|
网页木马深度剖析以及手工清除(3)(3) 修改以下注册表关联项目:
[HKEY_CLASSES_ROOT/chm.file/shell/open/command"(默认)""%windir%/hh.exe"%1]
[HKEY_CLASSES_ROOT/exefile/shell/open/command"(默认)""%1"%*]
[HKEY_CLASSES_ROOT/inifile/shell/open/command"(默认)"%windir%/NOTEPAD.EXE%1]
[HKEY_CLASSES_ROOT/regfile/shell/open/command"(默认)"regedit.exe"%1"]
[HKEY_CLASSES_ROOT/scrfile/shell/open/command"(默认)""%1"/S]
[HKEY_CLASSES_ROOT/txtfile/shell/open/command"(默认)"%windir%/NOTEPAD.EXE%1]
⒋清理启动项配置文件
1.进入配置管理,除WIN2K外都为MSCONFIG.
开始——>运行——>MSCONFIG
WIN9X用户注意:将启动配置里所有带*.hta,的去掉。HTA的特性就是隐藏掉窗体,然后一段时间就弹出网页。
进入:system.ini
修改[BOOT]
shell=Explorer.exe//注意:后面没东西了,再有什么,改成和前面一样的。
进入:WIN.INI
修改[WINDOWS]
//注意load键后面除了=号什么也没有。空格都不行。
LOAD=
NULLPORT=NONE
修改:autoexec.bat内容为空
WIN2K直接进入启动编辑器。
修改以上三个文件。
记得这三个文件里没有任何为空的指令命令,有就删除。
任何值如果为空的话就是什么都没有,甚至于空格都不存在。有之,改!
⒌清理注册表垃圾信息
开始——>运行——>REGEDIT——>编辑——>查找
将开机运行的那个站点进行搜索找到即删除。
⒍清理缓存[这点最重要]
一定要把你的IE缓冲区清理干净,以及TEMP文件夹的临时文件和垃圾文件清理干净。
好了,将你记录的路径的文件保存,然后重新启动计算机。
⒎清理校验
1.启动计算机后,再次打开柳叶擦眼,查看进程,看除了系统进程是否还有其他进程存在。如果没有,说明手工清理完成。如果还发现异常的进程请重复以上步骤。
2.确认杀毒完成后,你开始逐一的启动各类软件,检查你所改名的文件是否会影响到软件运行,如果没有异常发生,请删除或放入你杀毒软件的隔离区,(为什么要选择后者毕竟我们还不清楚这是不是病毒文件,即使是在隔离区的文件系统是不会再次运行的)。
[注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件,依照上面的文件逐一的进行检查。
3.逐一恢复了所有的进程后,重新启动计算机,再做最后一次检测。以防万一。
4.到此为止,你已经完成了你的全部手工清理过程,病毒已经被你请出你的计算机了。
总结:
不论怎么说,自己亲自清理过一次网页病毒后,你会觉得网页病毒其实也并非那样可怕,最难的是挑战自我的勇气。我个人并不推荐计算机出了问题就是格盘、重装,这并非是一个解决问题的途径。我们建议大家首先先简单的认识恶意网页的代码机理为的就是从根本上来解决问题。但,我们更强调的是动手能力。当然我的意思也并非完全抛弃杀毒和防毒软件,但,毕竟是个工具。俗话讲得好:事在人为。
[新问题]
最近在写一个特殊效果页的时候,发现一个新问题,页面在执行了几个特殊函数后,整个页面被锁死,以下所有的JS全部失效,打开进程查看,发现有一个svchost.exe一直在监视这个页面进程,而在WINDOWS的标准进程管理中看不到,只有借助第三方软件才能终止此进程,即使终止了网页进程,这个svchost.exe的监视进程还在。与好友LuoLuo商量了一段时间后,猜测可能是由于页面中的某部分代码引起了缓冲区溢出,导致IE崩溃,而不能执行页面指令。多次测试只后我们还是找不到原因,到底是哪部分函数引起了这个问题我们还在研究中,出现的问题就是非常非常的隐蔽,如果在页面锁死后可以注入一些恶意代码或是木马那不是没救了?IE啊…用MOZILLA算了,呵呵~
| 
