以牙还牙--巧妙防治恶意的网页病毒

• 
  　　单位的一台公用电脑接入了Internet互联网，没多久，就被一个恶意网页病毒感染了，出现如下症状：打开IE浏览器，会自动进入一个名为“久好网址之家”的网址大全类的网站，打开“Internet选项”，发现主页被设置为“www.ok9.net”，当使用“搜索”功能时，发现搜索也被修改指向“www.ok9.net”，真是令人厌烦。
  　　 于是我运行注册表编辑器，利用“查找”功能，以“www.ok9.net”为关键词找出所有被恶意网页修改的内容，并全部更改回原来的值。谁知重新启动系统后，打开IE浏览器，发现又自动打开了那个恶意网站，而且其他地方也被修改了，看来事情并不是想像的那么简单，这个恶意网站一定还在系统启动时做了什么手脚!
  　　 于是在“运行”中输入“msconfig”，打开系统配置实用程序，逐项查找System.ini、Win.ini以及“启动”项中的所有自启动项目，终于在“启动”项中发现了两个极为可疑的键值。虽然一个是默认键值，一个键值名称为“win”，但两者的键值数据都是“regedit -s c:＼windows＼win.dll”。通过查找Regedit的相关命令得知，这个命令的功能是导入一个注册表脚本文件，“-s”参数则是让它后台自动导入，不过这后面导入的是“Win.dll”文件，怎么会是一个动态链接库文件呢？难道这只是一个表面现象，于是用记事本打开这个“Win.dll”文件，发现原来这是一个文本格式的文件，只不过被修改了扩展名而已。
  　　 我分析了一下这个“Win.dll”文件，原来系统总是自动被恶意修改就是它在起作用。找到了症结，当然解决方法就是删除这个键值，并删除“Win.dll”
  文件，不过我忽然想到既然恶意网站可以利用这个文件来添加键值数据，为什么我不再利用一下这个文件，以牙还牙，让它还自动还原被恶意修改的键值呢？于是我将该文件修改如下：
  　　 REGEDIT4
  　　 [空一行]
  [HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]
  @=""
  [HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]
  　　 "win"=-
  　　 [HKEY_CURRENT_USER＼Software＼Microsoft＼Internet EXPlorer＼Main]
  　　 "Start Page"=""
  　　 "First Home Page"=""
  　　 [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼Main]
  　　 "Start Page"=""
  　　 "First Home Page"=""
  　　 rcx
  　　 保存修改后的“Win.dll”文件，然后运行一下命令“regedit -s c:＼windows＼win.dll”，重新启动一下系统，你会发现所有的恶意修改一下子就全部被恢复了，你还可以保存着这个文件，如果再遇到这个恶意网页的话，只需要用这个文件恢复一下就可以了，非常方便。

  （出处：网侠）

• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 以牙还牙--巧妙防治恶意的网页病毒 相关文章：
• ·以牙还牙--巧妙防治恶意的网页病毒
• 以牙还牙--巧妙防治恶意的网页病毒 相关软件

上一篇:病毒木马入侵招数专题

下一篇:病毒编写Windows 的自启动(1)

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐