如果你十分不幸地中了黑客代码,清除和修改工作自然免不了。在清除时,依然采取“以改为主;以删为辅”的作战方针。先来说说手工的清除方法。
1.手工修复设置
第一步,手工修改设置和垃圾链接。对于一些修改得不严重的Internet选项可以手工修改回来,不影响以后的使用,如:改回主页为“空白页”;将被设置了共享的硬盘设置为不共享,这些都是可以很快实现的。接下来删除一些垃圾链接,这些链接一般被加载到IE的收藏夹里,右键删除即可,另外在“开始”、“文档”里也可能会有垃圾链接,删除的方法依然是右键删除。
第二步,使用“msconfig”查看系统启动项。这是系统启动后的默认加载程序,查看里面是否有“Url http://www.xxxx.com”等字样。
第三步,修改注册表。注册表是系统的核心,在进行修改时应特别注意和小心,以免波及到系统的其他设置。
在介绍注册表修改时,笔者依次罗列一些常见现象的注册表修改路径:
IE窗口的默认名称
进入注册表的:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main路径寻找“Window Title”键,它的默认键值为“Microsoft Internet Explorer”。
IE的默认首页
进入注册表的HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main路径寻找“Start Page”键,它的默认键值为“about:blank”即空白页。
设置空白页按钮灰色时
进入注册表的HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ControlPanel路径寻找是否有“HomePage”键,如果没有就自己建立一个,并将其键值设定为“dword:00000000”。Internet选项里变灰的按钮就恢复到激活状态。
注册表禁止访问
有的恶意代码在禁止了使用Internet选项后,会同时禁止用户访问注册表(运行Regedit时,会提示“管理器已被管理员禁止”),用户即使知道恢复注册的路径也无法进入。此时可以手工编写一个.reg文件,运行它来解锁注册表。
建立一个txt的文本文件,然后在里面添加代码:
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
\system"DisableRegistryTools"=dword:00000000]
再将这个.txt文件的后缀名,更改为.reg,运行就可以修改回注册表的访问功能。再骇人听闻一下,普通情况下注册表被锁定都可以通过编辑一个.reg文件,运行解锁,但如果黑客代码在修改注册表时,不但锁定了注册表的访问,同时禁止了.reg文件的运行,那手工的方法是不可能恢复了。
第四步,修改完成后,立即重新启动计算机。
2.手工清除植入木马
第一步,打开进程窗口,把木马进程杀掉。方法很简单,Windows 2000或者Windows XP系统可以在进程窗口里单击右键,选择“结束进程”。Windows 98或者Windows Me系统,必须借助一些工具软件来显示进程,然后终止掉。
第二步,使用“Msconfig”,在系统的启动加载项里查看是否有该木马的默认启动,如果有,去掉该木马程序前面的“√”,然后应用。除了使用Msconfig系统配置器外,还可以修改注册表的“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”路径,直接删除加载的木马程序,这种方式更为保险。
第三步,在木马经常存在的目录里,找到并删除这些EXE(注意是删除,不是放入回收站)。清除木马的手工方法可能并不彻底,这时候需要借助一些专业的查杀毒软件。对于一些新的网页木马病毒,杀毒软件也未必能百分百侦察到。
第四步,手工清除工作完成后重新启动计算机。
给IE打预防针
IE还是现在最普及的浏览器,虽然它漏洞百出,成为众多黑客代码攻击的目标。要保护IE光靠用户的安全意识是不够的,所以需要一些第三方的工具软件进行即时保护。
1.3721上网助手
如果你的IE被修改得面目全非,首先进入3721的IE修复页面(assistant.3721.com/index.htm?type=iefix02.htm&&fb=systray),勾选其中需要还原的IE选项,点击[立即修复],它就能够自动帮助你完成修复工作。
修复完后,就可以安装“上网助手”对IE进行即时保护。下载地址是assistant.3721.com/?fb=client,免费使用。安装完成后会在IE的地址栏旁边出现[上网助手]按钮,建议勾选菜单里面的“即时保护IE”和“屏蔽恶意网站”两项。启用“即时保护IE”功能后,软件会在打开网页前,进行审查,如果有恶意代码,首先提示并暂停网页打开,如果是正常的才许其打开;“屏蔽恶意网站”功能是与将IE浏览的网页地址与3721的恶意网站地址库进行比对,如果发现是库里包含的地址,禁止IE访问,你也可以去网站上提交恶意网站地址。
像这种嵌入IE式的即时保护工具还有很多,如:百度搜索伴侣(http://bar.baidu.com/)等,它们的优点是体积小,与IE结合紧密,缺点是抵御木马的能力较弱。
2.超级兔子IE助手
“超级兔子”是一款专业的IE工具,它不但能保护IE,还能对上网时的一些“暴力”、“****”关键字进行过滤。软件安装后分为两个组件,一个是“IE助手”,它主要是帮助用户恢复被窜改后的IE设置和Internet选项;另一个组件“IE专家”,它主要是对IE进行即时保护和其他的过滤功能(如图3),在“IE保护”项里勾选“禁止恶意网页攻击IE”和“禁止远程修改注册表”即可。

|