| 网页木马深度剖析以及手工清除 |
|
| |
|
⒊修改注册表
开始------>运行------>REGEDIT------>编辑------>查找
查找
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主键下所有的键都为空,如果不为空,全部清理为空.使系统启动不加载任何程序。(一般的来说,驱动程序除了一些显示驱动会保留在启动项里,其他重要的很少了)如果你知道你常用软件所在RUN以及相关键下的值,当然更好,你就可以选择性的进行清理。对以后的整理工作会更方便些。
修改以下注册表关联项目:
[HKEY_CLASSES_ROOT/chm.file/shell/open/command"(默认)""%windir%/hh.exe"%1]
[HKEY_CLASSES_ROOT/exefile/shell/open/command"(默认)""%1"%*]
[HKEY_CLASSES_ROOT/inifile/shell/open/command"(默认)"%windir%/NOTEPAD.EXE%1]
[HKEY_CLASSES_ROOT/regfile/shell/open/command"(默认)"regedit.exe"%1"]
[HKEY_CLASSES_ROOT/scrfile/shell/open/command"(默认)""%1"/S]
[HKEY_CLASSES_ROOT/txtfile/shell/open/command"(默认)"%windir%/NOTEPAD.EXE%1]
⒋清理启动项配置文件
1.进入配置管理,除WIN2K外都为MSCONFIG.
开始------>运行------>MSCONFIG
WIN9X用户注意:将启动配置里所有带*.hta,的去掉。HTA的特性就是隐藏掉窗体,然后一段时间就弹出网页.
进入:system.ini
修改[BOOT]
shell=Explorer.exe//注意:后面没东西了,再有什么,改成和前面一样的。
进入:WIN.INI
修改[WINDOWS]
//注意load键后面除了=号什么也没有。空格都不行。
LOAD=
NULLPORT=NONE
修改:autoexec.bat内容为空
WIN2K直接进入启动编辑器。
修改以上三个文件.
记得这三个文件里没有任何为空的指令命令,有就删除。
任何值如果为空的话就是什么都没有,甚至于空格都不存在。有之,改!
⒌清理注册表垃圾信息
开始------>运行------>REGEDIT------>编辑------>查找
将开机运行的那个站点进行搜索找到即删除.
⒍清理缓存[这点最重要]
一定要把你的IE缓冲区清理干净,以及TEMP文件夹的临时文件和垃圾文件清理干净。
好了,将你记录的路径的文件保存,然后重新启动计算机。
⒎清理校验
1.启动计算机后,再次打开柳叶擦眼,查看进程,看除了系统进程是否还有其他进程存在。如果没有,说明手工清理完成。如果还发现异常的进程请重复以上步骤。
2.确认杀毒完成后,你开始逐一的启动各类软件,检查你所改名的文件是否会影响到软件运行,如果没有异常发生,请删除或放入你杀毒软件的隔离区,(为什么要选择后者毕竟我们还不清楚这是不是病毒文件,即使是在隔离区的文件系统是不会再次运行的).
[注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件,依照上面的文件逐一的进行检查.
3.逐一恢复了所有的进程后,重新启动计算机,再做最后一次检测。以防万一。
4.到此为止,你已经完成了你的全部手工清理过程,病毒已经被你请出你的计算机了。
总结:
不论怎么说,自己亲自清理过一次网页病毒后,你会觉得网页病毒其实也并非那样可怕,最难的是挑战自我的勇气。我个人并不推荐计算机出了问题就是格盘、重装,这并非是一个解决问题的途径。我们建议大家首先先简单的认识恶意网页的代码机理为的就是从根本上来解决问题。但,我们更强调的是动手能力。当然我的意思也并非完全抛弃杀毒和防毒软件,但,毕竟是个工具。俗话讲得好:事在人为。
[新问题]
最近在写一个特殊效果页的时候,发现一个新问题,页面在执行了几个特殊函数后,整个页面被锁死,以下所有的JS全部失效,打开进程查看,发现有一个svchost.exe一直在监视这个页面进程,而在WINDOWS的标准进程管理中看不到,只有借助第三方软件才能终止此进程,即使终止了网页进程,这个svchost.exe的监视进程还在。与好友LuoLuo商量了一段时间后,猜测可能是由于页面中的某部分代码引起了缓冲区溢出,导致IE崩溃,而不能执行页面指令。多次测试只后我们还是找不到原因,到底是哪部分函数引起了这个问题我们还在研究中,出现的问题就是非常非常的隐蔽,如果在页面锁死后可以注入一些恶意代码或是木马那不是没救了?IE啊…用MOZILLA算了,呵呵~
后记
全文到这里基本上结束了。通篇文章涉及到网页病毒代码分析,中毒机理分析,预防手段,以及一般的查杀、手工查杀四大部分的介绍。我尽量做到详细的将问题以最简单易懂的方式说明。归结到一点就是,希望大家能从网页病毒的本质出发来面对它,解决它。仔细想想现在含各式病毒站点越来越多,而他们利用的也不仅仅是代码的威力以及系统或是浏览器上漏洞,也上在利用大家在浏览网页的安全意识不健全的基础上。另外,我还想说明的一点就是:不要完全依靠杀毒软件,现在国内的一些杀毒软件做的并完善,杀毒不彻底,很容易残留一些病毒遗体到你计算机内,当你一不小心运行了它,病毒又死灰复燃了;还有就是一部分杀毒软件虽然能及时的预警,但在杀毒上却稍逊一筹.杀掉了缓存内的病毒原体,却留下了病毒自动生成的新文件。这也似乎成了国内软件的一个通病,功能有,但不强大。面对着如此格局,除了自己伸手帮自己,还能有什么办法?相信自己,遇到问题自己动手解决.
(责任编辑 zhaohb musicemail@sohu.com TEL:(010)68476636-8007上一页 [1] [2] [3]
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2006-10-13 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 教程录入:itqoo 责任编辑:itqoo |
|
上一个教程: 亲手编制Word病毒 深入理解恶意宏
下一个教程: 防微杜渐:网络病毒安全防范诀窍分享 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 