论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1963阅读
  • 0回复

[求助-网络问题]对于弹广告网页和恶意更改主页病毒的处理 [复制链接]

上一主题 下一主题
离线ahyanglf
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-12-20 09:34:45
 对于弹广告网页和恶意更改主页病毒的处理
        由于工作的需要,最近接触到一些修改主页和弹广告的病毒,此类病毒由于行为简单,没有文件读、写、修改操作,对注表也只有简单的操作,杀毒软件都不能对其处理。最近在各大论坛看到的此类样本也特别多,由于行为简单,此类病毒不满足主动防御软件的拦截条件,对此只能提病毒特征处理,由于特征码查杀只能对已上报处理后提取特征码的进行查杀,对于此类病毒变种后的查杀就有点头痛了。所以今天就对中了此类病毒的朋友给出一点解决方案,希望能对大家有用:
以下为弹出广告的处理方法:
    首先,检查病毒是否加载了启动项。
    1、去掉开机启动
点击“开始”――“运行”,输入msconfig,“确定”,选择“启动”,把里面有网址类的,后缀为url、html、hta和htm的都去掉。
    2、修改注册表
点击“开始”――“运行”,输入“regedit”,“确定”,即可打开注册表编辑器。分别将目录定位到:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下,看看在该子项下是否有一个以弹出的网址为值的项,如果有的话,就将其删除,之后重新启动计算机。
    3、重新注册IE项,修复IE。
      点击“开始”――“运行”
  ①输入命令regsvr32 actxprxy.dll,确定;
  ②输入命令regsvr32 shdocvw.dll,确定。
  ③重新启动计算机,下载超级兔子修复IE,用超级兔子卸载不必要的插件。
  ④在C:\Program Files\Internet Explorer\目录下,把LIB目录或Supdate.log删除。
    4、停止信使功能:
  点击“开始”――“运行”
  ①输入命令“net stop msg”,确定;
  ②输入命令“net stop alert”,确定。
     5、看弹出网址是否隐藏在hosts.
  找到C:\WINDOWS\system32\drivers\etc\目录下的HOSTS,用记事本或者写字板打开,检查里面是否存在用弹出网址,如果有则删除网址。  
    
以下为修改主页的处理办法:
      更改锁定的主页
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\Start Page
       HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\Start Page
     通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的
    ①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
  ②展开注册表到
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main 下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为 “about:blank”即可;
  ③同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。
  ④退出注册表编辑器,重新启动计算机,一切OK了!
      运行注册表编辑器,然后展开上述子键,“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
  修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。
  主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
       [HKEY_CURRENT_USER\Software\Policies\MicrosoftInternetExplorer\Control Panel] "Settings"=dword:1
       [HKEY_CURRENT_USER\Software\Policies\MicrosoftInternetExplorer\Control Panel] "Links"=dword:1
       [HKEY_CURRENT_USER\Software\Policies\MicrosoftInternetExplorer\Control Panel] "SecAddSites"=dword:1
解决办法:
将上面这些DWORD值改为“0”即可恢复功能。
1、点击“开始”菜单,从“程序”->“附件”中找到“记事本”命令并执行它。
2、在记事本窗口中输入以下内容:REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
\"DisableRegistryTools\"=dword:00000000
3、从“文件”菜单上选择“保存”命令,以“C:\reg.reg”名称存盘,
4、打开“资源管理器”,切换到 C 盘,双点“reg.reg”文件,
5、这时系统弹出“是否确认要将 C:\reg.reg 中的信息添加进注册表?”的对话框,点按 “是”。
   随后弹出对话框“C:\reg.reg 里的信息已被成功地输入注册表。”表明导入成功。
6、点按“ 确定”关闭对话框。

后记:
    若修改时提示不能修改那就在修改注册表时查看权限是否被修改,若不能修改可通过修改其权限便可对注册表进行修复。
在桌面上在多余的IE快捷方式且无法删除的解决办法:
找到下面的项删除,最后的项名称不一定是一样,注意该项数据是Internet Explorer,如果还有其他浏览器被改,找到对应项删除即可HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{FAC36FAA-6F1A-0EB6-A06D-841C1415FB7E}