给IE疗伤
如果你十分不幸地中了黑客代码,清除和修改工作自然免不了。在清除时,依然采取“以改为主;以删为辅”的作战方针。先来说说手工的清除方法。
1.手工修复设置
第一步,手工修改设置和垃圾链接。对于一些修改得不严重的Internet选项可以手工修改回来,不影响以后的使用,如:改回主页为“空白页”;将被设置了共享的硬盘设置为不共享,这些都是可以很快实现的。接下来删除一些垃圾链接,这些链接一般被加载到IE的收藏夹里,右键删除即可,另外在“开始”、“文档”里也可能会有垃圾链接,删除的方法依然是右键删除。
第二步,使用“msconfig”查看系统启动项。这是系统启动后的默认加载程序,查看里面是否有“Url http://www.xxxx.com”等字样。
第三步,修改注册表。注册表是系统的核心,在进行修改时应特别注意和小心,以免波及到系统的其他设置。
在介绍注册表修改时,笔者依次罗列一些常见现象的注册表修改路径:
IE窗口的默认名称
进入注册表的:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main路径寻找“Window Title”键,它的默认键值为“Microsoft Internet Explorer”。
IE的默认首页
进入注册表的HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main路径寻找“Start Page”键,它的默认键值为“about:blank”即空白页。
设置空白页按钮灰色时
进入注册表的HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ControlPanel路径寻找是否有“HomePage”键,如果没有就自己建立一个,并将其键值设定为“dword:00000000”。Internet选项里变灰的按钮就恢复到激活状态。
注册表禁止访问
有的恶意代码在禁止了使用Internet选项后,会同时禁止用户访问注册表(运行Regedit时,会提示“管理器已被管理员禁止”),用户即使知道恢复注册的路径也无法进入。此时可以手工编写一个.reg文件,运行它来解锁注册表。
建立一个txt的文本文件,然后在里面添加代码:
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies \system"DisableRegistryTools"=dword:00000000]
再将这个.txt文件的后缀名,更改为.reg,运行就可以修改回注册表的访问功能。再骇人听闻一下,普通情况下注册表被锁定都可以通过编辑一个.reg文件,运行解锁,但如果黑客代码在修改注册表时,不但锁定了注册表的访问,同时禁止了.reg文件的运行,那手工的方法是不可能恢复了。
第四步,修改完成后,立即重新启动计算机。
2.手工清除植入木马
第一步,打开进程窗口,把木马进程杀掉。方法很简单,Windows 2000或者Windows XP系统可以在进程窗口里单击右键,选择“结束进程”。Windows 98或者Windows Me系统,必须借助一些工具软件来显示进程,然后终止掉。 第二步,使用“Msconfig”,在系统的启动加载项里查看是否有该木马的默认启动,如果有,去掉该木马程序前面的“√”,然后应用。除了使用Msconfig系统配置器外,还可以修改注册表的“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”路径,直接删除加载的木马程序,这种方式更为保险。
第三步,在木马经常存在的目录里,找到并删除这些EXE(注意是删除,不是放入回收站)。清除木马的手工方法可能并不彻底,这时候需要借助一些专业的查杀毒软件。对于一些新的网页木马病毒,杀毒软件也未必能百分百侦察到。
第四步,手工清除工作完成后重新启动计算机。
3.用清除所有多余的启动项目清除 下载:清除所有多余的启动项目
需要技术服务: 李师傅电话18277394428