替換系統(tǒng)程序病毒與windows文件保護

1.windows文件保護

近期網(wǎng)絡上出現(xiàn)很多替換系統(tǒng)文件的病毒，有些病毒會替換系統(tǒng)加載或用戶登錄Windows界面時運行的系統(tǒng)程序，因此這類病毒比較難殺。

目前常見病毒：

1、替換userinit.exe

2、替換explorer.exe

如何防范此類病毒呢？其實，系統(tǒng)本身具有保護系統(tǒng)程序不被篡改的防護機制——windows文件保護。

電腦中毒，系統(tǒng)程序被病毒替換的原因是用戶沒有開啟“windows文件保護”，或者未完全執(zhí)行“windows文件保護”步驟中的sfc/scannow。

最近，幫朋友解決一個usreinit.exe被病毒替換的中毒案例時，查看其dllcache文件夾，發(fā)現(xiàn)其中只有212個文件（圖1），顯然此系統(tǒng)未完全執(zhí)行過sfc/scannow。

2.搞定病毒

搞定病毒后，幫其完成“windows文件保護”。步驟如下：

1、點擊“開始”、“運行”。

2、鍵入cmd，按回車。

3、鍵入sfc/scannow，按回車（圖2）。

4、耐心等待windows文件保護掃描完成。

5、完成windows文件保護掃描后，再檢查以下dllcache文件夾（受保護的系統(tǒng)文件緩存處），發(fā)現(xiàn)文件數(shù)目達3340個。

6、最后，再查看一下“組策略”中的相應設置（圖3）。