日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

讓病毒自動還原被惡意修改鍵值

云知道

單位的一臺公用電腦接入了Internet互聯(lián)網(wǎng),沒多久,就被一個惡意網(wǎng)頁病毒感染了,出現(xiàn)如下癥狀:打開IE瀏覽器,會自動進入一個名為“久好網(wǎng)址之家”的網(wǎng)址大全類的網(wǎng)站,打開“Internet選項”,發(fā)現(xiàn)主頁被設(shè)置為“www.**ok9.net”,當使用“搜索”功能時,發(fā)現(xiàn)搜索也被修改指向“www.**ok9.net”,真是令人厭煩 。
于是我運行注冊表編輯器,利用“查找”功能,以“www.**ok9.net”為關(guān)鍵詞找出所有被惡意網(wǎng)頁修改的內(nèi)容,并全部更改回原來的值 。誰知重新啟動系統(tǒng)后,打開IE瀏覽器,發(fā)現(xiàn)又自動打開了那個惡意網(wǎng)站,而且其他地方也被修改了,看來事情并不是想像的那么簡單,這個惡意網(wǎng)站一定還在系統(tǒng)啟動時做了什么手腳!
于是在“運行”中輸入“msconfig”,打開系統(tǒng)配置實用程序,逐項查找System.ini、Win.ini以及“啟動”項中的所有自啟動項目,終于在“啟動”項中發(fā)現(xiàn)了兩個極為可疑的鍵值 。雖然一個是默認鍵值,一個鍵值名稱為“win”,但兩者的鍵值數(shù)據(jù)都是“regedit -s c:windowswin.dll” 。通過查找Regedit的相關(guān)命令得知,這個命令的功能是導(dǎo)入一個注冊表腳本文件,“-s”參數(shù)則是讓它后臺自動導(dǎo)入,不過這后面導(dǎo)入的是“Win.dll”文件,怎么會是一個動態(tài)鏈接庫文件呢?難道這只是一個表面現(xiàn)象,于是用記事本打開這個“Win.dll”文件,發(fā)現(xiàn)原來這是一個文本格式的文件,只不過被修改了擴展名而已 。
我分析了一下這個“Win.dll”文件,原來系統(tǒng)總是自動被惡意修改就是它在起作用 。找到了癥結(jié),當然解決方法就是刪除這個鍵值,并刪除“Win.dll”文件,不過我忽然想到既然惡意網(wǎng)站可以利用這個文件來添加鍵值數(shù)據(jù),為什么我不再利用一下這個文件,以牙還牙,讓它還自動還原被惡意修改的鍵值呢?于是我將該文件修改如下:
REGEDIT4
[空一行]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
@=""
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"win"=-
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Start Page"=""
"First Home Page"=""
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]
"Start Page"=""
"First Home Page"=""
【讓病毒自動還原被惡意修改鍵值】rcx
保存修改后的“Win.dll”文件,然后運行一下命令“regedit -s c:windowswin.dll”,重新啟動一下系統(tǒng),你會發(fā)現(xiàn)所有的惡意修改一下子就全部被恢復(fù)了,你還可以保存著這個文件,如果再遇到這個惡意網(wǎng)頁的話,只需要用這個文件恢復(fù)一下就可以了,非常方便 。
出處:瑞星

    推薦閱讀