6、右键该项目条,选择“GOOGLE/MSN”,在网上查找该映像文件的相关资料:
图19
7、经过在网络上查找资料确认,认定该文件为病毒文件(为说明问题才这样说的,别当真!),这就证明ZSMC301B这个自启动项目就是病毒的驱动保护。在该项目条上右键,选择“删除”,删除了该自启动项之后, USBVM31B.SYS这个病毒文件失去了驱动保护,也就无用武之地了,而且可以直接用“SHIFT”+“DEL”删除(如果不删除此驱动保护,你会发现在删除“USBVM31B.SYS”这个映像文件时,会出现“该文件正在运行,请关闭相关的程序后再删除”之类的提示,或者即便能删除也会很快复活。这就是病毒或流氓软件热衷于此的根本原因)。
图20
8、为了彻底不留后患,按照AUTORUNS提供的信息找到该映像文件(删除ZSMC301B这个自启动项前可以在其项目条上右键,选择“复制”,将复制内容粘贴到写字板或记事本中,以便删除映像文件时查找该文件的路径和文件名),删除c:windowssystem32driversUSBVM31B.SYS这个文件。
图21
案例二、通过“比较”检验自己当前的自启动项是否有问题。
如果以前在机器正常时保存了AUTORUNS的日志,而当前感觉机器明显有问题,可以通过以下办法简单确认恶意软件可能添加的自启动项:
1、双击打开autoruns.exe,进入AUTORUNS窗口,依次点“文件”--“比较”;
图22
2、在弹出的对话框中选定前面保存的日志后,点“打开”;
图23
3、这时AUTORUNS将会对当前自启动项同打开日志的自启动项进行比较,对当前自启动项如果比老日志多或者少,整个列表的项目将以绿色突出显示!
图24
4、接下来,可以再保存一份新日志,与老日志比对,寻找有差异的自启动项。如果新日志比老日志启动项目多,则先确认多的启动项目是否是恶意自启动项,可以按照案例一第2到第6步的办法检测,如果确认多出的自启动项是不正常的,参照案例一第7-8步的办法清理。
