問:前兩天我打開了mail中的一個(gè)附件，因?yàn)槟莻€(gè)mail的地址和我一個(gè)同事的地址很像，因此沒有多考慮就將附件下載打開了。不想這個(gè)附件是個(gè)病毒，它讓我的機(jī)器變的很慢，殺毒之后好像沒有太大作用。請問我該怎么辦?

　　答:病毒、木馬、和一些惡意軟件，往往都會對Widnows的注冊表下毒手，雖然破壞形式不盡相同，但是經(jīng)過分析它們的破壞手法并非無規(guī)律可循。這里列出了一些用戶系統(tǒng)中被易被修改的系統(tǒng)設(shè)置和注冊表項(xiàng)。建議再換用其他木馬專殺工具試一下，并再針對以下注冊表鍵值進(jìn)行檢查，看看是否有被改動(dòng)過的跡象。

　　系統(tǒng)設(shè)置文件

　　對于Widnows 9X系統(tǒng)，常見的是病毒修改可能會更改autoexec.bat，只要在其中加入執(zhí)行病毒程序文件的語句即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的“run=”后面加入病毒自身的文件名，或者在system.ini文件中將“shell=”更改。

　　注冊表鍵值

　　目前，只要新出的蠕蟲/特洛伊類病毒一般都有修改系統(tǒng)注冊表的動(dòng)作。它們修改的位置一般有以下幾個(gè)地方:

　　在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的系統(tǒng)服務(wù)程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序，這是病毒最有可能修改/添加的地方

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command

　　說明:此鍵值能使病毒在用戶運(yùn)行任何EXE程序時(shí)被運(yùn)行，以此類推，..\txtfile\.. 或者 ..\comfile\.. 也可被更改，以便實(shí)現(xiàn)病毒自動(dòng)運(yùn)行的功能。

　　另外，有些健值還可能被利用來實(shí)現(xiàn)比較特別的功能:

　　有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =

　　為了阻止用戶利用.REG文件修改注冊表鍵值，以下鍵值也會被修改來顯示一個(gè)內(nèi)存訪問錯(cuò)誤窗口

　　例如:Win32.Swen.B 病毒 會將缺省健值修改為:

　　HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"

　　通過對以上地方的修改，病毒程序主要達(dá)到的目的是在系統(tǒng)啟動(dòng)或者程序運(yùn)行過程中能夠自動(dòng)被執(zhí)行，已達(dá)到自動(dòng)激活的目的。