今天由我这个小菜来给大家综合一下病毒到底藏在什么地方，关于这方面的文章网上很多，

    大家可以去查一下，当然我做的也不是很全面，我还是个初学者，由于是第一次发帖，肯定会有

    很多缺陷，请大家多多谅解，如果这个文章对大家有所帮助，我还是心满意足了。

    废话少说，Let's go！

    1：Win.ini 和 System.ini中（位于系统盘的Windows文件夹中）

    在Win.ini中"run="和"load="下什么都没有

    在System.ini中 "shell=文件名"， 这个文件名必须是explorer.exe，在这里特别要细心的看，看看explorer.exe是不是写成expl0rer.exe或者iexplorer.exe等类似的。

    如果满足以上俩个条件，那么可以说win.ini和system.ini是正常的文件。

    win.ini对应的注册表为:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

    system.ini对应的注册表为：HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

    2:检查系统配置和注册表

    Win+R 调出运行对话框输入msconfig按回车调出系统配置，在启用项里查找不明的程序，勾掉前面的对话框按确定，那么系统在下次启动时不加载勾掉的程序。

    注册表启动项：

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

    HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce

    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

    startup="c:/windows/start menu/programs/startup"

    3：Autoexec.bat文件（位于系统盘根目录）

    随着系统启动自动运行的批处理文件，只加载windows必备的系统进程，如path（路径），smartdrv（硬盘加速），mouse（鼠标驱动），set（设置环境变量）等

    如果有不明的东东的话，就应该更加注意一些了。

    有的系统的autoexec.bat文件的大小为0kb，这很正常，

    （*我要是没有记错的话autoexec.bat文件的大小不超过64kb，如果大于64kb那么这个文件一定有问题。）

    4：Temp临时文件夹中

    这种病毒很多，有的也很顽固，一般杀毒软件都可以查杀，但往往杀的都不是很彻底，这里建议使用木马专杀工具，

    比如：AVG， TrojanHunter，木马克星等等。个人建议手工删除法，在安全模式下，和文件粉碎软件一同使用。

    5：$NTUNINSTALLQ*****$（*代表数字，一般为微软更新补丁）

    恶意脚本病毒，常在系统盘下生成文件夹$NTUNINSTALL******$,冒充微软更新补丁，带隐藏属性，来迷惑别人。

    6：dll行病毒

    这类病毒一般是后门病毒，启动dll文件的exe载体是不可缺少的，被称为Loader，那么dll文件怎么运行呢？

    因此好的dll后门会尽量保护自己的Loader不被查杀。Loader方式有很多，可以是专门为dll编写的exe文件，

    也可以是rundll32.exe和svchost.exe，即使停止了rundll32.exe和svchost.exe，dll后门还是存在的，

    svchost.exe对应的注册表的位置

    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

    每个键值表示一个独立的Svchost.exe

    系统盘:\windows\system32\svchost.exe 存在一个svchost.exe

    系统盘:\windows\system32\dllcache\svchost.exe  存在一个svchost.exe

    对策：因为后门打开特定的端口，dll后门也不例外，可以再cmd里输入netstat-ano 查看可疑的进程，把端口关闭。

    关闭端口方法有很多，可以用防火墙进行端口关闭，配置ip安全策略把端口关闭。

    在此不做介绍。

    8：autorun.inf（位于系统根目录，自启动文件）

    由于网上关于autorun.inf的文章很多，再此不做介绍。

本篇文章来源于 黑基网-中国最大的网络安全站点 原文链接：http://www.hackbase.com/tech/2010-03-18/59575.html

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。