单位的一台公用电脑接入了Internet互联网,没多久,就被一个恶意网页病毒感染了,出现如下症状:打开IE浏览器,会自动进入一个名为“久好网址之家的网址大全类的网站,打开“Internet选项,发现主页被设置为“http://www.ok9.net,
当使用“搜索功能时,发现搜索也被修改指向“http://www.ok9.net,真是令人厌烦 。
于是我运行注册表编辑器,利用“查找功能,以“www.ok9.net为关键词找出所有被恶意网页修改的内容,并全部更改回原来的值 。谁知重新启动系统后,打开IE浏览器,发现又自动打开了那个恶意网站,而且其他地方也被修改了,看来事情并不是想像的那么简单,这个恶意网站一定还在系统启动时做了什么手脚!
于是在“运行中输入“msconfig,打开系统配置实用程序,逐项查找System.ini、Win.ini以及“启动项中的所有自启动项目,终于在“启动项中发现了两个极为可疑的键值 。虽然一个是默认键值,一个键值名称为“win,但两者的键值数据都是“regedit -s c:windowswin.dll 。通过查找Regedit的相关命令得知,这个命令的功能是导入一个注册表脚本文件,“-s参数则是让它后台自动导入,不过这后面导入的是“Win.dll文件,怎么会是一个动态链接库文件呢?难道这只是一个表面现象,于是用记事本打开这个“Win.dll文件,发现原来这是一个文本格式的文件,只不过被修改了扩展名而已 。
我分析了一下这个“Win.dll文件,原来系统总是自动被恶意修改就是它在起作用 。找到了症结,当然解决方法就是删除这个键值,并删除“Win.dll文件,不过我忽然想到既然恶意网站可以利用这个文件来添加键值数据,为什么我不再利用一下这个文件,以牙还牙,让它还自动还原被恶意修改的键值呢?于是我将该文件修改如下:
REGED99v4
[空一行]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
@=""
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"win"=-
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Start Page"=""
"First Home Page"=""
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]
"Start Page"=""
"First Home Page"=""
rcx
【巧治恶意网页病毒】保存修改后的“Win.dll文件,然后运行一下命令“regedit -s c:windowswin.dll,重新启动一下系统,你会发现所有的恶意修改一下子就全部被恢复了,你还可以保存着这个文件,如果再遇到这个恶意网页的话,只需要用这个文件恢复一下就可以了,非常方便 。
推荐阅读
- 警惕恶意软件破坏 网站SQL注入防御
- 巧治食用菌虫害
- 网络威胁之识别和防御Web网页木马
- 热点怎么网页认证
- 三洋588浏览网页过程出现的问题
- 妙法巧治食用菌虫害
- 专家解读:恶意软件troj.6to4ex特征描述
- 赛门铁克:安全漏洞、恶意软件2008年飙升
- 微软公布十大Windows系统恶意程序
- 驱除烦恼上网无忧 9991恶意网站清除记