1.windows文件保護(hù)

近期網(wǎng)絡(luò)上出現(xiàn)很多替換系統(tǒng)文件的病毒，有些病毒會(huì)替換系統(tǒng)加載或用戶登錄Windows界面時(shí)運(yùn)行的系統(tǒng)程序，因此這類病毒比較難殺。

目前常見病毒：

1、替換userinit.exe

2、替換explorer.exe

如何防范此類病毒呢？其實(shí)，系統(tǒng)本身具有保護(hù)系統(tǒng)程序不被篡改的防護(hù)機(jī)制——windows文件保護(hù)。

電腦中毒，系統(tǒng)程序被病毒替換的原因是用戶沒(méi)有開啟“windows文件保護(hù)”，或者未完全執(zhí)行“windows文件保護(hù)”步驟中的sfc/scannow。

最近，幫朋友解決一個(gè)usreinit.exe被病毒替換的中毒案例時(shí)，查看其dllcache文件夾，發(fā)現(xiàn)其中只有212個(gè)文件（圖1），顯然此系統(tǒng)未完全執(zhí)行過(guò)sfc/scannow。

2.搞定病毒

搞定病毒后，幫其完成“windows文件保護(hù)”。步驟如下：

1、點(diǎn)擊“開始”、“運(yùn)行”。

2、鍵入cmd，按回車。

3、鍵入sfc/scannow，按回車（圖2）。

4、耐心等待windows文件保護(hù)掃描完成。

5、完成windows文件保護(hù)掃描后，再檢查以下dllcache文件夾（受保護(hù)的系統(tǒng)文件緩存處），發(fā)現(xiàn)文件數(shù)目達(dá)3340個(gè)。

6、最后，再查看一下“組策略”中的相應(yīng)設(shè)置（圖3）。