手工杀毒——最可靠的杀毒防毒技巧(7)

运行services.msc可以启动系统服务配置。如果病毒成功的获取了系统权限，成功的注册成了系统服务，那么这里也是不能放过的。通常在这里优化系统的服务可以减少必要的进程从而达到优化系统的目的。这些服务设置为自动则会在开机时自启动，设置为手动则是在必要是调用启动。对于危险项(比如Remote Registry)则通常是禁用的。

病毒注册成服务后，有些很明显，没有描述启动位置也很可疑，有些则会伪装。下图是我以前遇到过的一个例子，这让人想起了进程里的伪装，虽然拙劣但是用心良苦。

修改服务时，最好也做好备份，可以导出注册表对应分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

还有一个地方值得一看，那就是启动/关机脚本。运行gpedit.msc启动组策略编辑器，在位于用户配置-Windows设置-脚本(登录/注销)位置，在这里设置的脚本将会在登录或注销自动执行。