当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 让病毒自动还原被恶意修改键值

杀毒防毒
大蜘蛛杀毒软件是如何扫描系统病毒
完全卸载大蜘蛛杀毒软件的操作方法
如何安装Dr.Web(大蜘蛛杀毒软件)
俄罗斯国防部颁发给Dr.Web大蜘蛛杀毒软件的证书
大蜘蛛杀毒软件隔离区路径设置技巧
大蜘蛛杀毒软件无法启动怎么办?
ESET NOD32防病毒软件取消收发邮件扫描功能
大蜘蛛杀毒软件扫描系统病毒三种方式
Dr.Web无法启动,我们应该怎么办呢?
虚拟机下恢复杀毒软件隔离区的文件
诺顿网络安全特警软件防护功能设置技巧
Kernel32.exe特洛伊木马清除一例
ESET NOD32安全套装非常强大的移动磁盘防护功能
国外媒体:Avira(小红伞)发现Win7漏洞
2009年度中国互联网电脑病毒疫情报告
金山网盾的核心技术:如何实现成功拦截挂马网页
免费PK收费:免费版360杀毒非未逊色
ESET NOD32软件防U盘病毒的设置技巧
卡巴斯基发布2010年网络威胁6项预测
德国小红伞系列防病毒软件Avira V10 Beta

杀毒防毒 中的 让病毒自动还原被恶意修改键值


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 40 ::
收藏到网摘: n/a

 

  单位的一台公用电脑接入了Internet互联网,没多久,就被一个恶意网页病毒感染了,出现如下症状:打开IE浏览器,会自动进入一个名为“久好网址之家”的网址大全类的网站,打开“Internet选项”,发现主页被设置为“www.**ok9.net”,当使用“搜索”功能时,发现搜索也被修改指向“www.**ok9.net”,真是令人厌烦。

  于是我运行注册表编辑器,利用“查找”功能,以“www.**ok9.net”为关键词找出所有被恶意网页修改的内容,并全部更改回原来的值。谁知重新启动系统后,打开IE浏览器,发现又自动打开了那个恶意网站,而且其他地方也被修改了,看来事情并不是想像的那么简单,这个恶意网站一定还在系统启动时做了什么手脚!

  于是在“运行”中输入“msconfig”,打开系统配置实用程序,逐项查找System.ini、Win.ini以及“启动”项中的所有自启动项目,终于在“启动”项中发现了两个极为可疑的键值。虽然一个是默认键值,一个键值名称为“win”,但两者的键值数据都是“regedit -s c:\windows\win.dll”。通过查找Regedit的相关命令得知,这个命令的功能是导入一个注册表脚本文件,“-s”参数则是让它后台自动导入,不过这后面导入的是“Win.dll”文件,怎么会是一个动态链接库文件呢?难道这只是一个表面现象,于是用记事本打开这个“Win.dll”文件,发现原来这是一个文本格式的文件,只不过被修改了扩展名而已。

  我分析了一下这个“Win.dll”文件,原来系统总是自动被恶意修改就是它在起作用。找到了症结,当然解决方法就是删除这个键值,并删除“Win.dll”文件,不过我忽然想到既然恶意网站可以利用这个文件来添加键值数据,为什么我不再利用一下这个文件,以牙还牙,让它还自动还原被恶意修改的键值呢?于是我将该文件修改如下:

  REGEDIT4

  [空一行]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  @=""

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  "win"=-

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

  "Start Page"=""

  "First Home Page"=""

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

  "Start Page"=""

  "First Home Page"=""

  rcx

  保存修改后的“Win.dll”文件,然后运行一下命令“regedit -s c:\windows\win.dll”,重新启动一下系统,你会发现所有的恶意修改一下子就全部被恢复了,你还可以保存着这个文件,如果再遇到这个恶意网页的话,只需要用这个文件恢复一下就可以了,非常方便。

出处:瑞星