病毒自動還原被惡意修改鍵值
瀏覽次數:|更新日期:2014年11月27日
單位的一臺公用電腦接入了Internet互聯網����,沒多久��,就被一個惡意網頁病毒感染了(計算機愛好者���,學習計算機基礎�����,電腦入門,請到本站����,我站同時提供計算機基礎知識教程�����,計算機基礎知識試題供大家學習和使用),����,出現如下癥狀:打開IE瀏覽器�,會自動進入一個名為“久好網址之家”的網址大全類的網站����,打開“Internet選項”,發現主頁被設置為“www.**ok9.net”��,當使用“搜索”功能時��,發現搜索也被修改指向“www.**ok9.net”����,真是令人厭煩�。 于是我運行注冊表編輯器,利用“查找”功能����,以“www.**ok9.net”為關鍵詞找出所有被惡意網頁修改的內容�,并全部更改回原來的值��。誰知重新啟動系統后,打開IE瀏覽器�,發現又自動打開了那個惡意網站���,而且其他地方也被修改了����,看來事情并不是想像的那么簡單���,這個惡意網站一定還在系統啟動時做了什么手腳!
于是在“運行”中輸入“msconfig”���,打開系統配置實用程序�,逐項查找System.ini、Win.ini以及“啟動”項中的所有自啟動項目,終于在“啟動”項中發現了兩個極為可疑的鍵值。雖然一個是默認鍵值���,一個鍵值名稱為“win”,但兩者的鍵值數據都是“regedit -s c:windowswin.dll”。通過查找Regedit的相關命令得知���,這個命令的功能是導入一個注冊表腳本文件,“-s”參數則是讓它后臺自動導入,不過這后面導入的是“Win.dll”文件����,怎么會是一個動態鏈接庫文件呢��?難道這只是一個表面現象,于是用記事本打開這個“Win.dll”文件,發現原來這是一個文本格式的文件,只不過被修改了擴展名而已���。
我分析了一下這個“Win.dll”文件,原來系統總是自動被惡意修改就是它在起作用。找到了癥結,當然解決方法就是刪除這個鍵值,并刪除“Win.dll”文件,不過我忽然想到既然惡意網站可以利用這個文件來添加鍵值數據,為什么我不再利用一下這個文件��,以牙還牙����,讓它還自動還原被惡意修改的鍵值呢���?于是我將該文件修改如下:
REGEDIT4
[空一行]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
@=”””
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
””win””=-
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
””Start Page””=””””
””First Home Page””=””””
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]
””Start Page””=””””
””First Home Page””=””””
rcx
保存修改后的“Win.dll”文件,然后運行一下命令“regedit -s c:windowswin.dll”,重新啟動一下系統�����,你會發現所有的惡意修改一下子就全部被恢復了�����,你還可以保存著這個文件����,如果再遇到這個惡意網頁的話��,只需要用這個文件恢復一下就可以了����,非常方便�。
”
