jack7087 2007-7-24 18:22
從原理入手 把傳播病毒的惡意網頁扼殺
其實我們大家都有過被網頁病毒侵犯的經歷,比如某次網上漫遊之後,發覺IE瀏覽器的主頁被改成了一個惡意網站,而且瀏覽器默認搜索引擎也被改為該惡意網站的搜索引擎,「導航者」被惡意網頁病毒侵襲了……
從網上下載了很多病毒專殺工具,檢查結果都提示「您的註冊表已經被修改」。按下「修復」鍵,將IE設置修復如初。不想再次啟動計算機後發現IE主頁及搜索引擎又變回該惡意網站。難道是感染了什麼惡性病毒?
分析一下:既然每次重新啟動計算機惡意網頁病毒出現,問題肯定和啟動有關了。運行「Msconfig」程序查看啟動項,裡面基本上都是系統啟動時需要的系統文件,好像沒什麼。突然有一項引起我的注意,項目名為「System」,項目值為「regedit /s c:/system.reg」,連忙回到C盤根目錄下找到「System.reg」,用記事本打開它,內容如下:
REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main]
"Start Page"="http://****.com/"
"Search Page"="http://****.com/"
"Search Bar"="http://****.com/"
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
"system"="regedit /s c:/system.reg"
就是它!偽裝成系統文件,在「Msconfig」的啟動項中將「System.reg」前的「√」去掉(比較徹底的做法是進入註冊表,把「HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run」下的「System」項刪除),將C盤根目錄下的「System.reg」刪除。
至此我們的問題就得到瞭解決了,重新啟動計算機後「導航者」設置不再被篡改。
[b]經驗總結:[/b]
1. 要常備反病毒軟件及清除惡意網頁病毒工具;
2. 一旦被這類「驅之不散」的惡意網頁病毒感染,用「Msconfig」工具(Windows 2000用戶可將Windows 98的System目錄中「Msconfig.exe」文件拷貝到Windows 2000的System32目錄中即可使用)查看系統啟動時有無異常項目;
3. 查找硬盤有無創建時間為誤入這些惡意網站時間的文件,特別是C盤根目錄、Program Files目錄及操作系統目錄下。
[url]http://it.rising.com.cn/Channels/Safety/SysSafety/Safe_Windows/2007-07-23/1185180263d43419.shtml[/url]