史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-04-29, 12:57 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17385
現金: 5261 金幣
資產: 33851 金幣
預設 網頁病毒清除技巧

網頁病毒清除技巧

1、IE插件遭惡意破壞

  網上有報導稱在正常關機之後,再次開機,Windows XP系統卻不能正常啟動。WindowsXP系統開機後,在啟動列表中無論是選項正常或者安全模式啟動,均無法正常進入系統,而且機器隨後自動重新啟動,如此循環,使用系統修復等措施也無法啟動系統。後經分析發現了影響系統無法啟動的文件"CnsMinKP.sys"。

  CnsMinKP.sys 並不是windows提供的系統檔案,而是一個第三方的驅動文件,在文件的內容裡有某網際網路公司的相關資訊。驅動程式一般都是在系統的最底層工作,如果出現問題極其容易引起系統的不穩定。提醒用戶:此次現象還並不是病毒行為,也不會傳染。如果系統出現此症狀,不用驚慌,您的系統沒有被完全損壞,請採用以下解決方案可以修復系統:

  如果您的電腦存在雙系統,請登入正常的系統,移除%systemroot%\system32\drivers\CnsMinKP.sys文件即可;如果您的電腦不存在雙系統,請採用以下方法:

  使用系統啟動光碟啟始系統,並移除系統檔案夾中的以下文件

  %systemroot%\system32\drivers\CnsMinKP.sys

  2、IE6視窗不停地開啟,直到最後當機

  上網不久,IE6視窗就不停地開啟,直到最後系統記憶體佔用過多而當機。這是由於你瀏覽網頁時,中了指令碼病毒的緣故。指令碼病毒的執行離不開WSH(全稱「Windows Scripting Host」),需要使用WScript.exe程序,該程序位於Windows所在的資料夾下,由於絕大多數普通用戶不會使用它,因此你可以移除之,這樣來防止此類病毒的侵擾。

  修復方法:在Windows 98中,按下「開始/設定/控制台」,點擊「增加/刪除程式」,選項「Windows安裝程序」;然後雙按其中的「附件」選項,在彈出的視窗中,不勾選「Windows Scripting Host」項,最後兩次點擊「確定」將其卸載。

  在Windows XP/2000中,按下「開始/搜尋/文件或資料夾」,在系統目錄(C:\WINDOWS\system32)下,搜尋WScript.exe文件,將之移除。

  3、IE的主頁設定被遮閉鎖定

  惡意網頁還可以通過修改你的註冊表,鎖定IE的主頁設定項,使IE主頁設定的許多選項變灰色、按扭不可用,禁止用戶更改回來。

  修復方法:按下「開始/執行」,按鍵輸入「regedit」開啟註冊表,定位到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer分支,新增「Control Panel」主鍵,然後在此主鍵下新增一個鍵值名為「HomePage」的DWORD值,值為「00000000」 (「1」為禁用),定位到HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下,將HomePage的鍵值改為0;

  接下來定位到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\ControlPanel將其下的「Settings」、「Links」、「SecAddSites」全部都改為0即可。注意:在HKEY_CURRENT_USER\Software\Policies\Microsoft中,預設情況下只有主鍵「SystemCertificates」,一般沒有「Internet Explorer」,如果你經過以上操作後,IE仍然還有其他的設定被禁用(變灰),則可以將主鍵「Internet Explorer」移除即可。

  4、在IE工作列中有非法增加的按鈕

  惡意網頁還可以在你的IE工作列處中,增加各種非法按鈕。

  修復方法:啟動IE,選工作列上的非法按鈕,然後滑鼠右鍵彈出表單,選項「自訂」,在彈出的視窗中找到非法按鈕,點「移除」即可。


  5、IE預設的搜尋引擎被篡改

  在IE工作列中有一個搜尋引擎的工具按鈕,點擊之可以進行網路搜尋。IE預設使用微軟的搜尋引擎,如果IE的搜尋引擎被惡意網站篡改,只要你點擊那個「搜尋」按鈕,就會連接到惡意網站。

  修復方法:按下「開始/執行」,輸入「Regedit」開啟註冊表,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到「SearchAssistant」鍵值名,在右面視窗點擊「修改」,將其值改為某個搜尋引擎的網址(例如ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm),然後再找到「CustomizeSearch」鍵值名,將其鍵值改為某個搜尋引擎的網址。

  6、IE位址欄的下拉表單被篡改

  惡意網頁通過修改註冊表,將IE位址欄的下拉表單鎖定為灰色、使下拉表單消失,或者在其上覆蓋了非法文字訊息。

  修復方法:按下「開始/執行」,輸入「Regedit」開啟註冊表,定位到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支,在右邊視窗找到「LinksFolderName」鍵值名,將其鍵值設為「連接」,多餘的字元一律去掉。

  7、IE右鍵表單中有非法連接

  當你用IE瀏覽網頁時,右擊滑鼠會彈出一個表單,如果該表單中增加有非法站點的連接(例如「網址之家」等連接訊息)。

  修復方法:按下「開始/執行」,輸入「Regedit」開啟註冊表,定位到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,IE的右鍵表單都在這裡設定,如果你安裝了網際快車或者網路螞蟻,在該子鍵下會看到「使用網際快車下載」這樣的子鍵。你可以在「MenuExt」下,把屬於非法連接的主鍵全部移除。

  注意:在移除前,你應該展開MenuExt主鍵檢查一下,裡面有時會有一個子鍵,其內容是指向一個HTML文件,找到這個文件路徑,然後根據此路徑將該檔案也移除,這樣才能徹底清除。

  8、IE我的最愛中有非法網站的位址連接

  惡意網頁通過修改你的註冊表,強行在你的IE我的最愛中,增加它的連接訊息。

  修復方法:啟動IE開啟我的最愛,定位到非法網站訊息上,點擊右鍵彈出表單,選項移除即可。

  9、在IE中點擊滑鼠右鍵,沒有彈出表單

  惡意網頁通過修改註冊表,使你的IE右鍵彈出表單被完全禁止,當你在IE中點擊右鍵後,沒有彈出表單。

  修復方法:按下「開始/執行」,輸入「Regedit」開啟註冊表,定位到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到「NoBrowserContextMenu」鍵值名,將其鍵值設為「00000000」。

  10、IE「檢視」表單下的「源文件」被禁用

  惡意網頁通過修改註冊表,將IE「檢視」表單下的「源文件」鎖定為灰色,使你不能檢視網頁的源文件。

  修復方法:按下「開始/執行」,輸入「Regedit」開啟註冊表,定位到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支(如果無則新增Restrictions子鍵),找到「NoBrowserContextMenu」 鍵值名(如沒有則新增之),將其鍵值設為「00000000」。

  11、連環網頁病毒清除

  有一種網頁病毒,它依附在啟動當中,當你清除了過後,下次重新啟動電腦的時候,他又會再次的出現,出現這種情況怎麼辦呢?這時首先執行「Msconfig」程序檢視啟動項,看看裡面是不是有一些可疑的啟動項,比如:啟動項目裡有一個名為「System」的啟動項,項目值為「regedit /s c:\system.reg」,回到C碟根目錄下找到「System.reg」,用記事本開啟它,內容如下:

  REGEDIT4

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

  "Start Page"="

  "Search ****.com "

  "Search Page"="

  "Search ****.com "

  "Search Bar"="http://****.com/"

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  "system"="regedit /s c:\system.reg"

  就是它!偽裝成系統檔案,在「Msconfig」的啟動項中將「System.reg」前的「√」去掉(比較徹底的做法是進入註冊表,把「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下的「System」項移除),將C碟根目錄下的「System.reg」移除。

注意:以上方法中如涉及到要修改註冊表鍵值時,請用戶務必在操作之前制作備份註冊表。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1599 篇, 收花: 3151 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:21 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2014, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1