我们首先打开卡巴斯基的主界面点击保护，右边有一个计算机保护状态，点击他：
在出现的对话框中选择检测到，在这里有所有被卡巴斯基检测到的风险软件以及病毒的记录
我们找到与备份区同样路径的误杀文件，右键单击或者点击文件后选择操作，选择添加至信任区域，在出现的对话框中的点击组件，会出现排除范围，勾选扫描和文件反病毒，文件反病毒就是实时监控。而扫描则是全盘扫描，如果只选择文件反病毒卡巴斯基则会在下次全盘扫描时再次删除
好了添加完毕即可执行还原，还原方法和添加至信任区域的方法差不多在备份区域点击恢复选择是，卡巴斯基会自动给出文件被删除的路径：
选择保存即可完全恢复。
如果卡巴斯基更新病毒库取消误报后我们要删除此规则可以打开卡巴斯基的设置——威胁和排除——排除——信任区域——排掩码里删除该规则即可.
缓解系统压力定期清理卡巴的report文件夹
这些天就觉得打个游戏都觉得有点卡，我还以为是系统垃 圾多了就用优化大师卸，才卸了19MB.我在想问题在哪呢？
结果论坛上一位朋友的问题提醒了我。
我一看晕，C盘里的C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6的report居然1.8GB.
什么也不用清理，不要手动来直接删
在卡巴界面上点击服务－＞报告．隔离和备份－＞清理,完毕!
教你快速查找ARP病毒源技巧三则
第一招：使用Sniffer抓包　　在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。
第二招：使用arp -a命令　任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。
第三招：使用tracert命令　　在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148。　假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。
拒绝恶意代码小窍门
恶意网页成了宽带的最大威胁之一。以前使涌Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。
一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。
运行IE浏览器，点击“工具Internet选项安全自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。
卡巴斯基防火墙兼容问题解决小方
打开主界面，点击左下角的设置，在新页面的左边点击威胁和排除，然后再点击右边的信任区域按钮，在排除掩码工具栏下点击添加按钮，再点击“指定”链接，在弹出的窗口中点击浏览（把防火墙安装目录添加进来，在下面的包括子文件夹前打勾）再点击确定，然后点击“选中”链接使其变成“任何”最后点击确定，完成操作
卡巴斯基杀毒软件离线更新技巧两则
NO1:
1.打开卡巴斯基程序主界面，点击左下角的“设置”然后点击“服务”将“启用自我保护”前面的钩去掉。
2.点击以下两个链接，下载av-i386-cumul.zip和av-i386-daily.zip这两个病毒库包
ftp://ftp.kaspersky.com/zips/av-i386-cumul.zip
ftp://ftp.kaspersky.com/zips/av-i386-daily.zip
3.将下载的两个压缩包依次解压缩到以下目录中
C:＼Documents and Settings＼All Users＼Application Data＼Kaspersky Lab＼AVP7＼Bases，并覆盖其中的文件，（注：一定要先解压缩av-i386-cumul.zip后解压缩av-i386-daily.zip）
4.用鼠标右键点击右下角的卡巴斯基图标，选择“退出”，然后再从“开始”菜单－“程序”中将卡巴斯基程序运行起来。
5.打开卡巴斯基程序主界面，点击左下角的“设置”然后点击“服务”将“启用自我保护”前面的钩打上就可以了。
NO2:
请您登陆http://www.kaspersky.com/avupdates/zip?open=av-i386-cumul.zip#open 下载两个离线更新包av-i386-daily.zip和av-i386-cumul.zip 分别解压，然后按下面分别操作，（先指向av-i386-cumul.zip解压后的文件夹，再指向av-i386-daily.zip解压后的文件夹）
第一步：在卡巴斯基主界面选择左下角“设置”； 然后选择左边的“更新”
第二步：在“更新程序模块”中选择“配置”按钮；
第三步： 点击“添加”按钮，选择本地更新文件，点击“确定”；
第四步：退回到“更新程序模块”标签下，去掉“卡巴斯基实验室更新服务器”前面的勾，选择确定；
第五步：进行升级。
适用于6.0和7.0版本!
快速在迅雷中运用卡巴7.0扫描下载完成文件
卡巴的7.0和之前的版本不同，不能运用以往的在参数设置中选择avp.com scan来启动杀毒～
而是要调用 avp.com START FM 或者 avp.com START SCAN_OBJECTS 来扫描文件～
具体操作是迅雷中选择配置——下载安全——杀毒引擎选择中选择选择其他程序，浏览按卡巴安装路径选中卡巴的主程序
两招反劫持
1、权限限制法
打开注册表编辑器，定位到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。
2、快刀斩乱麻法
打开注册表编辑器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\，把“Image File Execution Options”项删除即可。
为谨慎起见，删除前最好先备份该注册表项，以防系统出现意外！
另类处理无法删除的病毒
现在网络宽带的日益普及，为了方便BT下载，很多朋友都爱24小时挂机。全天候的在线，这给一些病毒、木马“入侵”系统带来了极大便利，他们可以在半夜入侵我们的电脑，肆意为非作歹。近日笔者在帮助一位朋友杀毒的时候，就遭遇一个“无法删除的病毒”，下面将查杀经验与大家共享。
1.惊现病毒。朋友的电脑安装的是Windows XP专业版，近来常常彻夜开机用BT下载电影，没想到在一次开机的时候，杀毒软件就报告在下发现病毒“exporer.exe”。
2.查杀。病毒如果无法被直接删除，大多是由于病毒进程在运行导致的，打开任务管理器，找到病毒进程“exporer.exe”顺利将其终止，按照杀毒软件提供病毒文件路径，找到病毒文件后，按住Shift键右击选择“删除”，奇怪的是系统却提示无法删除文件，再次打开任务管理器，我已经确信病毒进程被终止了，而且也不是在写保护状态，为什么无法删除?我试图把文件夹删除，但同样遭到系统拒绝，重启电脑多次仍然是同样的结果。
后来笔者在查看“exporer.exe”属性(看看文件生成日期和大小，以便搜索一下病毒还有没有同伙)时，意外发现属性窗口还有一个“安全”标签，点击后可以看到在用户权限列表“特别权限”的拒绝选项被打上小勾，会不会是文件权限不够导致无法删除?单击的“高级”按钮，在弹出的窗口我看到一个“拒绝删除”的权限，单击“编辑”终于看到文件无法删除的真正原因了，原来当前用户的删除权限被施毒者设置为拒绝了，但是却允许“读取和运行，取消拒绝的权限后，返回文件属性窗口，勾选“允许完全控制”，单击“确定”退出后顺利删除“exporer.exe”。
小提示
文件(夹)属性“安全”标签只会在NTFS格式的分区出现，如果看不到此标签，打开我的电脑，单击“工具→文件夹选项→查看”，然后在高级设置选项下去除“简单文件共享(推荐)”前的小勾。
笔者在删除“exporer.exe” 后试图删除文件夹，遭到系统拒绝后，通过查看文件夹的“安全”属性，同样可以发现删除权限(删除子文件夹及文件、删除)被拒绝了，同上，取消这个限制后顺利把病毒“扫地出门”。对于文件(夹)，如果是由于权限原因被拒绝操作，一般将权限设置为“完全控制”即可。
(1)权限是可以继承的，有时候打开某个文件安全属性标签后，可能在图4不会有“拒绝删除”权限，但是如果它的父文件夹设置了“拒绝删除子文件夹及文件”，该文件还是无法被删除的，解决方法是将文件权限设置为完全控制。
(2)文件权限是和文件所有者相关联的，对于办公室多帐户电脑，一些别有用心的人可能还会将木马和用户对应起来(以针对电脑操作水平较低帐户，警惕性不高易于窃取资料)，如果发现木马毒会和对应帐户关联，即有些用户登录后木马会运行，而有些则不会(木马文件权限被设置为禁止读取和删除)，这时可以用系统管理员身份登录，强行将木马文件所有者更改为当前用户，然后设置为完全控制将木马删除。
(3)一点经验。Windows XP/2000的文件(夹)权限，是系统一项特殊功能，它允许灵活设置不同用户的不同权限，一些通过将病毒程序文件设置为允许“读取和运行”、拒绝“删除”，从而实现更好的“自我保护”。由于更改文件权限操作比较复杂，施毒者一般要在宿主机上亲自操作，对于喜爱全天候挂机的朋友，安装一款防护能力较好的防火墙，关闭一些不必要端口，大致就可以有效防止此类病毒骚扰了
免疫一下病毒更改系统时间
会更改系统时间的病毒流行很长时间了。
这个问题其实可以预防。
XP系统，只要有“组策略”设置的，可以按下图设置一下。系统时间被改的问题就解决了。
在“开始菜单”——“运行”里输入gpedit.msc，打开组策略，依然选择“计算机配置——windows设置”——安全设置——本地策略——用户权利指派——更改系统时间”（右边），然后双击（或者是右键单击，选择“属性”）打开“更新系统时间配置”属性对话框，把里面所有权限用户名全部删除，然后点击确定即可！
XP家庭版没有该组件，可以通过以下方法安装：
1、将XP专业版（要去下载）的“C:\WINDOWS\system32”文件夹中的gpedit.msc、fde.dll、gpedit.dll、gptext.dll、wsecedit.dll文件复制到HOME版的“C:\WINDOWS\system32”文件夹中。
2、在“开始--运行”中依次运行以下命令：“regsvr32 fde.dll”、“regsvr32 gpedit.dll”、“regsvr32 gptext.dll”、“regsvr32 wsecedit.dll”分别注册这4个动态数据库。
3、将XP专业版的“C:\WINDOWS\INF”文件夹中的所有*.adm文件复制替换到HOME版的“C:\WINDOWS\INF”文件夹中。
4、最后单击“开始--运行”，输入“gpedit.msc”便可以启动组策略了。
以后，若用户自己需要更改系统时间，可以在BIOS里更改等
哪个进程在掩护病毒
木马类病毒对开机启动的要求很高，所以它们总是利用一切可以利用的地方保证自己能开机自动运行。伪装系统服务就是其伎俩之一
对于添加为服务的木马，有些强硬派无法直接停止删除，所以需要先结束调用掩护它的程序。那怎么样才能查看哪个进程在掩护木马的服务呢？我们要用到tasklist/svc这个命令了，我们现在知道了木马的服务名字是stisvc，那在CMD里输入命令后返回结果如下图：
看到没，最后一行不就是我们找的吗，对应的进程为SVCHOST.EXE，进程ID是2676，OK
那就先结束该进程再去删除服务让木马无从启动吧！
让病毒白白运行
有次朋友电脑中了病毒，我去看了一下，是个QQ病毒，由于挺长时间没有上网搜集病毒方面消息了，我对这些病毒的特性也不甚了解。我先打开“进程管理器”，将几个不太熟悉的程序关闭掉，但刚关掉一个，再去关闭另外一个时，刚才关闭的那个马上又运行了。没办法，我决定从注册表里先把启动项删除后，再重启试试，结果，我刚把那些启动项删除，然后刷新一下注册表，那些启动项又还原了，看来一般的方法是行不通了，上网下载专杀工具后，仍然不能杀掉。我知道这是因为病毒正在运行，所以无法删除。
由于这台电脑只有一个操作系统，也没办法在另一个系统下删除这些病毒，这时怎么办呢？如果大家也遇到这种情况时，我向大家推荐一种方法。
第一步：在“开始→运行”中输入CMD，打开“命令提示符”窗口。
第二步：输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。
第三步：重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件，比如：输入法程序。
第四步：右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。
第五步：运行ftype exefile=%1 %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。
第六步：在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可，但得小心，必须确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除，
◆最后介绍一下Ftype的用法
在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。
Ftype的基本使用格式为：Ftype [文件类型[=[打开方式/程序]]]
比如：像上例中的ftype exefile=notepad.exe %1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。
ftype exefile=%1 %*则表示所有EXE文件本身直接运行(EXE 可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
让我们轻松挖出恶意网站中藏的病毒
最近看到了很多网友都感染了www.7b.com.cn的病毒，首页被改成这个网站，并且无法改回。黑客是如何做到锁定用户的浏览器首页呢？下面我们就去探个究竟。
提醒：分析病毒存在一定风险，建议在虚拟机下操作。
第一步 查看www.7b.com.cn首页的源代码，可以发现在尾部有如下的字样：

这是一个嵌入到7b网址之家首页的页面，即打开www.7b.com.cn也就同时打开了这个页面。
而“http://m.das&
#104ow.&
#99om.cn/m.html”表示的是一个字符串，“&#”后面是每个字符串ASCII的十进制值。
直接把这段乱码保存为HTM文件，用IE打开，就可以看到它的真实面目http://m.dashow.com.cn/m.html”。
第二步 查http://m.dashow.com.cn/m.html的源代码，把看的脚本段中的Execute替换为Document.Write，然后打开这个HTM页面，就会出现一段代码，同样地，把EXECUTE换成我们无敌的Document.Write，前后加脚本标记
，存HTM打开。屏幕上立即出现了一段令人眼花的东西。把眼花缭乱的东西整理一下，并将出现的CHR（）在前面用到过，作用是把字符的ASCII转成字符，只不过这次是16进制。然后再将字符拼接成字符串，然后再Execute运行这个命令字符串
。继续用Document.Write替换掉EXECUTE，前后加脚本标记，存HTM打开。
第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。
on error resume next curl = "http://m.dashow.com.cn/start.exe"……其后省略。
这段代码中我们可以很清楚地看http://m.dashow.com.cn/start.exe这个链接。没错，它就是运行后可以将用户主页锁定为www.7b.com.cn的病毒。
可以用下载工具将这个文件下载下来，如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒，并使更少的网友免受该病毒的侵害。
删除还原文件夹内的病毒方法
NO1:点击“开始”－－运行”输入cleanmgr不管它出现的是哪个盘，都点击“确定”，再选择“其他选项”，看到三个选项，有一个系统还原，点击“清理”看到提示后点击“确定”就行了。
这个方法看起来麻烦，其实很简单的
NO2: 1打开"我的电脑"。
2在工具菜单上，单击文件夹选项。
3在查看选项卡上，单击显示隐藏文件或文件夹。
4清除隐藏受保护的操作系统文件（推荐）复选框。在提示您确定更改时，单击是。
5单击确定6右击根文件夹中的文件夹，然后单击共享和安全。
7单击安全性选项卡。
8单击添加，然后键入要授予该文件夹访问权限的用户的名称。选择相应的帐户位置（本地帐户或来自域）。通常，这是您登录时使用的帐户。单击确定，然后单击确定。
9双击以打开根目录中的文件夹把文件夹里面的内容全部删除即可!
NO3:最简单的关闭系统还原服务,右击我的电脑--属性--系统还原,选择"在所有驱动器上关闭系统还原"会提示是否删除系统还原文件,选是即可
手工一个命令免疫autorun.inf
在autorun刚开始盛行的时候
有人用建立文件夹的方法免疫
可是当一些病毒制造者知道后
便在病毒中插如了先删除autorun.inf文件夹的代码
所以很快变失效了
后来找到了另一种方法:
就是在autorun.inf文件夹下建立一个不可删除的子目录
（1）进入要免疫磁盘的根目录
（2）md autorun.inf (新建一个名为autorun.inf的文件夹)
（3）cd autorun.inf（进入Autorun.inf文件夹）
（4）md killdu..\（关键一步，使得autorun.inf文件夹无法删除）
注意后边一定要带..
这样就不可删除了，病毒也就不可以写入了
关于怎么删除这个文件夹：还是在命令行进入刚建立的autorun.inf目录下
输入 dir /x ，看看刚才建立的文件夹 "killdu.\" 前面是不是有一个乱七八糟的字符串？你可以把这个字符串理解成“killdu.”的真正文件名，用这个文件名，先改名再删除。
或简单点用命令rd autorun.inf\killdu..\,然后再删除autorun.inf文件夹
该方法的小缺点就是可能被改名称,后来找了点资料发现了一个可以在NTFS分区下禁止改名的小技巧.
即在autorun.inf文件夹上点右键，选择"属性--安全 --高级 --编辑`，把“包括可以从该对象的父项继承的权限”前面的对钩去掉，这时，会弹出一个确认对话框，选择点击“删除”，再点击“添加”输入“everyone”再点击“确定”。
确定后弹出的权限设置的窗口中，将“拒绝”下方所有的复选框中，然后按“确定”，在弹出窗口中点击“是”。
这样，这个autorun.inf目录就变成不可写，不可删，不可改名了.此方法只能用于NTFS格式的磁盘,大家也可以开启一些文件监控工具,专门监视磁盘内免疫文件夹的任何改动!
提升权限 把无法删除病毒扫地出门
来源：绅博
很多朋友为了方便BT下载，都爱24小时挂机。全天候的在线，这给一些病毒、木马“入侵”系统带来了极大便利，他们可以在半夜入侵我们的电脑，肆意为非作歹。近日笔者在帮助一位朋友杀毒的时候，就遭遇一个“无法删除的病毒”，下面将查杀经验与大家共享。
1.惊现病毒。朋友的电脑安装的是Windows XP专业版，近来常常彻夜开机用BT下载电影，没想到在一次开机的时候，Norton就报告在下发现病毒“exporer.exe”，不过使用Norton扫描后，虽然可以发现病毒，但Norton提示无法隔离和删除病毒文件。
2.查杀。一般来说，病毒如果无法被直接删除，大多是由于病毒进程在运行导致的，打开任务管理器，找到病毒进程“exporer.exe”顺利将其终止，按照Norton提供病毒文件路径，找到病毒文件后，按住Shift键右击选择“删除”，奇怪的是系统却提示无法删除文件，再次打开任务管理器，我已经确信病毒进程被终止了，而且也不是在写保护状态，为什么无法删除?我试图把文件夹删除，但同样遭到系统拒绝，重启电脑多次仍然是同样的结果。
后来笔者在查看“exporer.exe”属性(看看文件生成日期和大小，以便搜索一下病毒还有没有同伙)时，意外发现属性窗口还有一个“安全”标签，点击后可以看到在用户权限列表“特别权限”的拒绝选项被打上小勾，会不会是文件权限不够导致无法删除？
单击“高级”按钮，在弹出的窗口我看到一个“拒绝删除”的权限，单击“编辑”终于看到文件无法删除的真正原因了，原来当前用户的删除权限被施毒者设置为拒绝了，但是却允许“读取和运行，取消拒绝的权限后，返回文件属性窗口，勾选”允许完全控制“，单击”确定“退出后顺利删除”exporer.exe“。
小技巧
文件(夹)属性“安全”标签只会在NTFS格式的分区出现，如果看不到此标签，打开我的电脑，单击“工具→文件夹选项→查看”，然后在高级设置选项下去除“简单文件共享(推荐)”前的小勾。
笔者在删除“exporer.exe” 后试图删除文件夹，遭到系统拒绝后，通过查看文件夹的“安全”属性，同样可以发现删除权限(删除子文件夹及文件、删除)被拒绝了，同上，取消这个限制后顺利把病毒“扫地出门”。对于文件(夹)，如果是由于权限原因被拒绝操作，一般将权限设置为“完全控制”即可。
小提示
(1)权限是可以继承的，有时候打开某个文件安全属性标签后，可能不会有“拒绝删除”权限，但是如果它的父文件夹设置了“拒绝删除子文件夹及文件”，该文件还是无法被删除的，解决方法是将文件权限设置为完全控制。
(2)文件权限是和文件所有者相关联的，对于办公室多帐户电脑，一些别有用心的人可能还会将木马和用户对应起来(以针对电脑操作水平较低帐户，警惕性不高易于窃取资料)，如果发现木马毒会和对应帐户关联，即有些用户登录后木马会运行，而有些则不会(木马文件权限被设置为禁止读取和删除)，这时可以用系统管理员身份登录，强行将木马文件所有者更改为当前用户，然后设置为完全控制将木马删除。
(3)一点经验。Windows XP/2000的文件(夹)权限，是系统一项特殊功能，它允许灵活设置不同用户的不同权限，一些牧马者通过将病毒程序文件设置为允许“读取和运行”、拒绝“删除”，从而实现更好的“自我保护”。由于更改文件权限操作比较复杂，施毒者一般要在宿主机上亲自操作，对于喜爱全天候挂机的朋友，安装一款防护能力较好的防火墙，关闭一些不必要端口，可以有效防止此类病毒的袭击，如果发现病毒无法删除，在终止进程情况下，大家一定要看看文件权限是否被更改了!
通过卡巴斯基程序完整性控制预防病毒
卡巴自带的程序完整性控制可是主防的精华与核心，相当于HIPS的AD功能，也是很多初学者的难点，如果不启用，则卡巴主防就失去了大半的意义
1、防御脚本病毒
完全阻止system32下的这两个文件，则所有 vbs、js脚本都不能运行
若需运行某些正常的脚本文件，取消这两条规则前面的勾即可
2、防御批处理病毒及恶意格式化
此规则禁止所有 .bat  .cmd命令执行
若需运行某些正常的批处理文件，取消这条规则前面的勾即可
此规则禁止格式化命令执行，所有在windows下的格式化操作都将失败
3、禁止svchost被恶意插入、修改
4、完全禁止alg.exe
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。如果你不使用共享和XP防火墙，可以三个选项全部禁止，否则，禁止修改即可。
5、禁止系统自动更新
这个我是禁止了的，自动更新这种东西，不见得都是有益的，重要的更新可以通过360等工具手动打补丁。
6、允许rundll32.exe和explorer.exe的全部动作
这两个，还是允许修改的好，否则提示框太多了。rundll32.exe控制dll文件的调用，explorer.exe控制某些程序加载到资源管理器，虽然这两个东东经常被病毒利用，但是，如果禁止，系统将出现不可知的错误，如果询问，则弹框非常多。
7、禁止打印机程序被修改
打印机程序也经常被木马插入，禁止修改即可
8、完全禁止IE，彻底断绝灰鸽子的念头
这个设置的前提是，你不使用IE浏览，IE常常被灰鸽子插入，且使用正常端口联网，防火墙一般默认对IE的联网动作放行，禁了IE就彻底断绝了灰鸽子的想法。PS：用遨游或其他浏览器上网即可
9、防御远程控制
telnet.exe为系统自带远程控制，也常被木马利用，禁了它，同时封闭本机3389端口
tftp.exe也是同样道理，用于远程连接的
10、防御机器狗及其变种
机器狗都会修改userinit.exe达到破坏计算机的目的，禁止这个修改，就可有效防御机器狗（最绝的是用NTFS权限设置禁止userinit.exe被修改、写入）
11、禁止conime.exe和ctfmon.exe
这两个也是用来防御机器狗变种，新的机器狗会将这两个文件也修改（conime.exe三个动作全禁止，ctfmon.exe 禁止修改），还有explorer也可以设置禁止被修改（但要允许它运行，并加载系统必须调用的DLL），不截图了
以上在 "卡巴--保护--主动防御--程序完整性控制--设置　"　 里进行设置
通过修复注册表修复IE的一些方法
IE 默认连接首页被修改
IE 浏览器上方的标题栏被改成 “ 欢迎访问　网站 ” 的样式，这是最常见的篡改手段，受害者众多。
受到更改的注册表项目为：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page
通过修改 “Start Page” 的键值，来达到修改浏览者 IE 默认连接首页的目的，如浏览 “” 就会将你的 IE 默认连接首页修改为 httpwww..com ” ，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。
解决办法：
A. 注册表法
① 在 Windows 启动后，点击 “ 开始 ”→“ 运行 ” 菜单项，在 “ 打开 ” 栏中键入 regedit ，然后按 “ 确定 ” 键；
② 展开注册表到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain 下，在右半部分窗口中找到串值 “Start Page” 双击 ，将 Start Page 的键值改为 “aboutblank” 即可；
③ 同理，展开注册表到 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
在右半部分窗口中找到串值 “Start Page” ，然后按 ② 中所述方法处理。
④ 退出注册表编辑器，重新启动计算机，一切 OK 了！
特殊例子：当 IE 的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的 IE 起始页设成他们的网站。
解决办法：
运行注册表编辑器 regedit.exe ，然后依次展开
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun 主键，然后将其下的 registry.exe 子键删除，然后删除自运行程序 cProgram Filesregistry.exe ，最后从 IE 选项中重新设置起始页就好了。
2 、篡改 IE 的默认页
有些 IE 被改了起始页后，即使设置了 “ 使用默认页 ” 仍然无效，这是因为 IE 起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer
MainDefault_Page_URL“Default_Page_URL” 这个子键的键值即起始页的默认页。
解决办法：
A. 运行注册表编辑器，然后展开上述子键，将 “Default_Page_UR” 子键的键值中的那
些篡改网站的网址改掉就好了，或者设置为 IE 的默认值。
B.msconfig 有的还是将程序写入硬盘中，重启计算机后 首页设置又被改了回去，这时可使用 “ 系统配置实用程序 ” 来解决。开始 - 运行，键入 msconfig 点击 “ 确定 ” ，在弹出的窗口中切换到 “ 启动 ” 选项卡，禁用可疑程序启动项。
3 、修改 IE 浏览器缺省主页，并且锁定设置项，禁止用户更改回来。
主要是修改了注册表中 IE 设置的下面这些键值 (DWORD 值为 1 时为不可选 ) ：
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl
Panel]Settings=dword1
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]Links=dword1
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Pan
el]SecAddSites=dword1
解决办法：
将上面这些 DWORD 值改为 “ 0” 即可恢复功能。
4 、 IE 的默认首页灰色按扭不可选
这是由于注册表 HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet E
xplorerControl Panel 下的 DWORD 值 “homepage” 的键值被修改的缘故。原来的键值为 “ 0” ，被修改为 “
1” （即为灰色不可选状态）。
解决办法：
将 “homepage” 的键值改为 “ 0” 即可。
5 、 IE 标题栏被修改
在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值 Window Title 下的键值改为其网站名或更多的广告信息，从而达到改变浏览者 IE 标题栏的目的。
具体说来受到更改的注册表项目为：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title
解决办法：
① 在 Windows 启动后，点击 “ 开始 ”→“ 运行 ” 菜单项，在 “ 打开 ” 栏中键入 regedit ，然后按 “ 确定 ” 键；
② 展开注册表到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain 下，在右半部分窗口中找到串值 “Window Title” ，将该串值删除即可，或将 Window Title 的键值改为 “IE 浏览器 ” 等你喜欢的名字；
③ 同理，展开注册表到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 然后按 ② 中所述方法处理。
④ 退出注册表编辑器，重新启动计算机，运行 IE ，你会发现困扰你的问题解决了！
6 、 IE 右键菜单被修改
受到修改的注册表项目为：
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt 下被新建了网页的广告信息，并由此在 IE 右键菜单中出现！
解决办法：
打开注册标编辑器，找到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
删除相关的广告条文即可，注意不要把下载软件 FlashGet 和 Netants 也删除掉啊，这两个可是 “ 正常 ” 的呀，除非你不想在 IE 的右键菜单中见到它们。
7 、 IE 默认搜索引擎被修改
在 IE 浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改：
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant
解决办法：
运行注册表编辑器，依次展开上述子键，将 “CustomizeSearch” 和 “SearchAssis
tant” 的键值改为某个搜索引擎的网址即可。
8 、系统启动时弹出对话框
受到更改的注册表项目为：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon
在其下被建立了字符串 “LegalNoticeCaption” 和 “LegalNoticeText” ，其中 “L
egalNoticeCaption” 是提示框的标题， “LegalNoticeText” 是提示框的文本内容。由
于它们的存在，就使得我们每次登陆到 Windwos 桌面前都出现一个提示窗口，显示那些网
页的广告信息！你瞧，多讨厌啊！
解决办法：
打开注册表编辑器，找到
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon
这一个主键，然后在右边窗口中找到 “LegalNoticeCaption” 和 “LegalNoticeTex
t” 这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9 、浏览网页注册表被禁用
这是由于注册表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
下的 DWORD 值 “DisableRegistryTools” 被修改为 “ 1” 的缘故，将其键值恢复为 “
0” 即可恢复注册表的使用。
解决办法
用记事本程序建立以 REG 为后缀名的文件，将下面这些内容复制在其中就可以了：
REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
]“DisableRegistryTools”=dword00000000
10 、浏览网页开始菜单被修改
这是最 “ 狠 ” 的一种，让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的
那些症状，还会有以下更悲惨的遭遇：
1) 禁止 “ 关闭系统 ”
2) 禁止 “ 运行 ”
3) 禁止 “ 注销 ”
4) 隐藏 C 盘 —— 你的 C 盘找不到了！
5) 禁止使用注册表编辑器 regedit
6) 禁止使用 DOS 程序
7) 使系统无法进入 “ 实模式 ”
8) 禁止运行任何程序
具体的原因和解决办法请看天极网 e 企业之安全之路栏目的这篇文章：《浏览网页注册表被修改之迷及解决办法》。
以上是比较常见的修改浏览者注册表的现象，今天在浏览网页时，无意中来到某个
个人网站，又遇到了以前没有碰到过的问题：
11 、 IE 中鼠标右键失效
浏览网页后在 IE 中鼠标右键失效，点击右键没有任何反应！
12 、查看 ““ 源文件 ” 菜单被禁用
在 IE 窗口中点击 “ 查看 ”→“ 源文件 ” ，发现 “ 源文件 ” 菜单已经被禁用。
菜单中的 “ 源文件 ” 被禁用。不能查看源文件也就罢了，但是无法使用鼠标右键真是太不方便了。
原来，恶意网页修改了我的注册表，具体的位置为：
在注册表 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer
下建立子键 “Restrictions” ，然后在 “Restrictions” 下面建立两个 DWORD 值： “
NoViewSource” 和 “NoBrowserContextMenu” ，并为这两个 DWORD 值赋值为 “ 1” 。
在注册表
HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestric
tions 下，将两个 DWORD 值： “NoViewSource” 和 “NoBrowserContextMenu” 的键值都改为
了 “ 1” 。
通过上面这些键值的修改就达到了在 IE 中使鼠标右键失效，使 “ 查看 ” 菜单中的 “
源文件 ” 被禁用的目的。要向你说明的是第 2 点中提到的注册表其实相当于第 1 点中提到
的注册表的分支，修改第 1 点中所说的注册表键值，第 2 点中注册表键值随之改变。
解决办法：
明白了道理，问题解决起来就容易多了，具体解决办法为：将以下内容另存为后缀
名为 reg 的注册表文件，比方说 unlock.reg ，双击 unlock.reg 导入注册表，不用重启电脑
，重新运行 IE 就会发现 IE 的功能恢复正常了。
REGEDIT4
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer
Restrictions]
“NoViewSource”=dword00000000
NoBrowserContextMenu=dword00000000
[HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet Explorer
Restrictions]
“NoViewSource”=dword00000000
“NoBrowserContextMenu”=dword00000000
要特别注意的是，在你编制的注册表文件 unlock.reg 中， “REGEDIT 4” 一定要大写
，并且它的后面一定要空一行，还有， “REGEDIT 4” 中的 “ 4” 和 “T” 之间一定不能有空格，否则将前功尽弃！许多朋友写注册表文件之所以不成功，就是因为没有注意到上面所说的内容，这回该注意点哦。
请注意如果你是 Win2000 或 WinXP 用户，请将 “REGEDIT 4” 改为 Windows Registry Editor Version 5.00
系统自带的最不起眼但又很强大的杀毒程序
大家常用的Windows系统集成了无数的工具，它们各司其职，满足用户不同的应用需求。其实这些工具“多才多艺”，如果你有足够的想象力并且善于挖掘，你会发现它们除了本行之外还可以帮我们杀毒。不信?你看吧!
一、任务管理器给病毒背后一刀
Windows任务管理器是大家对进程进行管理的主要工具，在它的“进程”选项卡中能查看当前系统进程信息。在默认设置下，一般只能看到映像名称、用户名、CPU占用、内存使用等几项，而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息，当系统出现莫名其妙的故障时，没准就能从它们中间找出突破口。
1.查杀会自动消失的双进程木马
前段时间朋友的电脑中了某木马，通过任务管理器查出该木马进程为“system.exe”，终止它后再刷新，它又会复活。进入安全模式把c:\windows\system32\system.exe删除，重启后它又会重新加载，怎么也无法彻底清除它。从此现象来看，朋友中的应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。
调出Windows任务管理器，首先在“查看→选择列”中勾选“PID(进程标识符)”，这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口，执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令如图1，可以看到这次终止的system.exe进程的PID为1536，它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器，通过查询进程PID得知它就是“internet.exe”进程进程。(如图)
找到了元凶就好办了，现在重新启动系统进入安全模式，使用搜索功能找到木马文件c:\windows\internet.exe ，然后将它们删除即可。前面无法删除system.exe，主要是由于没有找到internet.exe(且没有删除其启动键值)，导致重新进入系统后internet.exe复活木马。
2.揪出狂写硬盘的P2P程序
单位一电脑一开机上网就发现硬盘灯一直闪个不停，硬盘狂旋转。显然是本机有什么程序正在进行数据的读取，但是反复杀毒也没发现病毒、木马等恶意程序。
打开该电脑并上网，按Ctrl+Alt+Del键启动了任务管理器，切换到“进程”选项卡，点击菜单命令“查看→选择列”，同时勾选上“I/O写入”和“I/O写入字节”两项。确定后返回任务管理器，发现一个陌生的进程hidel.exe，虽然它占用的CPU和内存并不是特别大，但是I/O的写入量却大得惊人，看来就是它在捣鬼了，赶紧右击它并选择“结束进程”终止，果然硬盘读写恢复正常了。
二、系统备份工具杀毒于无形
笔者曾遭遇一个无法删除的病毒“C：\Program Files\Common Files\PCSuite\rasdf.exe”，同时也无法复制这个文件，如何清除它。笔者通过系统备份工具清除了该病毒，操作过程如下：
第一步：单击“开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，备份项目选择“让我选择要备份的内容”，定位到“C:\Program Files\Common Files\PCSuite”。
第二步：继续执行备份向导操作，将备份文件保存为“g:\virus.bkf”，备份选项勾选“使用卷阴影复制”，剩余操作按默认设置完成备份。
第三步：双击“g:\virus.bak”，打开备份或还原向导，把备份还原到“g:\virus”。接着打开“g:\virus”，使用记事本打开病毒文件“rasdf.exe”，然后随便删除其中几行代码并保存，这样病毒就被我们使用记事本破坏了(它再也无法运行)。
第四步：操作同上，重新制作“k:\virus”的备份为“k:\virus1.bkf”。然后启动还原向导，还原位置选择“C：\Program Files\Common Files\PCSuite\”，还原选项选择“替换现有文件”。这样，虽然当前病毒正在运行，但备份组件仍然可以使用坏的病毒文件替换当前病毒。还原完成后，系统提示重新启动，重启后病毒就不会启动了(因为它已被记事本破坏)。
三、记事本借刀杀人
1.双进程木马的查杀
现在，越来越多的木马采用双进程守护技术保护自己，就是两个拥有同样功能的代码程序，不断地检测对方是否已经被别人终止，如果发现对方已经被终止了，那么又开始创建对方，这给我们的查杀带来很大的困难。不过，此类木马也有“软肋”，它只通过进程列表进程名称来判断被守护进程是否存在。这样，我们只要用记事本程序来替代木马进程，就可以达到“欺骗”守护进程的目的。
下面以某变种木马的查杀为例。中招该木马后，木马的“internet.exe”和“systemtray.exe”两个进程会互相监视。当然，我们中招的时候大多不知道木马具体的监护进程。不过，通过进程名称可以知道，“systemtray.exe”是异常的进程，因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。
第一步：单击“开始→运行”，输入“Msinfo32”打开系统信息窗口，展开“系统摘要→软件环境→正在运行任务”，这里可以看到“systemtray.exe”路径在“C:\Windows\System32”下。
第二步：打开“C:\Windows\System32”，复制记事本程序“notepad.exe”到“D:\” ，同时重命名为“systemtray.exe”。
第三步：打开记事本程序，输入下列代码，保存为“shadu.bat”，放置在桌面(括号为注释，无须输入)：
@echo off
Taskkill /f /im systemtray.exe (使用taskkill命令强行终止“systemtray.exe”进程)
Delete C:\Windows\System32\systemtray.exe (删除病毒文件)
Copy d:\systemtray.exe C:\Windows\System32\(替换病毒文件)
第四步：现在只要在桌面运行“shadu.bat”，系统会将“systemtray.exe”进程终止并删除，同时把改名的记事本程序复制到系统目录。这样，守护进程会“误以为”被守护进程还存在，它会立刻启动一个记事本程序。
第五步：接下来我们只要找出监视进程并删除即可，在命令提示符输入:
“taskkill /f /im systemtray.exe ”，将守护进程再生的“systemtray.exe”终止，可以看到“systemtray.exe”进程是由“PID 3288的进程”创建的，打开任务管理器可以看到“PID 3288的进程”为“internet.exe”，这就是再生进程的“元凶”。
第六步：按照第一步方式，打开系统信息窗口可以看到“internet.exe”也位于系统目录，终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。
2.使病毒失效并删除
大家知道，文件都是由编码组成的，记事本程序理论上可以打开任意文件(只不过有些会显示为乱码)。我们可以将病毒打开方式关联到记事本，使之启动后变成由记事本打开，失去作恶的功能。比如，一些顽固病毒常常会在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等启动位置生成难以删除的键值，达到恶意启动的目的。下面使用记事本来“废”掉病毒的生命力。
第一步：启动命令提示符，输入“ftype exefile=notepad.exe %1”，把所有EXE程序打开方式关联到记事本程序，重启系统后我们会发现桌面自动启动好几个程序，这里包括系统正常的程序如输入法、音量调整程序等，当然也包括恶意启动的流氓程序，不过现在都被记事本打开了。
第二步：根据记事本窗口标题找到病毒程序，比如上例的systemtray.exe程序，找到这个记事本窗口后，单击“文件→另存为”，我们就可以看到病毒具体路径在“C:\Windows\System32”下。现在关掉记事本窗口，按上述路径提示进入系统目录删除病毒即可。
第三步：删除病毒后就可以删除病毒启动键值了，接着重启电脑，按住F8，然后在安全模式菜单选择“带命令提示的安全模式”，进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。
四、注册表映像劫持让病毒没脾气
现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，利用的是注册表中的如下键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反，让我们自己可以利用此处欺瞒病毒木马，让它实效。可谓，瞒天过海，还治其人。
下面我们以屏蔽某未知病毒KAVSVC.EXE为例，操作方法如下：
第一步：先建立以下一文本文件，输入以下内容，另存为1.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
"Debugger"="d:\1.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
"Debugger"="d:\1.exe"
(注：第一行代码下有空行。)
第二步：双击导入该reg文件后，确定。
第三步：点“开始→运行”后，输入KAVSVC.EXE。
提示：1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的，
总结：当我们饱受病毒木马的折磨，在杀毒软件无能为力或者感觉“杀鸡焉用宰牛刀”时，不妨运用系统工具进行病毒木马的查杀，说不定会起到意想不到的效果哦!
修复病毒导致所有文件夹为隐藏
记得第一次遇到的所有文件夹被隐藏的情况是U盘病毒(所谓autrun病毒)修改的，当时有人用usbcleaner搞定，不过后来屡次出现，也说不清是具体什么病毒搞的。总之，现象是所有文件夹被设成隐藏属性，而且在文件夹属性中“隐藏”属性是灰色的、不可修改，即使能改，那么多文件夹一一改正，也是大工程。
解决方法，我曾经以为是在哪设一下就可以，比如注册表什么的，后来一直没找到，只找到attrib命令修复的方法：
进入命令提示符(开始-运行-cmd)，进入要修复的硬盘分区根目录下，输入以下的命令：attrib　-h　*.*　/s/d
上面命令中-h是去掉隐藏属性，/s是修改范围包括所有子文件夹，/d是修改范围包括文件夹。
attrib命令具体命令格式和参数如下：
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [drive:][path][filename] [/S [/D] [/L]]
作用：显示或更改文件属性。
+　 设置属性。
-　 清除属性。
R　 只读文件属性。
A　 存档文件属性。
S　 系统文件属性。
H　 隐藏文件属性。
I　 无内容索引文件属性。
[drive:][path][filename]　指定 attrib 要处理的文件。
/S　处理当前文件夹及其所有子文件夹中的匹配文件。
/D　也处理文件夹。
/L　处理符号链接和符号链接目标的属性。
修改注册表权限免疫U盘病毒的方法
有些新人会觉得关闭了自动播放，Autorun.inf的脚本将不会被自动运行，插入光盘后也不会出现什么程序。当然那个搜索对话框更不会出现~这大概是自动播放和自动运行唯一的关系。
但是，如果你插入一张有Autorun.inf的文件，然后打开右键菜单，你可以发现“自动播放”那几个字是粗体，表明如果你双击光驱图标Autorun.inf脚本仍然会被执行。这个情况对U盘同样适用。
所以即使你关闭了自动播放，接上一个带了毒的U盘，双击，病毒仍然会被激活，唯一的区别就是原来可能出现的让你选择操作的窗口不会再出现。
修改注册表权限免疫U盘病毒的方法：
打开注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
在键MountPoints2上点右键，选择权限，将Administrators组和SYSTEM组的完全控制都设为阻止即可。
简单说下原理：
Windows读取Autorun.inf后，会修改MountPoints2下的子键以添加新的右键菜单项。
将这个键的权限设为阻止，指向病毒的菜单项无法出现，病毒自然也就不能被激活了,比较实用
一个命令追查DLL病毒的踪迹
经常在网上看到网友们抱怨查到某DLL文件为木马病毒,但又删除不了,即使暂时删除完毕,但一重启仍然会出现.
其实这主要原因是系统中的正常进程调用了该DLL,导致病毒始终在运行中.所以我们要先查出DLL被插入到了哪些进程,这里需要一条命令:tasklist /m 病毒DLL文件名.效果如图:
查出来了吧,原来进程virus.exe 调用了此DLL,进程ID为2656,那我们现在关闭改进程,如果是系统必需的关键进程可以用wsyscheck等工具选中进程再卸载此DLL.图:
一种安全打开U盘的技巧
在使用Ｕ盘时，为了避免通过双击，或者右击盘符时，导致把病毒感染至整个电脑，因此使用下面的方法，可使Ｕ盘病毒不被激活传播。
在取消了U盘自动运行的情况下（在组策略中一定要关闭自动运行功能，否则只要一插上Ｕ盘，就会自动打开Ｕ盘使病毒传播）。
插入U盘后，
在Windows操作系统中点击左下角“开始”——>“运行”——>输入“CMD”命令（进入DOS命令模式）——>键入“G：”（举例G盘为U盘的盘符，此命令为进入Ｕ盘所在盘符）——键入“start .”（注意start 后面是一个点“。”此命令为打开Ｕ盘）
说明：现在的Ｕ盘病毒比较猖獗，在设计时，哪怕用户使用“资源管理器”打开Ｕ盘，也会激活病毒，此种打开Ｕ盘的方法，是一种非常规的打开方式，病毒的激活代码中并不会涉及到DOS中的内容，因此这种方法是目前打开Ｕ盘最安全的方法了
以其道还其身 注册表映像劫持巧治病毒
以其道还其身 注册表映像劫持巧治病毒
现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，利用的是注册表中的如下键值：
HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性，其实，我们也可以利用该键值来欺瞒病毒木马，让它实效。可谓，将计就计，还治其人。
下面我们以屏蔽某未知病毒KAVSVC.EXE为例，操作方法如下：
第一步：先建立以下一文本文件，输入以下内容：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSVC.EXE]
”Debugger”=”d：1.exe”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSVC.EXE]
”Debugger”=”d：1.exe”
（注：第一行代码下有空行。）
第二步：将以上文本另存为1.reg，双击1.reg以导入该reg文件，确定。
第三步：点“开始→运行”后，输入KAVSVC.EXE。
提示：1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的
用组策略阻击“流氓软件”
在网友下载的软件中附带未经用户许可就强制安装的软件或插件，这就是“捆绑”，是“流氓软件”们的重要推广式，一般来说，用户很难避免它们的骚扰，但探究一下就会发现，软件的安装其实就是个解压和调用安装程序，复制文件的过程，如果能在“流氓软件”的安装文件被调用时就阻止它的运行，不就把它们拒之门外了吗？明白了这个原理，我们就可用系统组策略阻击流氓软件了。
第一步，在“开始”－“运行”中输入“gpedit.msc”,回车打开“组策略”窗口。
第二步，依次单击“windowns设置”－“安全设置”－“软件限制策略”，默认状态下此策略应为空白，在“软件限制策略”上单击右键，选择“创建新的策略”，其下会出现“安全级别”和“其它规则”两个策略。
第三步，选择“其它规则”，然后在右边窗口中选择“新散列规则”，单击“文件散列”中的“浏缆”选择“流氓软件”的安装文件，再在“安全级别”下拉列表中选择“不允许的”，单击“确定”关闭对话框。
提示：这一步的关键就在于如何确定“流氓软件”的安装文件，其实并不困难，以常用的P2P软件Poco为例，此软件捆绑了3721上网助手，只要查看其安装目录就可以找到两个看上去和P2P不相关的程序3721.bat的Assist4.exe，前者毫无疑问是3721，查看后者的文件属性就会发现其“描述”为“上网助手”。禁止目标就是这样确定的。
设置完成后重启计算机，此策略即可生效。以后当此程序将被执行时，就会弹出“windowns无法打开此程序”的错误提示。
在Win XP中赤手空拳备份注册表
本文以Windows XP为例(其他Windows版本可参考操作)，介绍使用Windows“记事本”程序查找、修改注册表数据以及使用简单的批处理脚本备份注册表的方法。
两个重要的分支
1.用户个人数据[HKEY_CURRENT_USER]
该分支中存放的是当前登录用户的个人喜好设置、所用的软件的设置等个人数据。无论来宾、受限用户、高级用户还是管理员，都可以修改属于自己个人的注册表数据。用户个人的注册表数据就是“注册表编辑器”左侧窗格[HKEY_CURRENT_USER]所包含的项、子项和值项。
2.系统的核心数据[HKEY_LOCAL_MACHINE]
只有管理员权限的用户可以访问系统注册表数据，其中存放了系统中各项重要的核心设置数据。系统的注册表数据就是“注册表编辑器”左侧窗格显示的[HKEY_LOCAL_MACHINE]所包含的项、子项和值项。
与备份注册表过招
任务1:备份注册表分支并编辑部分设置
第一步:点击“开始→运行”(或命令行提示符)，输入以下命令导出两个注册表分支(驱动器、路径及文件可自定义)，导出后的myreg.reg大小约为8MB～9MB，而sysreg.reg大小约为30MB～60MB，视个人情况略有不同。
reg export hkcu c:\myreg.reg
reg export hklm c:\sysreg.reg
第二步:分别右击myreg.reg和sysreg.reg，选择“编辑”或“发送到→记事本”(创建右键菜单“发送到→记事本”，可将“开始”菜单中的“记事本”快捷方式复制到“C:\Documents andSettings\username\SendTo”文件夹)，用“记事本”程序打开myreg.reg文件。
第三步:点击菜单命令“编辑→查找”，输入要查找内容的关键字，单击“查找下一个”。查找到一个数据，可执行删除、修改操作，然后按F3键可继续查找下一个数据。查找、修改所有数据，选择菜单“文件→保存”保存注册表文件即可!
值得注意的权限控制点
有时候,我们会苦恼与建立了密密麻麻的杀毒软件,防火墙,入侵检测系统的防线后,仍然会在不经意中让些病毒乘虚而入,特别是新变种或新病毒等可以暂时免杀的,难道我们真的拿它们没办法了吗,答案是--NO.
我们还有权限设置这个杀手锏,通过它可以让潜入进系统的病毒无处寄生,最终让它们失去隐藏的功效,活活的饿死!下面就来介绍下最常用的权限设置地点:
一,心脏保护
windows
system32
权限设置:请确保您的硬盘分区为NTFS格式，并且在“文件夹选项”中去掉“简单文件共享”的勾选。并在这两个文件夹的属性-安全，删除administrators和system以外的所有用户组，然后再去掉administrators和system的“完全控制”“修改“写入”这三个勾选.
作用:这是系统的心脏所在,不保护好后果可想而知,当有病毒向系统写入病毒时会因为没有足够权限而无法写入。当然这样在安装某些程序时也会不能成功安装，需要你手动把administrators和system的完全控制权限再次赋予才能够实现，安装完毕后再把权限改回来就可以了。
二,插入DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
权限设置:所有人可读不可写
作用:早期的进程插入式木马的伎俩，通过修改注册表中来达到插入进程的目的。虽然插入DLL还有其它方法,但最简单的方法最不容忽视.
三,映象劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
权限设置:所有人可读不可写
作用:近年来病毒流行的反杀安全工具的方法,进入这里,不仅可以让安全工具一无是处,更杀添加了病毒启动的一种途径,必要时可以干脆删除该项
四,文件关联
HKEY_CLASSES_ROOT\exefile\shell\open\command
权限设置:所有人可读不可写
作用:修改文件关联可以达到打开某种类型文件即打开病毒程序,用得比较早的一个方法,但如果遇到粗心的病毒制作者,很可能导致所有文件无法打开.
五,自动播放
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom\Autorun
权限设置:所有人可读不可写
作用:双击任意盘即运行病毒也是现在出现较多的情况,对此只有关闭系统的自动播放功能,杜绝其启动的途径.
六,显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
权限:可读不可写
作用:病毒是需要隐藏的,为了避免隐藏后被显示出来,所以会更改注册表是系统无法显示任何隐藏文件,阴险之极.
七,IE劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
权限设置:所有人可读不可写
作用:流氓软件也和病毒混为一体了,不想一打开网页就弹出一大堆网页的话就要避免IE被劫持或更换流览器.
八,启动项
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
权限设置:所有人只读不可写
作用:以上注册表中所有可设置程序开机自起的地方,也是病毒最喜欢的地点.不可掉以轻心.
九,映象劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。
权限设置:所有用户可读不可改写
作用:防止病毒劫持杀软或冒充某正常程序运行
十,显示隐藏文件
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
病毒会删除此项,然后重新建立其它类型,使用户无法查看隐藏文件
权限设置:可读不可改写
作用:避免无法显示隐藏文件
十一,安全模式
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
进安全模式查杀病毒是现在很流行的方法了,虽然不能绝对清除病毒,但也对删除顽固程序有一定的帮助
权限设置:可读不可改写
作用:阻止病毒破坏注册表达到无法进入安全模式的目的
以上为病毒常用的敏感区域,为了避免遭到破坏都应该加以严格的权限设置.但系统和正常程序有时呀会访问这些地方,所以设置完毕后也可能对网友一些正常操作产生不便,需要注意!
重装系统卡巴巧升级
用卡巴斯基有段时间了，中间重装系统好几次，每次重装后给卡巴升级都要耗费很长的时间，经过研究摆弄之后，终于找到了解决办法。
现该一下卡巴的升级文件夹，它默认是在C盘里，要把它移到别的盘里去。依次点击“设置，更新，配置”，打开卡巴的更新配置选项，在附加里更改一下更新分发文件夹的位置，在更新来源里去掉“kaspersky Lab的更新服务器”的勾选，点击“添加”，在更新来源里找到自己刚才设置的“更新分发文件夹”就好了。
这样我们在重装系统的时候就不用再耗费大量的时间去网上更新了，直接用自己以前设置好的“更新分发文件夹”就能把病毒库恢复到重装系统前的状态，这样更加方便快捷些
注册表+组策略运行病毒不中病毒
适合喜欢测病毒的朋友,可以这样玩,不需要第三方安软,同样不中病毒
前提必须是NTFS分区
方法为，先改注册表
去注册表
运行栏输入REGEDIT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个DOWRD，命名为Levels，其值可以为
0x10000　　　　　　　　　//增加受限的
0x20000　　　　　　　　　//增加基本用户
0x30000　　　　　　　　　//增加受限的，基本用户
0x31000　　　　　　　　　//增加受限的，基本用户，不信任的（不信任和不允许差不了多少）
建议设成0x30000或0x31000。
然后去组策略的软件限制策略
中。
把C:\WINDOWS\explorer.exe设置为受限的,然后运行病毒就可以了,大都不会中病毒
注：命令设置好后.需要重启,或结束正在运行的C:\WINDOWS\explorer.exe,然后在重启explorer.exe
然后点击病毒样本试试.
安装用任务管理器安装就可以正常安装了,这就实现了能运行病毒不中病毒,又能安装了.
只是运行别的程序时要用任务管理器运行.如现在俺正在用的浏览器,就是用任务管理器运行的.
这个方法主要目的是可以看出了受限用户的权限是如此低的,也看出了组策略强大的继承性
如果实际这样使用很不方便,玩玩还可以.
---------