Windows安全模式下的另類殺毒方法

相信有一部份的用戶對Windows操作系統安全模式的應用還比較模糊，下面的我們就給大家講講Windows安全模式的應用技巧。

基礎知識

安全模式是Windows操作系統中的一種特殊模式，經常使用電腦的朋友肯定不會感到陌生，在安全模式下用戶可以輕松地修復系統的一些錯誤，起到事半功倍的效果。安全模式的工作原理是在不加載第三方設備驅動程序的情況下啟動電腦，使電腦運行在系統最小模式，這樣用戶就可以方便地檢測與修復計算機系統的錯誤。

進入安全模式

只要在啟動計算機時，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵)，就會出現操作系統多模式啟動菜單，只需要選擇“Safe Mode，就可以將計算機啟動到安全模式。

刪除頑固文件

我們在Windows下刪除一些文件或清除資源回收站內容時，系統有時會提示「某某文件正在使用中，無法刪除」的字樣，不過這些文件並無使用中，此時可試著重新啟動計算機並在啟動時進入安全模式。進入安全模式後，Windows會自動釋放這些文件的控制權，便可以將它們刪除。

“安全模式還原

如果計算機不能正常啟動，可以使用“安全模式或者其它啟動選項來啟動計算機，在電腦啟動時按下F8鍵，在啟動模式菜單中選擇安全模式，然後按下面方法進行系統還原：

點擊“開始→“所有程序→“附件→“系統工具 →“系統還原，打開系統還原向導，然後選擇“恢復我的計算機到一個較早的時間選項，點擊“下一步按鈕，在日歷上點擊黑體字顯示的日期選擇系統還原點(圖3)，點擊“下一步按鈕即可進行系統還原。

查殺病毒

現在病毒一天比一天多，殺毒軟件也天天更新。但是，在Windows下殺毒我們未免有些不放心，因為它們極有可能會交叉感染。而一些殺毒程序又無法在Dos下運行，這時候我們當然也可以把系統啟動至安全模式，使Windows只加載最基本的驅動程序，這樣殺起病毒來就更徹底、更干淨了。

解除組策略鎖定

其實Windows中組策略限制是通過加載注冊表特定鍵值來實現的，而在安全模式下並不會加載這個限制。重啟開機後按住F8鍵，在打開的多重啟動菜單窗口，選擇“帶命令提示符的安全模式。進入桌面後，在啟動的命令提示符下輸入“C:/Windows/System32/XXX.exe(你啟動的程序)，啟動控制台，再按照如上操作即可解除限制，最後重啟正常登錄系統即可解鎖。

注：組策略的很多限制在安全模式下都無法生效，如果碰到無法解除的限制，不妨進入下尋找解決辦法。

修復系統故障

如果Windows運行起來不太穩定或者無法正常啟動，這時候先不要忙著重裝系統，試著重新啟動計算機並切換到安全模式啟動，之後再重新啟動計算機，系統是不是已經恢復正常了?如果是由於注冊表有問題而引起的系統故障，此方法非常有效，因為Windows在安全模式下啟動時可以自動修復注冊表問題，在安全模式下啟動Windows成功後，一般就可以在正常模式(Normal)下啟動了。

恢復系統設置

如果用戶是在安裝了新的軟件或者更改了某些設置後，導致系統無法正常啟動，也需要進入安全模式下解決，如果是安裝了新軟件引起的，請在安全模式中卸載該軟件，如果是更改了某些設置，比如顯示分辨率設置超出顯示器顯示范圍，導致了黑屏，那麼進入安全模式後就可以改變回來，還有把帶有密碼的屏幕保護程序放在“啟動菜單中，忘記密碼後，導致無法正常操作該計算機，也可以進入安全模式更改。

揪出惡意的自啟動程序或服務

如果電腦出現一些莫明其妙的錯誤，比如上不了網，按常規思路又查不出問題，可啟動到帶網絡連接的安全模式下看看，如果在這裡能上，則說明是某些自啟動程序或服務影響了網絡的正常連接。

檢測不兼容的硬件

XP由於采用了數字簽名式的驅動程序模式，對各種硬件的檢測也比以往嚴格，所以一些設備可能在正常狀態下不能驅動使用。例如一些早期的CABLE MODEM，如果你發現在正常模式下XP不能識別硬件，可以在啟動的時候按F8，然後選進入安全模式，在安全模式裡檢測新硬件，就有可能正確地為CABLE MODEM加載驅動了。

卸載不正確的驅動程序

一般的驅動程序，如果不適用你的硬件，可以通過XP的驅動還原來卸載。但是顯卡和硬盤IDE驅動，如果裝錯了，有可能一進入GUI界面就死機;一些主板的ULTRA DMA補丁也是如此，因為Windows是要隨時讀取內存與磁盤頁面文件調整計算機狀態的，所以硬盤驅動一有問題馬上系統就崩潰。此時怎麼辦呢?

某些情況下，禁用管理員帳戶可能造成維護上的困難。例如，在域環境中，當用於建立連接的安全信道由於某種原因失敗時，如果沒有其他的本地管理員帳戶，則必須以安全模式重新啟動計算機來修復致使連接狀態中斷的問題。

如果試圖重新啟用已禁用的管理員帳戶，但當前的管理員密碼不符合密碼要求，則無法重新啟用該帳戶。這種情況下，該管理員組的可選成員必須通過“本地用戶和組用戶界面來設置該管理員帳戶的密碼。

　　新華網北京5月4日電　一個名為“線上游戲竊取者變種NBQ(Trojan.PSW.Win32.GameOL.nbq)”的病毒本周特別值得注意，它使用“木馬下載器”進行傳播。木馬下載器會從網上下載該病毒的數十個變種，一起發作，可竊取多款流行網游的賬號、密碼、裝備等，竊取游戲

　　密碼後發送給黑客指定的網址，使線上游戲玩家的利益嚴重受損。因此，瑞星反病毒反木馬一周播報(2008年5月5日至5月11日)將其列為本周關注病毒，警惕程度為★★★。

　　“線上游戲竊取者變種NBQ”病毒由木馬下載器下載多個變種，病毒互相守護，難以徹底清除。病毒運行後會在System32路徑下釋放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll，改寫注冊表項，實現開機自啟動。病毒會把動態庫注入到Explorer.exe進程中並查找是否存在游戲進程，當找到游戲進程時，就會把自己注到游戲進程中，獲取用戶輸入的賬號密碼，並發送到指定的網址。運行完畢之後，該病毒還會刪除自身，逃避殺毒軟件的查殺。

　　對此，專家建議用戶：1、養成良好的上網習慣，不打開不良網站，不隨意下載安裝可疑插件。2、開啟Windows安全中心、防火牆和自動更新，及時安裝最新系統補丁，避免病毒通過系統漏洞入侵電腦。3、安裝殺毒軟件2008版升級到最新版本，定時殺毒並開啟實時監控功能，防止病毒感染計算機。4、定時設置系統還原點和備份重要文件，並把網銀、網游、QQ等重要軟件加入到“賬號保險櫃”中，這樣就可以防止病毒竊取自己的游戲賬號、密碼等私人資料。

　　目前，U盤病毒的情況非常嚴重，幾乎所有帶病毒的U盤，根目錄裡都有一個autorun.inf。右鍵菜單多了“自動播放、“Open、“Browser等項目。由於我們習慣用雙擊來打開磁盤，但現在我們雙擊，通常不是打開U盤，而是讓autorun.inf裡所設的程序自動播放。所以對於很多人來說相當麻煩。其實Autorun.inf被病毒利用一般有4種方式

　　OPEN=filename.exe自動運行。

　　但是對於很多XPSP2用戶和Vista用戶，Autorun已經變成了AutoPlay，不會自動運行它，會彈出窗口說要你干什麼。

　　shellAutocommand=filename.exe
　　shell=Auto

　　修改上下文菜單。把默認項改為病毒的啟動項。但此時只要用戶在圖標上點擊右鍵，馬上發現破綻。聰明點的病毒會改默認項的名字，但如果你在非中文的系統下發現右鍵菜單裡多出了亂碼或者中文，你會認為是什麼呢？

　　shellexecute=filename.exe

　　ShellExecute=....只要調用ShellExecuteA/W函數試圖打開U盤根目錄，病毒就會自動運行。這種是對付那些用Win+R輸盤符開盤的人。

　　shellopen=打開(&O)
　　shellopenCommand=filename.EXE;
　　shellopenDefault=1;
　　shellexplore=資源管理器(&X)

　　這種迷惑性較大，是新出現的一種形式。右鍵菜單一眼也看不出問題，但是在非中文的系統下，原形畢露。突然出現的亂碼、中文當然難逃法眼。

　　面對這種危險，尤其是第四種，僅僅依靠Explorer本身，已經很難判斷可移動磁盤是否已經中毒。而在這種情況下，一部分人也根據自己的經驗，做出了“免疫工具。

　　免疫的辦法，對可移動磁盤和硬盤

　　1.同名目錄

　　目錄在Windows下是一種特殊的文件，而兩個同一目錄下的文件不能同名。於是，新建一個目錄“autorun.inf在可移動磁盤