2.修改注冊表後留後門,目的讓你修改注冊表好像成功,重新啟動後又恢復到被修改的狀態。
這主要是在啟動項裡留了後門,大家可以打開注冊表到(也可以用一些工具比如優化大師等來察看)
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunOnce
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunServices
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run-
看看有沒有可疑的啟動項目,這一點最多朋友忽略,哪些啟動可疑呢?
我這裡給出幾個大家需要注意的,啟動項裡鍵值有出現.hml和.htm後綴的,最好都去掉,還有有.vbs後綴的 啟動項也去掉,還有一個很重要的,如果有這一個啟動項,出現有類似鍵值的,比如:
system 鍵值是regedit -s c:\Windows……請注意,這個regedit -s 是注冊表的一個後門參數,是用來導 入注冊表的,這樣的選項一定要去掉
還有一類修改會在c:\Windows產生.vbs後綴的文件,或是.dll文件,其實.dll文件實際是.reg文件(喬裝成DLL文件的惡意網頁病毒)
此時你要看看c:\Windows\win.ini文件,看看load=,run=,這兩個選項後面應該是空的,如果有其他程序 修改load=,run=,將=後面程序刪除,刪除前看看路徑和文件名,刪除後在到system下刪除對應的文件
還有一種方法,大家如果屢次修改重啟又恢復回去,可以搜索C盤下所有的.vbs文件,可能有隱藏的,用記 事本打開,看到裡面有關於修改注冊表的都把它刪除或保險起見把後綴改掉,你可以按中惡意網頁的病毒的 時間來搜索文件:)
下面的這個漏洞大家非常值得注意,很多朋友說,你說的方法我都試了,啟動項裡絕對沒有什麼可疑的,也沒有什麼vbs文件,呵呵,大家在啟動IE時還有一個陷阱,就是IE主界面的工具的菜單裡的廣告,一定要去 掉,因為這些會在你啟動IE時啟動,所以你修改完其他的先別著急打開IE窗口,否則白費力氣,方法:打開注冊表HKEY_LOCAL_MacHINE\Software\Microsoft\Internet Explorer\Extensions看到廣告就刪,別留情!
一個很重要的問題,在中了惡意網頁的陷阱後一定要先清空IE所有臨時文件,切記!
說了那麼多,那如何防御這類惡意網頁呢?
一個一勞永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B這個ID刪掉在注冊表的路徑為HKEY_CLASSES_ROOT\CLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
記住,看清楚了再刪除,千萬別刪錯其他。刪掉這個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統不會有影響的。
在IE的選單欄中選擇“工具”→“Internet選項”,在彈出的對話框中切換到“安全”標簽,選擇“ Internet”後點擊“自定義級別”按鈕,在“安全設置”對話框中,把“ActiveX控件和插件”、“腳本” 中的相關選項全部選擇“禁用”或“提示”即可。但如果選擇了“禁用”,一些正常使用ActiveX和腳本的 網站可能無法完全顯示。建議選擇:提示。遇到警告時,看看該網站的原代碼,如果發現有出現 Shl.RegWrite等的代碼,就不要去了,如果是加密的原代碼,不是自己熟悉的網站也不要去,如果連右鍵都用不了的,也要小心為好(看看原碼有什麼所謂啊,除非有什麼好的Java或是惡意代碼)
對於Windows98用戶,請打開C:\WINDOWS\JAVA Packages\ CVLV1NBB.ZIP,把其中的“ActiveXComponent.class刪掉,對於WindowsMe用戶,請打開C:\Windows\JavaPackages.NZVFPF1.ZIP,把其中的“ActiveXComponent.class”刪掉,這些刪掉不會影響正常浏覽網頁
在Windows 2000/XP,可以通過禁用“遠程注冊表服務”來阻擋部分惡意腳本。具體方法是:在“控制面板”→“管理工具”→“服務”中右鍵單擊“Remote Registry Service”,在彈出選單中選擇“屬性”,打開屬性對話框,在“General”內將“Startup ype”設為“Disabled”。這樣也可以攔截部分惡意腳本程序。
嘿嘿,不用IE。用其他浏覽器也可以……大家在中了惡意網頁的陷阱後,先不要立即重新啟動計算機,到啟動項裡看看,有沒有什麼危險的啟動項,比如deltree之類的。
