网页木马深度剖析以及手工清除
发布时间:2006-04-04 01:47:58 来源:天极博客 网友评论 0 条
第三章 网页病毒、网页木马的基本预防手段
l 要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入,否则往往不经易间就会误入网页代码的圈套。
l 由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
l 对于Windows98用户,请打开 C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP, 把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP, 把其中的"ActiveXComponent.class"删掉。请放心,删除这个组件不会影响到你正常浏览网页的.
l 对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务"Remote Registry Service"禁用,来对付该类网页。具体方法是:点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)",将这一项禁用即可。
l 升级你的IE为6.0版本并装上所有的SP以及追加的几个小补丁,可以有效防范上面这些症状。
l 下载微软最新的Microsoft Windows script 5.6
l 安装病毒防火墙,一般的杀毒软件都自带.打开网页监控和脚本监控.
l 虽然经过上述的工作修改回了标题和默认连接首页,但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点:
打开IE属性,点击“工具”→ “Internet选项 ”→“安全”→“受限站点”,一定要将“安全级别”定为“高”,再点击“站点”,在“将Web站点添加到区域中”添加自己不想去的网站网址,再点击“添加”,然后点击“应用”和“确定”即可正常浏览网页了。
l 在注册表
[HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatiblity]下为
[Active Setup controls]创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值:[Compatibility Flags 0x00000400]
可以间接的防止网页木马问题。
l 请经常升级你的杀毒软件病毒库,让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。
l 推荐安装:IE6.0.2800.1106 + SP1 + 4个IE专项补丁
第四章 网页病毒、网页木马的清理和手工清理
第一节 网页病毒、网页木马的一般清理
在病毒防治和查杀的第一选择,我们首当其冲的就是杀毒软件。不定期的升级你的病毒库,关注你所用的操作系统和浏览器的漏洞信息以及相关补丁的安装。当你进入一个恶意站点后注册表被改时,首先要做的不是盲目的去找杀毒工具,而是确认一下你自己所中的毒是否只是简单的修改注册表,如果是木马的话,你还在网络上飞来飞去,想想能不丢东西么?这就是为什么在文章的开头部分我们花了一部分篇幅进行恶意网页机理的介绍和说明。为的就是叫大家从道理上明白,所谓的恶意网页是通过什么样的途径,运行了什么样的代码执行出了什么样的效果。当然,你没必要去理解代码的全部含义,至少在查看一个页面原码时发现它,也知道它是做什么,而不去访问此页。再提一点,这样做并非是让每人个人都去理解,去记忆。在这里我们也采用“让少数人先富起来的”政策。这样,那些GG才能在MM面前显示自己的“才能”。开个玩笑,转入整题,如何一般性的清理病毒?
1.到“网上助手”去清理. 地址是:http://magic.3721.com
2.使用杀毒软件杀毒. 用你自己的杀毒软件来清除。记得要先升级。
3.使用一些专杀工具查杀. 到一些杀毒软件站点去下载杀毒工具吧。
4.到本站的专业IE维护,是针对现在几个流行的网页病毒,网页木马站点修改注册表键值精心制作的.地址是:http://ie.e3i5.net
[作者注]请在使用网页IE修复时,最好进行两次修复,我们的修复器采用的是_Dll插件+Javascript+ActiveX制作的,对系统的键值有检测功能,如果你的注册表项没有更改,修复系统会自动退出。
第二节 网页病毒、网页木马的一般手工清理
一般在网络不通或者不能上网的情况,你可能会需要修改回你的注册表。这时以上的方法可能帮不上你任何的忙,怎么办?尝试我们推荐的办法,手工清理。
1.清除每次开机时自动弹出的网页
其实清除每次开机时自动弹出的网页方法并不难,只要你记住地址栏里出现的网址,然后打开注册表编辑器(方法是在点击“开始”菜单,之后点击“运行”,在运行框中输入regedit命令进入注册表编辑器),分别定位到:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。不过网页恶意代码的编写者有时也是非常的狡猾,他会在注册表的不同键值中多处设有这个值项,这样上面提的方法也未必能完全解决问题。遇到这种情况,你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”,在“查找”对话框内输入开机时自动打开的网址,然后点击“查找下一个”,将查找到的值项删除。另外,如果你是使用Windows 98的用户,可在“开始”菜单中的“运行”对话框内输入“msconfig”,点击确定,打开“系统配置实用程序”并打开“启动”选项卡,检查其中是否有非常可疑的启动项,如果有的话请将其禁用(在程序前的打上勾),然后重启机器就可以了。如果你所使用的是Windows NT/2000的用户,可以把Windows 98下的“系统配置实用程序”复制过来并运行进行查找清除。
2. IE标题栏被修改
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题被解决了!
3. IE分级审查密码的清除
1.打开“开始”菜单,单击“运行”,在运行框中输入regedit命令(这是打开注册表编辑表的命令)。
2.在注册表编辑器中有五个主要的键值,请您按照下面顺序一步一步打开下面的文件(在所指的文件夹上双击或单击在文件夹前面的十字符号)。
3.具体顺序是:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion
/Policies/Ratings
在您打到Ratings文件夹后会看到在右面的窗口中有key键值,直接在这个键上点右键,之后选删除,然后关闭注册表编辑器即可。
下面的这个图是最后一个文件夹及其右面的提示,只要将上面显示的key键删除也就可以清除IE分级审查的密码了。如图:
4. 篡改IE的默认页
具体说就是以下注册表项被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。
5. 修复被锁定的注册表
可以自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:
窗体顶端
REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
窗体底端
要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的工具图标,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。
全站资源
- 微软官方入门教程19:轻松掌握Vista系统的快
- 微软2008大冲击,预借Vista SP1力促Vista市
- 在收件箱中获得 Windows Vista 的最新更新
- 微软官方Vista入门教程全集19篇(Vista学院
- Windows Vista 的成功将势不可挡
- 快快抛弃Vista,拥抱XP SP3!你觉得呢?
- 浅谈Vista系统关闭虚拟内存与使用内存盘加速
- 嘿嘿,按下键盘上面的三个键,马上让你的Vi
- Windows Vista的盗版率只有Windows XP的一半
- 3DMark和PCMark Vantage新版将只支持Vista系
阅读排行
- 淘宝网店“设计装修”技巧全攻略
- javascript函数库
- 我的地盘听我的 六大主流博客网站对比评测
- WAP建站入门教程
- 网页木马深度剖析以及手工清除
- WAP建站语言WML语法全接触
- 好事喜事送上祝福 电子请柬随网拈来
- 如何保存网页中的Flash文件?
- WAP建站WML语言语法基础
- 介绍几款WAP网页制作工具(提供下载)
最新技术文档
- 心得:漫谈网站改版的必要性
- 网页文字界面设计与穿衣搭配经验
- 让网页里的提交按钮变得更靓丽
- 小技巧:以图换字的几个方法及思路
- 巧用网页显示硬盘内容
- HTML在线编辑器的调用方法和使用方法
- 本地检验网页是否符合标准的几种方法
- 什么是uri 什么是url 两者的关系是什么?
- 网页中添加调用qq或者msn聊天窗口与客服进行
- 网页设计配色应用——色调
专题教程
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册
- Picasa中文版_Picasa教程 专题:清除流氓软件
- Firefox专题 seo搜索引擎优化专区
- 重装Windows必知的事情 装机之必备软件大行动
病毒专杀栏