| 网页木马深度剖析以及手工清除 |
|
| |
|
防火墙,一般的杀毒软件都自带.打开网页监控和脚本监控.
l虽然经过上述的工作修改回了标题和默认连接首页,但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点:
打开IE属性,点击“工具”→“Internet选项”→“安全”→“受限站点”,一定要将“安全级别”定为“高”,再点击“站点”,在“将Web站点添加到区域中”添加自己不想去的网站网址,再点击“添加”,然后点击“应用”和“确定”即可正常浏览网页了。
l在注册表
[HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/InternetExplorer/ActiveXCompatiblity]下为
[ActiveSetupcontrols]创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00B6015C}在新建下创建REGDWORD类型的值:[CompatibilityFlags0x00000400]
可以间接的防止网页木马问题。
l请经常升级你的杀毒软件病毒库,让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。
l推荐安装:IE6.0.2800.1106+SP1+4个IE专项补丁
第四章网页病毒、网页木马的清理和手工清理
第一节网页病毒、网页木马的一般清理
在病毒防治和查杀的第一选择,我们首当其冲的就是杀毒软件。不定期的升级你的病毒库,关注你所用的操作系统和浏览器的漏洞信息以及相关补丁的安装。当你进入一个恶意站点后注册表被改时,首先要做的不是盲目的去找杀毒工具,而是确认一下你自己所中的毒是否只是简单的修改注册表,如果是木马的话,你还在网络上飞来飞去,想想能不丢东西么?这就是为什么在文章的开头部分我们花了一部分篇幅进行恶意网页机理的介绍和说明。为的就是叫大家从道理上明白,所谓的恶意网页是通过什么样的途径,运行了什么样的代码执行出了什么样的效果。当然,你没必要去理解代码的全部含义,至少在查看一个页面原码时发现它,也知道它是做什么,而不去访问此页。再提一点,这样做并非是让每人个人都去理解,去记忆。在这里我们也采用“让少数人先富起来的”政策。这样,那些GG才能在MM面前显示自己的“才能”。开个玩笑,转入整题,如何一般性的清理病毒?
1.到“网上助手”去清理.地址是:http://magic.3721.com
2.使用杀毒软件杀毒.用你自己的杀毒软件来清除。记得要先升级。
3.使用一些专杀工具查杀.到一些杀毒软件站点去下载杀毒工具吧。
4.到本站的专业IE维护,是针对现在几个流行的网页病毒,网页木马站点修改注册表键值精心制作的.地址是:http://ie.e3i5.net
[作者注]请在使用网页IE修复时,最好进行两次修复,我们的修复器采用的是_Dll插件+Javascript+ActiveX制作的,对系统的键值有检测功能,如果你的注册表项没有更改,修复系统会自动退出。
第二节网页病毒、网页木马的一般手工清理
一般在网络不通或者不能上网的情况,你可能会需要修改回你的注册表。这时以上的方法可能帮不上你任何的忙,怎么办?尝试我们推荐的办法,手工清理。
1.清除每次开机时自动弹出的网页
其实清除每次开机时自动弹出的网页方法并不难,只要你记住地址栏里出现的网址,然后打开注册表编辑器(方法是在点击“开始”菜单,之后点击“运行”,在运行框中输入regedit命令进入注册表编辑器),分别定位到:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。不过网页恶意代码的编写者有时也是非常的狡猾,他会在注册表的不同键值中多处设有这个值项,这样上面提的方法也未必能完全解决问题。遇到这种情况,你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”,在“查找”对话框内输入开机时自动打开的网址,然后点击“查找下一个”,将查找到的值项删除。另外,如果你是使用Windows98的用户,可在“开始”菜单中的“运行”对话框内输入“msconfig”,点击确定,打开“系统配置实用程序”并打开“启动”选项卡,检查其中是否有非常可疑的启动项,如果有的话请将其禁用(在程序前的打上勾),然后重启机器就可以了。如果你所使用的是WindowsNT/2000的用户,可以把Windows98下的“系统配置实用程序”复制过来并运行进行查找清除。
2.IE标题栏被修改
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/WindowTitle
HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main/WindowTitle
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main下,在右半部分窗口中找到串值“WindowTitle”,将该串值删除即可,或将WindowTitle的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main
然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题被解决了!
3.IE分级审查密码的清除
1.打开“开始”菜单,单击“运行”,在运行框中输入regedit命令(这是打开注册表编辑表的命令)。
2.在注册表编辑器中有五个主要的键值,请您按照下面顺序一步一步打开下面的文件(在所指的文件夹上双击或单击在文件夹前面的十字符号)。
3.具体顺序是:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion
/Policies/Ratings
在您打到Ratings文件夹后会看到在右面的窗口中有key键值,直接在这个键上点右键,之后选删除,然后关闭注册表编辑器即可。
下面的这个图是最后一个文件夹及其右面的提示,只要将上面显示的key键删除也就可以清除IE分级审查的密码了。如图:
4.篡改IE的默认页
具体说就是以下注册表项被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main/Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。
5.修复被锁定的注册表
可以自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:
窗体顶端
REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
窗体底端
要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的工具图标,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。
6.修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanel
"Settings"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanel
"Links"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanel
"SecAddSites"=dword:1
解决办法:上面这些DWORD值改为“0”即可恢复功能。
7.IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/ControlPanel
下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。
解决办法:将“homepage”的键值改为“0”即可。
8.IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/MenuExt
下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到
HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/MenuExt
删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉,这两个可是“正常”的,除非你不想在IE的右键菜单中见到它们。
9.IE默认搜索引擎被修改
出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search/CustomizeSearch
HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search/SearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可
10.查看“源文件”菜单被禁用
恶意网页修改了注册表,具体的位置为:
HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:
“NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/Restrictions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。 通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。
解决办法:
将以下内容另存为后缀名为.reg的注册表文件,比如说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/Restrictions
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/Restrictions
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
11.系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon
在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!
解决办法:
打开注册表编辑器,找到
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon
这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
12.IE默认连接首页被修改
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/StartPage
HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main/StartPage
通过修改“StartPage”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“http://url.url.com”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main下,在右半部分窗口中找到串值“StartPage”双击,将StartPage的键值改为“about:blank”即可;
③同理,展开注册表到
HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main
在右半部分窗口中找到串值“StartPage”,然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:/ProgramFiles/registry.exe,最后从IE选项中重新设置起始页。
13.IE中鼠标右键失效
解决办法:
1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt,删除相关的广告条文。
2.右键功能失效。打开注册表编辑器,展开到
HKEY_CURRENT_USER\Software\Policies\Microsoft\
InternetExplorer\Restrictions,将其DWORD值"NoBrowserContextMenu"的值改为0。
第三节未知网页病毒、网页木马的高级手工清理
我想,文章到这里应该算是高潮了吧,我们所遇到任何棘手的病毒都是未知的。也正式杀毒软件管不了的,也没有专杀工具的干涉,一般的IE修复也是无能为力,那怎么办?只有靠自己动手将病毒或木马请出你的计算机。动手前还是要做一件事。就是确认一下,你是不是真的染毒了,如果是类QQ病毒那样的有明显的征兆的你当然可以直接进行以下的操作,如果没呢?就要养成一个谨慎的态度。当发现你的计算机速度这几天突然速度很慢,你的文件夹或是文件多出几个,进程里无缘无故的多出几个新的进程文件,计算机CPU利用率总是高居不下,一打开某种类型的文件就出错,或者是无故的死机、蓝屏,那么你该注意了,你的爱机可能已经中毒了。开始你的手工查杀工作吧。(这时最好是先用升级后杀毒软件查一次,如果没有任何发现,再进行以下操作)。
情况一,你是明确知道你的计算机已经中毒了,比如说是QQ上出现自动发出信息的问题。但你发现你所发的网址并非是以前文章上介绍过的地址,那么这个站点感染的病毒可能是另外一种植入方式,如加载的文件不同,启动方式也不同等等。既然已经中毒了,那就不怕什么了,再次深入虎穴吧。但我们没必要那样做,我们某种意义上的深入虎穴,为的是得到这个站点网页的病毒原码,如何得到,我想不用我说也大家也清楚。现在很多站点都提供原代码查看的网页,用它就可以完全实现不用访问该页而提取到原码(不要太天真哦,用这个办法那个页面也会到你IE缓存内,但你不必PaPa,这个不会对你够成任何威胁).如果实在找不到,那你可以到http://www.e3i5.com/bbs/找我,我给你临时做一个查看页。(什么?找不到怎么办?那就没办法了,你就真的再次深入虎穴,用工具栏上的查看选项去看原码吧。呵呵~^_^!)为什么要查原码,主要是看一下,网页的运行机制是怎么样的?又回到我们文章一开始的话题了,为什么要花些文章在介绍网页病毒、网页木马的常识和运行机理上。学以必用的道理大家比我还清楚。分析出网页病毒、木马的机理我们再来进行本地机的清理工具将是一个很好的前提条件。
情况二,你根本不知道你是不是中毒了,怎么办?要从计算机最基本的开始查,进程表。这个一般是查出问题的关键之处。一般都要使用第三方软件来查看,如windows优化大师的进程管理器,柳叶擦眼等。查看进程表,那些标识为系统文件的进程你可以不看,而那些非系统进程你要注意了。象一些仿系统文件的进程则是我们重点关心的对象,发现即禁止掉,然后到相应的路径改名。(由于是非系统进程,终止掉它到下次重新启动也不会影响计算机的正常运行)然后,查看该文件的属性,尤其是查看“创建时间”如果和你的中毒时间相仿或是差不多远,那就说明这个文件十之八九就为病毒文件。一般的系统文件创建时间都是很早哦,大约要比当前时间早一到两年,甚至三年五年的。按如此办法我们就可以逐一的找出可疑的文件,然后按以下的方法进行病毒的清理。
清理工作的开始:
⒈准备工作:
下载进程管理软件:柳叶擦眼没有的请到以下地址下载:
http://www.e3i5.com/soft/SoftView.Asp?SoftID=361
这里我推荐使用柳叶擦眼因为它是个绿色软件,不需要安装,下载解压后该怎么用就怎么用,方便。
进行手工杀毒的准备工作,先关闭你能关闭的所有软件,包括杀毒软件,防火墙,宽带连接等等一切能生成进程的东西.只保留必要的系统进程,这样会使以后的操作带来很多方便。
⒉查看系统进程:除了显示系统文件外,将所有无关的进程杀掉。
如:查看进程表定位文件。intneter.exec:/windows/system/intneter.exe这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件,我们应马上结束这个进程,并删除对应的文件,注意一些文件是隐藏的,在查找时应用"文件夹选项"打开对隐藏文件的查看.
如果不知道相关的进程,你可以这样尝试,
将进程软件下载后,断网,关闭运行的软件,打开进程管理软件,软件显示的系统进程你不要理,如果你不知道你以前正常的软件进程名是什么的话,将所有非系统的进程全部杀死,(注意除了进程查看软件之外的哦,我要是不说一定有人连它一起杀了.)并记下他们的文件路径,并记录下来。由于不知道是否是非法文件暂时改名,也记录下来,以便修改。
上一页 [1] [2] [3] 下一页
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2006-10-13 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 教程录入:itqoo 责任编辑:itqoo |
|
上一个教程: 亲手编制Word病毒 深入理解恶意宏
下一个教程: 防微杜渐:网络病毒安全防范诀窍分享 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 