史萊姆論壇 - 查看單個文章

psac · 2006-04-05, 10:31 PM

第三章網頁病毒、網頁木馬的基本預防手段

　　l 要避免被網頁惡意程式碼感染，首先關鍵是不要輕易去一些自己並不十分知曉的站點，尤其是一些看上去非常美麗誘人的網址更不要輕易進入，否則往往不經易間就會誤入網頁程式碼的圈套。

　　l 由於該類網頁是含有有害程式碼的ActiveX網頁文件，因此在IE設定中將ActiveX插件和控件、Java指令碼等全部禁止就可以避免中招。

　　具體方法是:在IE視窗中點擊"工具→Internet選項，在彈出的對話視窗中選項"安全"標籤，再點擊"自訂等級"按鈕，就會彈出"安全性設定"對話視窗，把其中所有ActiveX插件和控件以及Java相關全部選項"禁用"即可。不過，這樣做在以後的網頁瀏覽程序中可能會造成一些正常使用ActiveX的網站無法瀏覽。

　　l 對於Windows98用戶，請開啟 C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP，把其中的「ActiveXComponent.class」刪掉;對於WindowsMe用戶，請開啟C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP，把其中的"ActiveXComponent.class"刪掉。請放心，移除這個元件不會影響到你正常瀏覽網頁的.

　　l 對Win2000用戶，還可以通過在Win2000下把服務裡面的遠端註冊表操作服務"Remote Registry Service"禁用，來對付該類網頁。具體方法是:點擊"系統管理工具→服務→Remote Registry Service(允許遠端註冊表操作)"，將這一項禁用即可。

　　l 昇級你的IE為6.0版本並裝上所有的SP以及追加的幾個小修正檔，可以有效防範上面這些症狀。

　　l 下載微軟最新的Microsoft Windows script 5.6

　　l 安裝病毒防火牆，一般的殺毒軟體都原有的.開啟網頁監控和指令碼監控.

　　l 雖然經過上述的工作修改回了標題和預設值連接首頁，但如果以後某一天又一不小心進入這類網站就又得要麻煩了。這時你可以在IE瀏覽器中做一些設定以使之永遠不能進入這類站點:

　　開啟IE內容，點擊「工具」→ 「Internet選項」→「安全」→「受限站點」，一定要將「安全等級」定為「高」，再點擊「站點」，在「將Web站點增加到區域中」增加自己不想去的網站網址，再點擊「增加」，然後點擊「套用」和「確定」即可正常瀏覽網頁了。

　　l 在註冊表

　　[HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatiblity]下為

　　[Active Setup controls]新增一個關於CLSID的新增{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新增下新增REGDWORD檔案類型的值:[Compatibility Flags 0x00000400]

　　可以間接的防止網頁木馬問題。

　　l 請經常昇級你的殺毒軟體病毒庫，讓他們能及時的查出藏在你電腦內的病毒殘體。經常性的做全機的掃瞄檢查。

　　l 推薦安裝:IE6.0.2800.1106 + SP1 + 4個IE專項修正檔

　　第四章網頁病毒、網頁木馬的清理和手動式清理

　　第一節網頁病毒、網頁木馬的一般清理

　　在病毒防治和查殺的第一選項，我們首當其衝的就是殺毒軟體。不定期的昇級你的病毒庫，關注你所用的作業系統和瀏覽器的漏洞訊息以及相關修正檔的安裝。當你進入一個惡意站點後註冊表被改時，首先要做的不是盲目的去找殺毒工具，而是驗證一下你自己所中的毒是否只是簡單的修改註冊表，如果是木馬的話，你還在網路上飛來飛去，想想能不丟東西麼?這就是為什麼在文章的開頭部分我們花了一部分篇幅進行惡意網頁機理的介紹和說明。為的就是叫大家從道理上明白，所謂的惡意網頁是通過什麼樣的途徑，執行了什麼樣的程式碼執行出了什麼樣的效果。當然，你沒必要去理解程式碼的全部含義，至少在檢視一個頁面原碼時發現它，也知道它是做什麼，而不去訪問此頁。再提一點，這樣做並非是讓每人個人都去理解，去記憶。在這裡我們也採用「讓少數人先富起來的」政策。這樣，那些GG才能在MM面前顯示自己的「才能」。開個玩笑，轉入整題，如何一般性的清理病毒?

　　1.到「網上助手」去清理. 位址是:http://magic.3721.com

　　2.使用殺毒軟體殺毒. 用你自己的殺毒軟體來清除。記得要先昇級。

　　3.使用一些專殺工具查殺. 到一些殺毒軟體站點去下載殺毒工具吧。

　　4.到本站的專業IE維護，是針對現在幾個流行的網頁病毒，網頁木馬站點修改註冊表鍵值精心製作的.位址是:http://ie.e3i5.net

　　[作者注]請在使用網頁IE修復時，最好進行兩次修復，我們的修復器採用的是_Dll插件+Javascript+ActiveX製作的，對系統的鍵值有檢測功能，如果你的註冊表項沒有更改，修復系統會自動結束。

　　第二節網頁病毒、網頁木馬的一般手動式清理

　　一般在網路不通或者不能上網的情況，你可能會需要修改回你的註冊表。這時以上的方法可能幫不上你任何的忙，怎麼辦?嘗試我們推薦的辦法，手動式清理。

　　1.清除每次開機時自動彈出的網頁

　　其實清除每次開機時自動彈出的網頁方法並不難，只要你記住位址欄裡出現的網址，然後開啟註冊表編輯器(方法是在點擊「開始」表單，之後點擊「執行」，在執行項中輸入regedit指令進入註冊表編輯器)，分別定位到:

　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和

　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下，看看在該子項下是否有一個以這個網址為值的值項，如果有的話，就將其移除，之後重新啟動電腦。這樣在下一次開機的時候就不再會有網頁彈出來了。不過網頁惡意程式碼的編寫者有時也是非常的狡猾，他會在註冊表的不同鍵值中多處設有這個值項，這樣上面提的方法也未必能完全解決問題。遇到這種情況，你可以在註冊表編輯器的選項表單裡選項「編輯」→「搜尋」，在「搜尋」對話視窗內輸入開機時自動開啟的網址，然後點擊「搜尋下一個」，將搜尋到的值項移除。另外，如果你是使用Windows 98的用戶，可在「開始」表單中的「執行」對話視窗內輸入「msconfig」，點擊確定，開啟「系統組態實用程序」並開啟「啟動」選擇項，檢查其中是否有非常可疑的啟動項，如果有的話請將其禁用(在程序前的打上勾)，然後重啟機器就可以了。如果你所使用的是Windows NT/2000的用戶，可以把Windows 98下的「系統組態實用程序」複製過來並執行進行搜尋清除。

　　2. IE標題欄被修改

　　具體說來受到更改的註冊表項目為:

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title

　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title

　　解決辦法:

　　１在Windows啟動後，點擊「開始」→「執行」表單項，在「開啟」欄中按鍵輸入regedit，然後按「確定」鍵;

　　２展開註冊表到

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分視窗中找到串值「Window Title」，將該串值移除即可，或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字;

　　３同理，展開註冊表到

　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main

　　然後按２中所述方法處理。

　　４結束註冊表編輯器，重新啟動電腦，執行IE，你會發現困擾你的問題被解決了!

　　3. IE分級審查密碼的清除

　　1.開啟「開始」表單，按下「執行」，在執行項中輸入regedit指令(這是開啟註冊表編輯表的指令)。

　　2.在註冊表編輯器中有五個主要的鍵值，請您按照下面順序一步一步開啟下面的文件(在所指的資料夾上雙按或按下在資料夾前面的十字串號)。

　　3.具體順序是:

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion

　　/Policies/Ratings

　　在您打到Ratings資料夾後會看到在右面的視窗中有key鍵值，直接在這個鍵上點右鍵，之後選移除，然後關閉註冊表編輯器即可。

　　下面的這個圖是最後一個資料夾及其右面的提示，只要將上面顯示的key鍵移除也就可以清除IE分級審查的密碼了。如圖:

　　4. 篡改IE的預設值頁

　　具體說就是以下註冊表項被修改:

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL

　　「Default_Page_URL」這個子鍵的鍵值即起始頁的預設值頁。

　　解決辦法:

　　執行註冊表編輯器，然後展開上述子鍵，將「Default_Page_URL」子鍵的鍵值中的那些篡改網站的網址改掉就行了，或者將其設定為IE的預設值。

　　5. 修復被鎖定的註冊表

　　可以自己動手製作一個解除註冊表鎖定的工具，就是用記事本編輯一個任意名字的.reg文件，比如recover.reg，內容如下:

　　表單頂端

　　REGEDIT4

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]

　　"DisableRegistryTools"=dword:00000000

　　表單底端

　　要特別注意的是:如果你用這個方法製作解除註冊表鎖定的工具，一定要嚴格按照上面的書寫格式進行，不能遺漏更不能修改(其實你只需將上述內容「複製」、「貼上」到你機器記事本中即可);完成上述工作後，點擊記事本的文件表單中的「另存為」項，檔案名可以隨意，但文件副檔名必須為.reg(切記),然後點擊「儲存」。這樣一個註冊表解鎖工具就製作完成了，之後你只須雙按產生的工具圖示，其會提示你是否將這個訊息增加進註冊表，你要點擊「是」，隨後系統提示訊息已成功輸入註冊表，再點擊「確定」即可將註冊表解鎖了。

6. 修改IE瀏覽器預設主頁，並且鎖定設定項，禁止用戶更改

　　主要是修改了註冊表中IE設定的下面這些鍵值(DWORD值為1時為不可選):

　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

　　"Settings"=dword:1

　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

　　"Links"=dword:1

　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

　　"SecAddSites"=dword:1

　　解決辦法:上面這些DWORD值改為「0」即可恢復功能。

　　7. IE的預設值首頁灰色按扭不可選

　　這是由於註冊表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel

　　下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值為「0」，被修改後為「1」(即為灰色不可選狀態)。

　　解決辦法:將「homepage」的鍵值改為「0」即可。

　　8. IE右鍵表單被修改

　　受到修改的註冊表項目為:

　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt

　　下被新增了網頁的廣告訊息，並由此在IE右鍵表單中出現!

　　解決辦法:

　　開啟註冊標編輯器，找到

　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt

　　移除相關的廣告條文即可，注意不要把下載軟體FlashGet和Netants也移除掉，這兩個可是「正常」的，除非你不想在IE的右鍵表單中見到它們。

　　9. IE預設值搜尋引擎被修改

　　出現這種現象的原因是以下註冊表被修改:

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant

　　解決辦法:

　　執行註冊表編輯器，依次展開上述子鍵，將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可

　　10. 檢視「源文件」表單被禁用

　　惡意網頁修改了註冊表，具體的位置為:

　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer

　　下建立子鍵「Restrictions」，然後在「Restrictions」下面建立兩個DWORD值:

　　「NoViewSource」和「NoBrowserContextMenu」，並為這兩個DWORD值賦值為「1」。

　　在註冊表

　　HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions下，將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改為了「1」。　通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效，使「檢視」表單中的「源文件」被禁用的目的。

　　解決辦法:

　　將以下內容另存為後面名為.reg的註冊表文件，比如說unlock.reg，雙按unlock.reg匯入註冊表，不用重啟電腦，重新執行IE就會發現IE的功能恢復正常了。

　　REGEDIT4

　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions

　　「NoViewSource」=dword:00000000

　　"NoBrowserContextMenu"=dword:00000000

　　HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions

　　「NoViewSource」=dword:00000000

　　「NoBrowserContextMenu」=dword:00000000

　　11. 系統啟動時彈出對話視窗

　　受到更改的註冊表項目為:

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon

　　在其下被建立了字串串「LegalNoticeCaption」和「LegalNoticeText」，其中「LegalNoticeCaption」是提示項的標題，「LegalNoticeText」是提示項的文本內容。由於它們的存在，就使得我們每次登入到Windwos桌面前都出現一個提示視窗，顯示那些網頁的廣告訊息!

　　解決辦法:

　　開啟註冊表編輯器，找到

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon

　　這一個主鍵，然後在右邊視窗中找到「LegalNoticeCaption」和「LegalNoticeText」這兩個字串串，移除這兩個字串串就可以解決在登入時出現提示項的現象了。

　　12. IE預設值連接首頁被修改

　　受到更改的註冊表項目為:

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Start Page

　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page

　　通過修改「Start Page」的鍵值，來達到修改瀏覽者IE預設值連接首頁的目的，如瀏覽「萬花谷」就會將你的IE預設值連接首頁修改為「http://url.url.com 」，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。

　　解決辦法:

　　１在Windows啟動後，點擊「開始」→「執行」表單項，在「開啟」欄中按鍵輸入regedit，然後按「確定」鍵;

　　２展開註冊表到

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分視窗中找到串值「Start Page」雙按，將Start Page的鍵值改為「about:blank」即可;

　　３同理，展開註冊表到

　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main

　　在右半部分視窗中找到串值「Start Page」，然後按２中所述方法處理。

　　４結束註冊表編輯器，重新啟動電腦，一切OK了!

　　特殊例子:當IE的起始頁變成了某些網址後，就算你通過選項設定修改好了，重啟以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器裡加了一個自執行程序，它會在系統啟動時將你的IE起始頁設成他們的網站。

　　解決辦法:執行註冊表編輯器regedit.exe，然後依次展開

　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run

　　主鍵，然後將其下的registry.exe子鍵移除，然後移除自執行程序c:/Program Files/registry.exe，最後從IE選項中重新設定起始頁。

　　13. IE中滑鼠右鍵失效

　　解決辦法:

　　1.右鍵表單被修改。開啟註冊表編輯器，找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt，移除相關的廣告條文。

　　2.右鍵功能失效。開啟註冊表編輯器，展開到

　　HKEY_CURRENT_USER\Software\Policies\Microsoft\

　　Internet Explorer\Restrictions，將其DWORD值"NoBrowserContextMenu"的值改為0。

第三節未知網頁病毒、網頁木馬的進階手動式清理

　　我想，文章到這裡應該算是高潮了吧，我們所遇到任何棘手的病毒都是未知的。也正式殺毒軟體管不了的，也沒有專殺工具的干涉，一般的IE修復也是無能為力，那怎麼辦?只有靠自己動手將病毒或木馬請出你的電腦。動手前還是要做一件事。就是驗證一下，你是不是真的染毒了，如果是類QQ病毒那樣的有明顯的徵兆的你當然可以直接進行以下的操作，如果沒呢?就要養成一個謹慎的態度。當發現你的電腦速度這幾天突然速度很慢，你的資料夾或是文件多出幾個，工作裡無緣無故的多出幾個新的工作文件，電腦CPU利用率總是高居不下，一開啟某種檔案類型的文件就出現錯誤，或者是無故的當機、顯示藍色，那麼你該注意了，你的愛機可能已經中毒了。開始你的手動式查殺工作吧。(這時最好是先用昇級後殺毒軟體查一次，如果沒有任何發現，再進去行以下操作)。

　　情況一，你是明確知道你的電腦已經中毒了，比如說是QQ上出現自動發出訊息的問題。但你發現你所發的網址並非是以前文章上介紹過的位址，那麼這個站點感染的病毒可能是另外一種植入方式，如載入的文件不同，啟動方式也不同等等。既然已經中毒了，那就不怕什麼了，再次深入虎穴吧。但我們沒必要那樣做，我們某種意義上的深入虎穴，為的是得到這個站點網頁的病毒原碼，如何得到，我想不用我說也大家也清楚。現在很多站點都提供原程式碼檢視的網頁，用它就可以完全實現不用訪問該頁而抽取到原碼(不要太天真哦，用這個辦法那個頁面也會到你IE快取內，但你不必PaPa，這個不會對你夠成任何威脅).如果實在找不到，那你可以到http://www.e3i5.com/bbs/ 找我，我給你臨時做一個檢視頁。(什麼?找不到怎麼辦?那就沒辦法了，你就真的再次深入虎穴，用工作列上的檢視選項去看原碼吧。哈哈~ ^_^!)為什麼要查原碼，主要是看一下，網頁的執行機制是怎麼樣的?又回到我們文章一開始的話題了，為什麼要花些文章在介紹網頁病毒、網頁木馬的常識和執行機理上。學以必用的道理大家比我還清楚。分析出網頁病毒、木馬的機理我們再來進行本機機的清理工具將是一個很好的前提條件。

　　情況二，你根本不知道你是不是中毒了，怎麼辦?要從電腦最基本的開始查，工作表。這個一般是查出問題的關鍵之處。一般都要使用第三方軟體來檢視，如 windows最佳化大師的工作管理器，柳葉擦眼等。檢視工作表，那些標幟為系統檔案的工作你可以不看，而那些非系統工作你要注意了。像一些仿系統檔案的工作則是我們重點關心的對象，發現即禁止掉，然後到相應的路徑改名。(由於是非系統工作，終止掉它到下次重新啟動也不會影響電腦的正常執行)然後，檢視該檔案的內容，尤其是檢視「新增時間」如果和你的中毒時間相仿或是差不多遠，那就說明這個文件十之八九就為病毒文件。一般的系統檔案新增時間都是很早哦，大約要比當前時間早一到兩年，甚至三年五年的。按如此辦法我們就可以逐一的找出可疑的文件，然後按以下的方法進行病毒的清理。

　　清理工作的開始:

　　⒈準備工作:

　　下載工作管理軟體:柳葉擦眼沒有的請到以下位址下載:

　　http://www.e3i5.com/soft/SoftView.Asp?SoftID=361

　　這裡我推薦使用柳葉擦眼因為它是個綠色軟體，不需要安裝，下載解壓縮後該怎麼用就怎麼用，方便。

　　進行手動式殺毒的準備工作，先關閉你能關閉的所有軟體，包括殺毒軟體，防火牆，寬瀕連接等等一切能產生工作的東西.只保留必要的系統工作，這樣會使以後的操作帶來很多方便。

　　⒉檢視系統工作:除了顯示系統檔案外，將所有無關的工作殺掉。

　　如:檢視工作表定位文件。intneter.exe c:/windows/system/intneter.exe 這裡的intneter.exe就是仿intnater.exe輸入法工作載入到系統的非法工作文件，我們應馬上結束這個工作，並移除對應的文件，注意一些文件是隱藏的，在搜尋時套用"資料夾選項"開啟對隱藏文件的檢視.

　　如果不知道相關的工作，你可以這樣嘗試，

　　將工作軟體下載後，斷網，關閉執行的軟體，開啟工作管理軟體，軟體顯示的系統工作你不要理，如果你不知道你以前正常的軟體工作名是什麼的話，將所有非系統的工作全部殺死，(注意除了工作檢視軟體之外的哦，我要是不說一定有人連它一起殺了.)並記下他們的文件路徑，並記錄下來。由於不知道是否是非法文件暫時改名，也記錄下來，以便修改。

　　⒊修改註冊表

　　開始 ------ > 執行 ------ > REGEDIT ------ > 編輯 ------ > 搜尋

　　搜尋

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主鍵下所有的鍵都為空，如果不為空，全部清理為空.使系統啟動不載入任何程序。(一般的來說，驅動程式除了一些顯示驅動會保留在啟動項裡，其他重要的很少了)如果你知道你常用軟體所在RUN以及相關鍵下的值，當然更好，你就可以選項性的進行清理。對以後的整理工作會更方便些。

　　修改以下註冊表關聯項目:

　　[HKEY_CLASSES_ROOT/ chm.file/ shell/ open/ command "(預設值)" "%windir%/hh.exe" %1 ]

　　[HKEY_CLASSES_ROOT/ exefile/ shell/ open/ command "(預設值)" "%1" %* ]

　　[HKEY_CLASSES_ROOT/ inifile/ shell/ open/ command "(預設值)" %windir%/NOTEPAD.EXE %1 ]

　　[HKEY_CLASSES_ROOT/ regfile/ shell/ open/ command "(預設值)" regedit.exe "%1" ]

　　[HKEY_CLASSES_ROOT/ scrfile/ shell/ open/ command "(預設值)" "%1" /S ]

　　[HKEY_CLASSES_ROOT/ txtfile/ shell/ open/ command "(預設值)" %windir%/NOTEPAD.EXE %1]

　　⒋清理啟動項組態文件

　　1.進入組態管理，除WIN 2K外都為MSCONFIG.

　　開始 ------ > 執行 ------ > MSCONFIG

　　WIN 9X用戶注意:將啟動組態裡所有帶*.hta,的去掉。HTA的特性就是隱藏掉表單,然後一段時間就彈出網頁.

　　進入:system.ini

　　修改[BOOT]

　　shell=Explorer.exe //注意:後面沒東西了，再有什麼，改成和前面一樣的。

　　進入:WIN.INI

　　修改[WINDOWS]

　　//注意load鍵後面除了=號什麼也沒有。空格都不行。

　　LOAD=

　　NULLPORT=NONE

　　修改:autoexec.bat 內容為空

　　WIN 2K 直接進入啟動編輯器。

　　修改以上三個文件.

　　記得這三個文件裡沒有任何為空的指令指令，有就移除。

　　任何值如果為空的話就是什麼都沒有，甚至於空格都不存在。有之，改!

　　⒌清理註冊表LJ訊息

　　開始 ------ > 執行 ------ > REGEDIT ------ > 編輯 ------ > 搜尋

　　將開機執行的那個站點進行搜尋找到即移除.

　　⒍清理快取 [這點最重要]

　　一定要把你的IE緩衝區清理乾淨，以及TEMP資料夾的臨時文件和LJ文件清理乾淨。

　　好了，將你記錄的路徑的文件儲存，然後重新啟動電腦。

　　⒎清理校驗

　　1.啟動電腦後，再次開啟柳葉擦眼，檢視工作，看除了系統工作是否還有其他工作存在。如果沒有，說明手動式清理完成。如果還發現異常的工作請重複以上步驟。

　　2.驗證殺毒完成後，你開始逐一的啟動各類軟體，檢查你所改名的文件是否會影響到軟體執行，如果沒有異常發生，請移除或放入你殺毒軟體的隔離區，(為什麼要選項後者畢竟我們還不清楚這是不是病毒文件，即使是在隔離區的文件系統是不會再次執行的).

　　[注意]做這項工作時你一定要想起你在殺工作時儲存的那個工作路徑列表文件，依照上面的文件逐一的進行檢查.

　　3.逐一恢復了所有的工作後，重新啟動電腦，再做最後一次檢測。以防萬一。

　　4.到此為止，你已經完成了你的全部手動式清理程序，病毒已經被你請出你的電腦了。

　　總結:

　　不論怎麼說，自己親自清理過一次網頁病毒後，你會覺得網頁病毒其實也並非那樣可怕，最難的是挑戰自我的勇氣。我個人並不推薦電腦出了問題就是格式化硬碟、重裝，這並非是一個解決問題的途徑。我們建議大家首先先簡單的認識惡意網頁的程式碼機理為的就是從根本上來解決問題。但，我們更強調的是動手能力。當然我的意思也並非完全拋棄殺毒和防毒軟體，但，畢竟是個工具。俗話講得好:事在人為。

　　[新問題]

　　最近在寫一個特殊效果頁的時候，發現一個新問題，頁面在執行了幾個特殊函數後，整個頁面被鎖死，以下所有的JS全部失效，開啟工作檢視，發現有一個svchost.exe一直在監視這個頁面工作，而在WINDOWS的標準工作管理中看不到，只有借助第三方軟體才能終止此工作，即使終止了網頁工作，這個svchost.exe的監視工作還在。與好友LuoLuo商量了一段時間後，猜測可能是由於頁面中的某部分程式碼引起了緩衝區溢位，導致IE崩潰，而不能執行頁面指令。多次測試只後我們還是找不到原因，到底是哪部分函數引起了這個問題我們還在研究中，出現的問題就是非常非常的隱蔽，如果在頁面鎖死後可以注入一些惡意程式碼或是木馬那不是沒救了?IE啊…用MOZILLA算了，哈哈~

　　後記

　　全文到這裡基本上結束了。通篇文章涉及到網頁病毒程式碼分析，中毒機理分析，預防手段，以及一般的查殺、手動式查殺四大部分的介紹。我盡量做到詳細的將問題以最簡單易懂的方式說明。歸結到一點就是，希望大家能從網頁病毒的本質出發來面對它，解決它。仔細想想現在含各式病毒站點越來越多，而他們利用的也不僅僅是程式碼的威力以及系統或是瀏覽器上漏洞，也上在利用大家在瀏覽網頁的安全意識不健全的基礎上。另外，我還想說明的一點就是:不要完全依靠殺毒軟體，現在國內的一些殺毒軟體做的並完善，殺毒不徹底，很容易殘留一些病毒遺體到你電腦內，當你一不小心執行了它，病毒又死灰復燃了;還有就是一部分殺毒軟體雖然能及時的預警，但在殺毒上卻稍遜一籌.殺掉了快取內的病毒原體，卻留下了病毒自動產生的新文件。這也似乎成了國內軟體的一個通病，功能有，但不強大。面對著如此格局，除了自己伸手幫自己，還能有什麼辦法?相信自己，遇到問題自己動手解決.

2006-04-05, 10:31 PM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	第三章網頁病毒、網頁木馬的基本預防手段　　l 要避免被網頁惡意程式碼感染，首先關鍵是不要輕易去一些自己並不十分知曉的站點，尤其是一些看上去非常美麗誘人的網址更不要輕易進入，否則往往不經易間就會誤入網頁程式碼的圈套。　　l 由於該類網頁是含有有害程式碼的ActiveX網頁文件，因此在IE設定中將ActiveX插件和控件、Java指令碼等全部禁止就可以避免中招。　　具體方法是:在IE視窗中點擊"工具→Internet選項，在彈出的對話視窗中選項"安全"標籤，再點擊"自訂等級"按鈕，就會彈出"安全性設定"對話視窗，把其中所有ActiveX插件和控件以及Java相關全部選項"禁用"即可。不過，這樣做在以後的網頁瀏覽程序中可能會造成一些正常使用ActiveX的網站無法瀏覽。　　l 對於Windows98用戶，請開啟 C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP，把其中的「ActiveXComponent.class」刪掉;對於WindowsMe用戶，請開啟C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP，把其中的"ActiveXComponent.class"刪掉。請放心，移除這個元件不會影響到你正常瀏覽網頁的. 　　l 對Win2000用戶，還可以通過在Win2000下把服務裡面的遠端註冊表操作服務"Remote Registry Service"禁用，來對付該類網頁。具體方法是:點擊"系統管理工具→服務→Remote Registry Service(允許遠端註冊表操作)"，將這一項禁用即可。　　l 昇級你的IE為6.0版本並裝上所有的SP以及追加的幾個小修正檔，可以有效防範上面這些症狀。　　l 下載微軟最新的Microsoft Windows script 5.6 　　l 安裝病毒防火牆，一般的殺毒軟體都原有的.開啟網頁監控和指令碼監控. 　　l 雖然經過上述的工作修改回了標題和預設值連接首頁，但如果以後某一天又一不小心進入這類網站就又得要麻煩了。這時你可以在IE瀏覽器中做一些設定以使之永遠不能進入這類站點: 　　開啟IE內容，點擊「工具」→ 「Internet選項」→「安全」→「受限站點」，一定要將「安全等級」定為「高」，再點擊「站點」，在「將Web站點增加到區域中」增加自己不想去的網站網址，再點擊「增加」，然後點擊「套用」和「確定」即可正常瀏覽網頁了。　　l 在註冊表　　[HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatiblity]下為　　[Active Setup controls]新增一個關於CLSID的新增{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新增下新增REGDWORD檔案類型的值:[Compatibility Flags 0x00000400] 　　可以間接的防止網頁木馬問題。　　l 請經常昇級你的殺毒軟體病毒庫，讓他們能及時的查出藏在你電腦內的病毒殘體。經常性的做全機的掃瞄檢查。　　l 推薦安裝:IE6.0.2800.1106 + SP1 + 4個IE專項修正檔　　第四章網頁病毒、網頁木馬的清理和手動式清理　　第一節網頁病毒、網頁木馬的一般清理　　在病毒防治和查殺的第一選項，我們首當其衝的就是殺毒軟體。不定期的昇級你的病毒庫，關注你所用的作業系統和瀏覽器的漏洞訊息以及相關修正檔的安裝。當你進入一個惡意站點後註冊表被改時，首先要做的不是盲目的去找殺毒工具，而是驗證一下你自己所中的毒是否只是簡單的修改註冊表，如果是木馬的話，你還在網路上飛來飛去，想想能不丟東西麼?這就是為什麼在文章的開頭部分我們花了一部分篇幅進行惡意網頁機理的介紹和說明。為的就是叫大家從道理上明白，所謂的惡意網頁是通過什麼樣的途徑，執行了什麼樣的程式碼執行出了什麼樣的效果。當然，你沒必要去理解程式碼的全部含義，至少在檢視一個頁面原碼時發現它，也知道它是做什麼，而不去訪問此頁。再提一點，這樣做並非是讓每人個人都去理解，去記憶。在這裡我們也採用「讓少數人先富起來的」政策。這樣，那些GG才能在MM面前顯示自己的「才能」。開個玩笑，轉入整題，如何一般性的清理病毒? 　　1.到「網上助手」去清理. 位址是:http://magic.3721.com 　　2.使用殺毒軟體殺毒. 用你自己的殺毒軟體來清除。記得要先昇級。　　3.使用一些專殺工具查殺. 到一些殺毒軟體站點去下載殺毒工具吧。　　4.到本站的專業IE維護，是針對現在幾個流行的網頁病毒，網頁木馬站點修改註冊表鍵值精心製作的.位址是:http://ie.e3i5.net 　　[作者注]請在使用網頁IE修復時，最好進行兩次修復，我們的修復器採用的是_Dll插件+Javascript+ActiveX製作的，對系統的鍵值有檢測功能，如果你的註冊表項沒有更改，修復系統會自動結束。　　第二節網頁病毒、網頁木馬的一般手動式清理　　一般在網路不通或者不能上網的情況，你可能會需要修改回你的註冊表。這時以上的方法可能幫不上你任何的忙，怎麼辦?嘗試我們推薦的辦法，手動式清理。　　1.清除每次開機時自動彈出的網頁　　其實清除每次開機時自動彈出的網頁方法並不難，只要你記住位址欄裡出現的網址，然後開啟註冊表編輯器(方法是在點擊「開始」表單，之後點擊「執行」，在執行項中輸入regedit指令進入註冊表編輯器)，分別定位到: 　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下，看看在該子項下是否有一個以這個網址為值的值項，如果有的話，就將其移除，之後重新啟動電腦。這樣在下一次開機的時候就不再會有網頁彈出來了。不過網頁惡意程式碼的編寫者有時也是非常的狡猾，他會在註冊表的不同鍵值中多處設有這個值項，這樣上面提的方法也未必能完全解決問題。遇到這種情況，你可以在註冊表編輯器的選項表單裡選項「編輯」→「搜尋」，在「搜尋」對話視窗內輸入開機時自動開啟的網址，然後點擊「搜尋下一個」，將搜尋到的值項移除。另外，如果你是使用Windows 98的用戶，可在「開始」表單中的「執行」對話視窗內輸入「msconfig」，點擊確定，開啟「系統組態實用程序」並開啟「啟動」選擇項，檢查其中是否有非常可疑的啟動項，如果有的話請將其禁用(在程序前的打上勾)，然後重啟機器就可以了。如果你所使用的是Windows NT/2000的用戶，可以把Windows 98下的「系統組態實用程序」複製過來並執行進行搜尋清除。　　2. IE標題欄被修改　　具體說來受到更改的註冊表項目為: 　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title 　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title 　　解決辦法: 　　１在Windows啟動後，點擊「開始」→「執行」表單項，在「開啟」欄中按鍵輸入regedit，然後按「確定」鍵; 　　２展開註冊表到　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分視窗中找到串值「Window Title」，將該串值移除即可，或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字; 　　３同理，展開註冊表到　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main 　　然後按２中所述方法處理。　　４結束註冊表編輯器，重新啟動電腦，執行IE，你會發現困擾你的問題被解決了! 　　3. IE分級審查密碼的清除　　1.開啟「開始」表單，按下「執行」，在執行項中輸入regedit指令(這是開啟註冊表編輯表的指令)。　　2.在註冊表編輯器中有五個主要的鍵值，請您按照下面順序一步一步開啟下面的文件(在所指的資料夾上雙按或按下在資料夾前面的十字串號)。　　3.具體順序是: 　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion 　　/Policies/Ratings 　　在您打到Ratings資料夾後會看到在右面的視窗中有key鍵值，直接在這個鍵上點右鍵，之後選移除，然後關閉註冊表編輯器即可。　　下面的這個圖是最後一個資料夾及其右面的提示，只要將上面顯示的key鍵移除也就可以清除IE分級審查的密碼了。如圖: 　　4. 篡改IE的預設值頁　　具體說就是以下註冊表項被修改: 　　HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL 　　「Default_Page_URL」這個子鍵的鍵值即起始頁的預設值頁。　　解決辦法: 　　執行註冊表編輯器，然後展開上述子鍵，將「Default_Page_URL」子鍵的鍵值中的那些篡改網站的網址改掉就行了，或者將其設定為IE的預設值。　　5. 修復被鎖定的註冊表　　可以自己動手製作一個解除註冊表鎖定的工具，就是用記事本編輯一個任意名字的.reg文件，比如recover.reg，內容如下: 　　表單頂端　　REGEDIT4 　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] 　　"DisableRegistryTools"=dword:00000000 　　表單底端　　要特別注意的是:如果你用這個方法製作解除註冊表鎖定的工具，一定要嚴格按照上面的書寫格式進行，不能遺漏更不能修改(其實你只需將上述內容「複製」、「貼上」到你機器記事本中即可);完成上述工作後，點擊記事本的文件表單中的「另存為」項，檔案名可以隨意，但文件副檔名必須為.reg(切記),然後點擊「儲存」。這樣一個註冊表解鎖工具就製作完成了，之後你只須雙按產生的工具圖示，其會提示你是否將這個訊息增加進註冊表，你要點擊「是」，隨後系統提示訊息已成功輸入註冊表，再點擊「確定」即可將註冊表解鎖了。 6. 修改IE瀏覽器預設主頁，並且鎖定設定項，禁止用戶更改　　主要是修改了註冊表中IE設定的下面這些鍵值(DWORD值為1時為不可選): 　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel 　　"Settings"=dword:1 　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel 　　"Links"=dword:1 　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel 　　"SecAddSites"=dword:1 　　解決辦法:上面這些DWORD值改為「0」即可恢復功能。　　7. IE的預設值首頁灰色按扭不可選　　這是由於註冊表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel 　　下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值為「0」，被修改後為「1」(即為灰色不可選狀態)。　　解決辦法:將「homepage」的鍵值改為「0」即可。　　8. IE右鍵表單被修改　　受到修改的註冊表項目為: 　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt 　　下被新增了網頁的廣告訊息，並由此在IE右鍵表單中出現! 　　解決辦法: 　　開啟註冊標編輯器，找到　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt 　　移除相關的廣告條文即可，注意不要把下載軟體FlashGet和Netants也移除掉，這兩個可是「正常」的，除非你不想在IE的右鍵表單中見到它們。　　9. IE預設值搜尋引擎被修改　　出現這種現象的原因是以下註冊表被修改: 　　HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch 　　HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant 　　解決辦法: 　　執行註冊表編輯器，依次展開上述子鍵，將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可　　10. 檢視「源文件」表單被禁用　　惡意網頁修改了註冊表，具體的位置為: 　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer 　　下建立子鍵「Restrictions」，然後在「Restrictions」下面建立兩個DWORD值: 　　「NoViewSource」和「NoBrowserContextMenu」，並為這兩個DWORD值賦值為「1」。　　在註冊表　　HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions下，將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改為了「1」。　通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效，使「檢視」表單中的「源文件」被禁用的目的。　　解決辦法: 　　將以下內容另存為後面名為.reg的註冊表文件，比如說unlock.reg，雙按unlock.reg匯入註冊表，不用重啟電腦，重新執行IE就會發現IE的功能恢復正常了。　　REGEDIT4 　　HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions 　　「NoViewSource」=dword:00000000 　　"NoBrowserContextMenu"=dword:00000000 　　HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions 　　「NoViewSource」=dword:00000000 　　「NoBrowserContextMenu」=dword:00000000 　　11. 系統啟動時彈出對話視窗　　受到更改的註冊表項目為: 　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon 　　在其下被建立了字串串「LegalNoticeCaption」和「LegalNoticeText」，其中「LegalNoticeCaption」是提示項的標題，「LegalNoticeText」是提示項的文本內容。由於它們的存在，就使得我們每次登入到Windwos桌面前都出現一個提示視窗，顯示那些網頁的廣告訊息! 　　解決辦法: 　　開啟註冊表編輯器，找到　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon 　　這一個主鍵，然後在右邊視窗中找到「LegalNoticeCaption」和「LegalNoticeText」這兩個字串串，移除這兩個字串串就可以解決在登入時出現提示項的現象了。　　12. IE預設值連接首頁被修改　　受到更改的註冊表項目為: 　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Start Page 　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page 　　通過修改「Start Page」的鍵值，來達到修改瀏覽者IE預設值連接首頁的目的，如瀏覽「萬花谷」就會將你的IE預設值連接首頁修改為「http://url.url.com 」，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。　　解決辦法: 　　１在Windows啟動後，點擊「開始」→「執行」表單項，在「開啟」欄中按鍵輸入regedit，然後按「確定」鍵; 　　２展開註冊表到　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分視窗中找到串值「Start Page」雙按，將Start Page的鍵值改為「about:blank」即可; 　　３同理，展開註冊表到　　HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main 　　在右半部分視窗中找到串值「Start Page」，然後按２中所述方法處理。　　４結束註冊表編輯器，重新啟動電腦，一切OK了! 　　特殊例子:當IE的起始頁變成了某些網址後，就算你通過選項設定修改好了，重啟以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器裡加了一個自執行程序，它會在系統啟動時將你的IE起始頁設成他們的網站。　　解決辦法:執行註冊表編輯器regedit.exe，然後依次展開　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run 　　主鍵，然後將其下的registry.exe子鍵移除，然後移除自執行程序c:/Program Files/registry.exe，最後從IE選項中重新設定起始頁。　　13. IE中滑鼠右鍵失效　　解決辦法: 　　1.右鍵表單被修改。開啟註冊表編輯器，找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt，移除相關的廣告條文。　　2.右鍵功能失效。開啟註冊表編輯器，展開到　　HKEY_CURRENT_USER\Software\Policies\Microsoft\ 　　Internet Explorer\Restrictions，將其DWORD值"NoBrowserContextMenu"的值改為0。第三節未知網頁病毒、網頁木馬的進階手動式清理　　我想，文章到這裡應該算是高潮了吧，我們所遇到任何棘手的病毒都是未知的。也正式殺毒軟體管不了的，也沒有專殺工具的干涉，一般的IE修復也是無能為力，那怎麼辦?只有靠自己動手將病毒或木馬請出你的電腦。動手前還是要做一件事。就是驗證一下，你是不是真的染毒了，如果是類QQ病毒那樣的有明顯的徵兆的你當然可以直接進行以下的操作，如果沒呢?就要養成一個謹慎的態度。當發現你的電腦速度這幾天突然速度很慢，你的資料夾或是文件多出幾個，工作裡無緣無故的多出幾個新的工作文件，電腦CPU利用率總是高居不下，一開啟某種檔案類型的文件就出現錯誤，或者是無故的當機、顯示藍色，那麼你該注意了，你的愛機可能已經中毒了。開始你的手動式查殺工作吧。(這時最好是先用昇級後殺毒軟體查一次，如果沒有任何發現，再進去行以下操作)。　　情況一，你是明確知道你的電腦已經中毒了，比如說是QQ上出現自動發出訊息的問題。但你發現你所發的網址並非是以前文章上介紹過的位址，那麼這個站點感染的病毒可能是另外一種植入方式，如載入的文件不同，啟動方式也不同等等。既然已經中毒了，那就不怕什麼了，再次深入虎穴吧。但我們沒必要那樣做，我們某種意義上的深入虎穴，為的是得到這個站點網頁的病毒原碼，如何得到，我想不用我說也大家也清楚。現在很多站點都提供原程式碼檢視的網頁，用它就可以完全實現不用訪問該頁而抽取到原碼(不要太天真哦，用這個辦法那個頁面也會到你IE快取內，但你不必PaPa，這個不會對你夠成任何威脅).如果實在找不到，那你可以到http://www.e3i5.com/bbs/ 找我，我給你臨時做一個檢視頁。(什麼?找不到怎麼辦?那就沒辦法了，你就真的再次深入虎穴，用工作列上的檢視選項去看原碼吧。哈哈~ ^_^!)為什麼要查原碼，主要是看一下，網頁的執行機制是怎麼樣的?又回到我們文章一開始的話題了，為什麼要花些文章在介紹網頁病毒、網頁木馬的常識和執行機理上。學以必用的道理大家比我還清楚。分析出網頁病毒、木馬的機理我們再來進行本機機的清理工具將是一個很好的前提條件。　　情況二，你根本不知道你是不是中毒了，怎麼辦?要從電腦最基本的開始查，工作表。這個一般是查出問題的關鍵之處。一般都要使用第三方軟體來檢視，如 windows最佳化大師的工作管理器，柳葉擦眼等。檢視工作表，那些標幟為系統檔案的工作你可以不看，而那些非系統工作你要注意了。像一些仿系統檔案的工作則是我們重點關心的對象，發現即禁止掉，然後到相應的路徑改名。(由於是非系統工作，終止掉它到下次重新啟動也不會影響電腦的正常執行)然後，檢視該檔案的內容，尤其是檢視「新增時間」如果和你的中毒時間相仿或是差不多遠，那就說明這個文件十之八九就為病毒文件。一般的系統檔案新增時間都是很早哦，大約要比當前時間早一到兩年，甚至三年五年的。按如此辦法我們就可以逐一的找出可疑的文件，然後按以下的方法進行病毒的清理。　　清理工作的開始: 　　⒈準備工作: 　　下載工作管理軟體:柳葉擦眼沒有的請到以下位址下載: 　　http://www.e3i5.com/soft/SoftView.Asp?SoftID=361 　　這裡我推薦使用柳葉擦眼因為它是個綠色軟體，不需要安裝，下載解壓縮後該怎麼用就怎麼用，方便。　　進行手動式殺毒的準備工作，先關閉你能關閉的所有軟體，包括殺毒軟體，防火牆，寬瀕連接等等一切能產生工作的東西.只保留必要的系統工作，這樣會使以後的操作帶來很多方便。　　⒉檢視系統工作:除了顯示系統檔案外，將所有無關的工作殺掉。　　如:檢視工作表定位文件。intneter.exe c:/windows/system/intneter.exe 這裡的intneter.exe就是仿intnater.exe輸入法工作載入到系統的非法工作文件，我們應馬上結束這個工作，並移除對應的文件，注意一些文件是隱藏的，在搜尋時套用"資料夾選項"開啟對隱藏文件的檢視. 　　如果不知道相關的工作，你可以這樣嘗試，　　將工作軟體下載後，斷網，關閉執行的軟體，開啟工作管理軟體，軟體顯示的系統工作你不要理，如果你不知道你以前正常的軟體工作名是什麼的話，將所有非系統的工作全部殺死，(注意除了工作檢視軟體之外的哦，我要是不說一定有人連它一起殺了.)並記下他們的文件路徑，並記錄下來。由於不知道是否是非法文件暫時改名，也記錄下來，以便修改。　　⒊修改註冊表　　開始 ------ > 執行 ------ > REGEDIT ------ > 編輯 ------ > 搜尋　　搜尋　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices] 　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce] 　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] 　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce] 　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce] 　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主鍵下所有的鍵都為空，如果不為空，全部清理為空.使系統啟動不載入任何程序。(一般的來說，驅動程式除了一些顯示驅動會保留在啟動項裡，其他重要的很少了)如果你知道你常用軟體所在RUN以及相關鍵下的值，當然更好，你就可以選項性的進行清理。對以後的整理工作會更方便些。　　修改以下註冊表關聯項目: 　　[HKEY_CLASSES_ROOT/ chm.file/ shell/ open/ command "(預設值)" "%windir%/hh.exe" %1 ] 　　[HKEY_CLASSES_ROOT/ exefile/ shell/ open/ command "(預設值)" "%1" %* ] 　　[HKEY_CLASSES_ROOT/ inifile/ shell/ open/ command "(預設值)" %windir%/NOTEPAD.EXE %1 ] 　　[HKEY_CLASSES_ROOT/ regfile/ shell/ open/ command "(預設值)" regedit.exe "%1" ] 　　[HKEY_CLASSES_ROOT/ scrfile/ shell/ open/ command "(預設值)" "%1" /S ] 　　[HKEY_CLASSES_ROOT/ txtfile/ shell/ open/ command "(預設值)" %windir%/NOTEPAD.EXE %1] 　　⒋清理啟動項組態文件　　1.進入組態管理，除WIN 2K外都為MSCONFIG. 　　開始 ------ > 執行 ------ > MSCONFIG 　　WIN 9X用戶注意:將啟動組態裡所有帶*.hta,的去掉。HTA的特性就是隱藏掉表單,然後一段時間就彈出網頁. 　　進入:system.ini 　　修改[BOOT] 　　shell=Explorer.exe //注意:後面沒東西了，再有什麼，改成和前面一樣的。　　進入:WIN.INI 　　修改[WINDOWS] 　　//注意load鍵後面除了=號什麼也沒有。空格都不行。　　LOAD= 　　NULLPORT=NONE 　　修改:autoexec.bat 內容為空　　WIN 2K 直接進入啟動編輯器。　　修改以上三個文件. 　　記得這三個文件裡沒有任何為空的指令指令，有就移除。　　任何值如果為空的話就是什麼都沒有，甚至於空格都不存在。有之，改! 　　⒌清理註冊表LJ訊息　　開始 ------ > 執行 ------ > REGEDIT ------ > 編輯 ------ > 搜尋　　將開機執行的那個站點進行搜尋找到即移除. 　　⒍清理快取 [這點最重要] 　　一定要把你的IE緩衝區清理乾淨，以及TEMP資料夾的臨時文件和LJ文件清理乾淨。　　好了，將你記錄的路徑的文件儲存，然後重新啟動電腦。　　⒎清理校驗　　1.啟動電腦後，再次開啟柳葉擦眼，檢視工作，看除了系統工作是否還有其他工作存在。如果沒有，說明手動式清理完成。如果還發現異常的工作請重複以上步驟。　　2.驗證殺毒完成後，你開始逐一的啟動各類軟體，檢查你所改名的文件是否會影響到軟體執行，如果沒有異常發生，請移除或放入你殺毒軟體的隔離區，(為什麼要選項後者畢竟我們還不清楚這是不是病毒文件，即使是在隔離區的文件系統是不會再次執行的). 　　[注意]做這項工作時你一定要想起你在殺工作時儲存的那個工作路徑列表文件，依照上面的文件逐一的進行檢查. 　　3.逐一恢復了所有的工作後，重新啟動電腦，再做最後一次檢測。以防萬一。　　4.到此為止，你已經完成了你的全部手動式清理程序，病毒已經被你請出你的電腦了。　　總結: 　　不論怎麼說，自己親自清理過一次網頁病毒後，你會覺得網頁病毒其實也並非那樣可怕，最難的是挑戰自我的勇氣。我個人並不推薦電腦出了問題就是格式化硬碟、重裝，這並非是一個解決問題的途徑。我們建議大家首先先簡單的認識惡意網頁的程式碼機理為的就是從根本上來解決問題。但，我們更強調的是動手能力。當然我的意思也並非完全拋棄殺毒和防毒軟體，但，畢竟是個工具。俗話講得好:事在人為。　　[新問題] 　　最近在寫一個特殊效果頁的時候，發現一個新問題，頁面在執行了幾個特殊函數後，整個頁面被鎖死，以下所有的JS全部失效，開啟工作檢視，發現有一個svchost.exe一直在監視這個頁面工作，而在WINDOWS的標準工作管理中看不到，只有借助第三方軟體才能終止此工作，即使終止了網頁工作，這個svchost.exe的監視工作還在。與好友LuoLuo商量了一段時間後，猜測可能是由於頁面中的某部分程式碼引起了緩衝區溢位，導致IE崩潰，而不能執行頁面指令。多次測試只後我們還是找不到原因，到底是哪部分函數引起了這個問題我們還在研究中，出現的問題就是非常非常的隱蔽，如果在頁面鎖死後可以注入一些惡意程式碼或是木馬那不是沒救了?IE啊…用MOZILLA算了，哈哈~ 　　後記　　全文到這裡基本上結束了。通篇文章涉及到網頁病毒程式碼分析，中毒機理分析，預防手段，以及一般的查殺、手動式查殺四大部分的介紹。我盡量做到詳細的將問題以最簡單易懂的方式說明。歸結到一點就是，希望大家能從網頁病毒的本質出發來面對它，解決它。仔細想想現在含各式病毒站點越來越多，而他們利用的也不僅僅是程式碼的威力以及系統或是瀏覽器上漏洞，也上在利用大家在瀏覽網頁的安全意識不健全的基礎上。另外，我還想說明的一點就是:不要完全依靠殺毒軟體，現在國內的一些殺毒軟體做的並完善，殺毒不徹底，很容易殘留一些病毒遺體到你電腦內，當你一不小心執行了它，病毒又死灰復燃了;還有就是一部分殺毒軟體雖然能及時的預警，但在殺毒上卻稍遜一籌.殺掉了快取內的病毒原體，卻留下了病毒自動產生的新文件。這也似乎成了國內軟體的一個通病，功能有，但不強大。面對著如此格局，除了自己伸手幫自己，還能有什麼辦法?相信自己，遇到問題自己動手解決.
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次