网页木马深度剖析以及手工清除

  在您打到Ratings文件夹后会看到在右面的窗口中有key键值，间接在这个键上点右键，之后选删除，然后封闭注册表编辑器即可。
  下面的这个图是末了一个文件夹及其右面的提示，只需将上面显示的key键删除也就可以清除IE分级审查的密码了。如图：
  4. 篡改IE的默认页
  具体说就是以下注册表项被修改：
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
  “Default_Page_URL”这个子键的键值即起始页的默认页。
  解决办法：
  运行注册表编辑器，然后睁开上述子键，将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了，或者将其设置为IE的默认值。
  5. 修复被锁定的注册表
  可以自己动手制作一个解除注册表锁定的东西，就是用记事本编辑一个任意名字的.reg文件，比如recover.reg，内容如下：
  窗体顶端
  REGEDIT4
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableRegistryTools"=dword:00000000
  窗体底端
  要特别注意的是：如果你用这个方法制作解除注册表锁定的东西，一定要严格按照上面的书写款式进行，不能脱漏更不能修改（其实你只需将上述内容“复制”、“粘贴”到你呆板记事本中即可）；完成上述工作后，点击记事本的文件菜单中的“另存为”项，文件名可以随意，但文件扩展名必需为.reg（牢记）,然后点击“保存”。这样一个注册表解锁东西就制作完成了，之后你只须双击天生的东西图标，其会提示你是否将这个信息添加进注册表，你要点击“是”，随后体系提示信息已成功输入注册表，再点击“确定”即可将注册表解锁了。
  6. 修改IE欣赏器缺省主页，而且锁定设置项，禁止用户变动
  主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：
  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
  "Settings"=dword:1
  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
  "Links"=dword:1
  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
  "SecAddSites"=dword:1
  解决办法：上面这些DWORD值改为“0”即可恢复功能。
  7. IE的默认首页灰色按扭不可选
  这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
  下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改后为“1”（即为灰色不可选状态）。
  解决办法：将“homepage”的键值改为“0”即可。
  8. IE右键菜单被修改
  遭到修改的注册表项目为：
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
  下被新建了网页的告白信息，并由此在IE右键菜单中出现！
  解决办法：
  翻开注册标编辑器，找到
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
  删除相关的告白条文即可，注意不要把下载软件FlashGet和Netants也删除掉，这两个但是“正常”的，除非你不想在IE的右键菜单中见到它们。
  9. IE默认搜刮引擎被修改
  出现这种征象的缘故原由是以下注册表被修改：
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
  解决办法：
  运行注册表编辑器，顺次睁开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜刮引擎的网址即可
  10. 查看“源文件”菜单被禁用
  歹意网页修改了注册表，具体的位置为：
  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
  下创建子键“Restrictions”，然后在“Restrictions”下面创建两个DWORD值：
  “NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。
  在注册表
  HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。　通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。
  解决办法：
  将以下内容另存为后缀名为.reg的注册表文件，比如说unlock.reg，双击unlock.reg导入注册表，不消重启电脑，重新运行IE就会发现IE的功能恢复正常了。
  REGEDIT4
  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
  “NoViewSource”=dword:00000000
  "NoBrowserContextMenu"=dword:00000000
  HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions
  “NoViewSource”=dword:00000000
  “NoBrowserContextMenu”=dword:00000000
  11. 体系启动时弹出对话框
  遭到变动的注册表项目为：
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
  在其下被创建了字符串“LegalNoticeCaption”和“LegalNoticeText”，此中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的告白信息！
  解决办法：
  翻开注册表编辑器，找到
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
  这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的征象了。
  12. IE默认连接首页被修改
  遭到变动的注册表项目为：
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
  通过修改“Start Page”的键值，来达到修改欣赏者IE默认连接首页的目的，如欣赏“万花谷”就会将你的IE默认连接首页修改为“http://url.url.com ”，即即是出于给自己的主页做告白的目的，也显得太蛮横了一些，这也是这类网页引人讨厌的缘故原由。
  解决办法：
  ①在Windows启动后，点击“开端”→“运行”菜单项，在“翻开”栏中键入regedit，然后按“确定”键；
  ②睁开注册表到
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部门窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；
  ③同理，睁开注册表到
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  在右半部门窗口中找到串值“Start Page”，然后按②中所述方法处理。
  ④加入注册表编辑器，重新启动计算机，一切OK了！
  特别例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你呆板里加了一个自运行程序，它会在体系启动时将你的IE起始页设成他们的网站。
  解决办法：运行注册表编辑器regedit.exe，然后顺次睁开
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
  主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，末了从IE选项中重新设置起始页。
  13. IE中鼠标右键失效
  解决办法：
  1.右键菜单被修改。翻开注册表编辑器，找到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼MenuExt，删除相关的告白条文。
  2.右键功能失效。翻开注册表编辑器，睁开到
  HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼
  Internet Explorer＼Restrictions，将其DWORD值"NoBrowserContextMenu"的值改为0。
  第三节 未知网页病毒、网页木马的高级手工清算
  我想，文章到这里应该算是高潮了吧，我们所遇到任何顺手的病毒都是未知的。也正式杀毒软件管不了的，也没有专杀东西的干涉，一般的IE修复也是无能为力，那怎样办？只有靠自己动手将病毒或木马请出你的计算机。动手前照旧要做一件事。就是确认一下，你是不是真的染毒了，如果是类QQ病毒那样的有显着的征兆的你固然可以间接进行以下的操作，如果没呢？就要养成一个谨慎的态度。当发现你的计算机速度这几天突然速度很慢，你的文件夹或是文件多出几个，进程里无缘无端的多出几个新的进程文件，计算机CPU利用率总是高居不下，一翻开某种类型的文件就出错，或者是无端的去世机、蓝屏，那么你该注意了，你的爱机大概曾经中毒了。开端你的手工查杀工作吧。（这时最好是先用升级后杀毒软件查一次，如果没有任何发现，再进行以下操作）。
  情况一，你是明白知道你的计算机曾经中毒了，比如说是QQ上出现主动收回信息的问题。但你发现你所发的网址并非是以前文章上先容过的地点，那么这个站点熏染的病毒大概是另外一莳植入方式，如加载的文件差别，启动方式也差别等等。既然曾经中毒了，那就不怕什么了，再次深化虎穴吧。但我们没须要那样做，我们某种意义上的深化虎穴，为的是失掉这个站点网页的病毒原码，怎样失掉，我想不消我说也大家也明白。如今很多站点都提供原代码查看的网页，用它就可以完全实现不消拜访该页而提取到原码（不要太灵活哦，用这个办法那个页面也会到你IE缓存内，但你不必PaPa，这个不会对你够成任何要挟）.如果着实找不到，那你可以到http://www.e3i5.com/bbs/ 找我，我给你暂时做一个查看页。（什么？找不到怎样办？那就没办法了，你就真的再次深化虎穴，用东西栏上的查看选项去看原码吧。呵呵~ ^_^!）为什么要查原码，主要是看一下，网页的运行机制是怎样样的？又回到我们文章一开端的话题了，为什么要花些文章在先容网页病毒、网页木马的常识和运行机理上。学以必用的道理大家比我还明白。分析出网页病毒、木马的机理我们再来进行当地机的清算东西将是一个很好的前提条件。
  情况二，你根本不知道你是不是中毒了，怎样办？要从计算机最基本的开端查，进程表。这个一般是查出问题的要害之处。一般都要利用第三方软件来查看，如 windows优化大师的进程管理器，柳叶擦眼等。查看进程表，那些标识为体系文件的进程你可以不看，而那些非体系进程你要注意了。象一些仿体系文件的进程则是我们重点关心的对象，发现即禁止掉，然后到相应的路径改名。（由于是非体系进程，终止掉它到下次重新启动也不会影响计算机的正常运行）然后，查看该文件的属性，尤其是查看“创建工夫”如果和你的中毒工夫相仿或是差未几远，那就阐明这个文件十之八九就为病毒文件。一般的体系文件创建工夫都是很早哦，大约要比以后工夫早一到两年，乃至三年五年的。按云云办法我们就可以逐一的找出可疑的文件，然后按以下的方法进行病毒的清算。
  清算工作的开端：
  ⒈准备工作：
  下载进程管理软件：柳叶擦眼 没有的请到以下地点下载：
  http://www.e3i5.com/soft/SoftView.Asp?SoftID=361
  这里我保举利用 柳叶擦眼 因为它是个绿色软件，不需要安装，下载解压后该怎样用就怎样用，方便。
  进行手工杀毒的准备工作，先封闭你能封闭的全部软件，包括杀毒软件，防火墙，宽带连接等等一切能天生进程的东西.只保留须要的体系进程，这样会使以后的操作带来很多方便。
  ⒉查看体系进程：除了显示体系文件外，将全部无关的进程杀掉。
  如：查看进程表定位文件。intneter.exe c:\windows\system\intneter.exe 这里的intneter.exe就是仿intnater.exe输入法进程加载到体系的合法进程文件，我们应顿时竣事这个进程，并删除对应的文件，注意一些文件是隐蔽的，在查找时使用"文件夹选项"翻开对隐蔽文件的查看.
  如果不知道相关的进程，你可以这样实验，
  将进程软件下载后，断网，封闭运行的软件，翻开进程管理软件，软件显示的体系进程你不要理，如果你不知道你以前正常的软件进程名是什么的话，将全部非体系的进程全部杀去世，（注意除了进程查看软件之外的哦，我要是不说一定有人连它一同杀了.）并记下他们的文件路径，并记录上去。由于不知道是否是合法文件暂时改名，也记录上去，以便修改。
  ⒊修改注册表
  开端 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找
  查找
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]主键下全部的键都为空，如果不为空，全部清算为空.使体系启动不加载任何程序。（一般的来说，驱动程序除了一些显示驱动会保留在启动项里，其他紧张的很少了）如果你知道你常用软件地点RUN以及相要害下的值，固然更好，你就可以选择性的进行清算。对以后的整理工作会更方便些。
  修改以下注册表关联项目：
  [HKEY_CLASSES_ROOT\ chm.file\ shell\ open\ command "(默认)" "%windir%\hh.exe" %1 ]
  [HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command "(默认)" "%1" %* ]
  [HKEY_CLASSES_ROOT\ inifile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1 ]
  [HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command "(默认)" regedit.exe "%1" ]
  [HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command "(默认)" "%1" /S ]
  [HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1]
  ⒋清算启动项配置文件
  1.进入配置管理，除WIN 2K外都为MSCONFIG.
  开端 ------ > 运行 ------ > MSCONFIG
  WIN 9X用户注意：将启动配置里全部带*.hta,的去掉。HTA的特性就是隐蔽掉窗体,然后一段工夫就弹出网页.
  进入：system.ini
  修改[BOOT]
  shell=Explorer.exe //注意：背面没东西了，再有什么，改成和前面一样的。
  进入：WIN.INI
  修改[WINDOWS]
  //注意load键背面除了=号什么也没有。空格都不行。
  LOAD=
  NULLPORT=NONE
  修改：autoexec.bat 内容为空
  WIN 2K 间接进入启动编辑器。
  修改以上三个文件.
  记得这三个文件里没有任何为空的指令下令，有就删除。
  任何值如果为空的话就是什么都没有，乃至于空格都不存在。有之，改！
  ⒌清算注册表垃圾信息
  开端 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找
  将开机运行的那个站点进行搜刮找到即删除.
  ⒍清算缓存 [这点最紧张]
  一定要把你的IE缓冲区清算洁净，以及TEMP文件夹的暂时文件和垃圾文件清算洁净。
  好了，将你记录的路径的文件保存，然后重新启动计算机。
  ⒎清算校验
  1.启动计算机后，再次翻开柳叶擦眼，查看进程，看除了体系进程是否另有其他进程存在。如果没有，阐明手工清算完成。如果还发现非常的进程请反复以上步骤。
  2.确认杀毒完成后，你开端逐一的启动各类软件，查抄你所改名的文件是否会影响到软件运行，如果没有非常产生，请删除或放入你杀毒软件的隔离区，(为什么要选择后者毕竟我们还不明白这是不是病毒文件，即使是在隔离区的文件体系是不会再次运行的).
  [注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件，依照上面的文件逐一的进行查抄.
  3.逐一恢复了全部的进程后，重新启动计算机，再做末了一次检测。以防万一。
  4.到此为止，你曾经完成了你的全部手工清算过程，病毒曾经被你请出你的计算机了。
  总结：
  岂论怎样说，自己亲自清算过一次网页病毒后，你会觉得网页病毒其实也并非那样可骇，最难的是挑战自我的勇气。我个人并不保举计算机出了问题就是格盘、重装，这并非是一个解决问题的途径。我们建议大家首先先简单的认识歹意网页的代码机理为的就是从根本下去解决问题。但，我们更强调的是动手本领。固然我的意思也并非完全抛弃杀毒和防毒软件，但，毕竟是个东西。俗话讲得好：事在人为。
  [新问题]
  最近在写一个特别效果页的工夫，发现一个新问题，页面在实行了几个特别函数后，整个页面被锁去世，以下全部的JS全部失效，翻开进程查看，发现有一个svchost.exe不停在监督这个页面进程，而在WINDOWS的标准进程管理中看不到，只有借助第三方软件才气终止此进程，即使终止了网页进程，这个svchost.exe的监督进程还在。与好友LuoLuo探讨了一段工夫后，推测大概是由于页面中的某部门代码惹起了缓冲区溢出，招致IE瓦解，而不能实行页面指令。多次测试只后我们照旧找不到缘故原由，到底是哪部门函数惹起了这个问题我们还在研究中，出现的问题就是非常非常的潜伏，如果在页面锁去世后可以注入一些歹意代码或是木马那不是没救了？IE啊…用MOZILLA算了，呵呵~
  后 记
  全文到这里基本上竣事了。通篇文章涉及到网页病毒代码分析，中毒机理分析，防备本领，以及一般的查杀、手工查杀 四大部门的先容。我只管即便做到详细的将问题以最简单易懂的方式阐明。归结到一点就是，希望大家能从网页病毒的素质动身来面对它，解决它。仔细想想如今含百般病毒站点越来越多，而他们利用的也不但仅是代码的威力以及体系或是欣赏器上漏洞，也上在利用大家在欣赏网页的安全意识不健全的底子上。另外，我还想阐明的一点就是：不要完全依靠杀毒软件，如今海内的一些杀毒软件做的并完善，杀毒不彻底，很容易残留一些病毒遗体到你计算机内，当你一不警惕运行了它，病毒又去世灰复燃了；另有就是一部门杀毒软件虽然能实时的预警，但在杀毒上却略胜一筹.杀掉了缓存内的病毒原体，却留下了病毒主动天生的新文件。这也彷佛成了海内软件的一个通病，功能有，但不强大。面对着云云格局，除了自己伸手帮自己，还能有什么办法？信赖自己，遇到问题自己动手解决.
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：