网页木马深度分析及手工请清除

|装订线| 昆明理工大学期末大作业 楚雄应用技术学院（高职） 计算机网络专业 2008级 第一学年第二学期 科目：计算机网络与数据通信 姓名： 杨君超 学号： 200821702104 网页木马深度剖析及手工清除 第一 恶意网页的基本常识 什么是网页病毒？网页病毒是利用网页来进行破坏的病毒，他存在于网页之中，其实是使用一些script语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，能利用系统的一些资源进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题改动，重则能关闭系统的非常多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则能将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防。目前的网页病毒都是利用JS.ActiveX、WSH一起合作来实现对客户端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机硬盘上添加、删除、更改目录或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。而在分析网页病毒前，先叫我们知道促使病毒形成的罪魁祸首：视窗系统脚本宿主和MicrosoftInternetExplorer漏洞利用第二节 视窗系统脚本宿主，InternetExplorer漏洞及相关WSH，是“视窗系统 scripting Host”的缩略形式，其通用的中文译名为“视窗系统 脚本宿主”。对于这个较为抽象的名词，他是内嵌于视窗系统操作系统中的脚本语言工作环境。视窗系统 scripting Host这个概念最早出现于视窗系统98操作系统。大家一定还记得MS-Dos下的批处理命令，他曾有效地简化了我们的工作、带给我们方便，这一点就有点类似于如今大行其道的脚本语言。但就算我们把批处理命令看成是一种脚本语言，那他也是98版之前的视窗系统操作系统所唯一支持的“脚本语言”。而此后随着各种真正的脚本语言不断出现，批处理命令显然就非常是力不从心了。面临这一危机，微软在研发视窗系统 98时，为了实现多类脚本文件在视窗系统界面或Dos命令提示符下的直接运行，就在系统内植入了一个基于32位视窗系统平台、并独立于语言的脚本运行环境，并将其命名为“视窗系统 scripting Host”。WSH架构于ActiveX之上，通过充当ActiveX的脚本引擎控制器，WSH为视窗系统用户充分利用威力强大的脚本指令语言扫清了障碍。WSH也有他的不足之处，所有事物都有两面性，WSH也不例外。应该说，WSH的好处在于他使我们能充分利用脚本来实现计算机工作的自动化；但不可否认，也正是他的这一特点，使我们的系统又有了新的安全隐患。许多计算机病毒制造者正在热衷于用脚本语言来编制病毒，并利用WSH的支持功能，让这些隐藏着病毒的脚本在网络中广为传播。借助WSH的这一缺陷，通过JAVAscript，VBscript，ACTIVEX等网页脚本语言促使这一问题发生的更有问题多多InternetExplorer的自身漏洞。比如：“错误的MIME?MultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头”，“MicrosoftInternetExplorer浏览器弹出窗口Object类型验证漏洞”。而以下介绍的几个组件存在的问题或漏洞或是在安全问题上的过滤不严密问题，却又造成了“网页危机”的另外一个重要因素。lJava语言能编写两种类型的程式：应用程式（Application）和小应用程式（Applet）。应用程式是能独立运行的程式，而Applet不能独立运行，需要嵌入HTML文件，遵循一套约定，在支持Java的浏览器（如：NetscapeNavigator2.02版本以上，HotJava，MicrosoftInternetExplorer3.0版本以上）运行，是Java一个重要的应用分支，也是当时Java最令人感兴趣的地方（他一改网页呆板的界面），就是在WWW网页（HomePage/Pages）设计中加入动画、影像、音乐等，而要达到这些效果使用最多的是JavaApplet和Javascript（这是一种Java的命令语言）。lJavascript是一种基于对象（Object）和事件驱动（EventDriven）并具有安全性能的脚本语言。使用他的目的是和HTML超文本标记语言、和Web客户交互作用。从而能研发客户端的应用程式等。他是通过嵌入或文件引用在标准的HTML语言中实现的。他的出现弥补了HTML语言的缺陷，他是Java和HTML折衷的选择，具有基于对象、简单、安全、动态、跨平台性等特性。lActiveX是Microsoft提出的一组使用COM（ComponentObjectModel，部件对象模型）使得软件部件在网络环境中进行交互的技术。他和具体的编程语言无关。作为针对Internet应用研发的技术，ActiveX被广泛应用于WEB服务器及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程式在Applet中能使用ActiveX技术，如直接嵌入ActiveX控制，或以ActiveX技术为桥梁，将其他研发商提供的多种语言的程式对象集成到Java中。和Java的字节码技术相比，ActiveX提供了“代码签名”（CodeSigning）技术确保其安全性。第三节网页病毒的攻击方式既然是网页病毒，那么非常简单的说，他就是个网页，甚至于制作者会使这个特别网页和其他一般的网页别无他样，但在这个网页运行和本地时，他所执行的操作就不仅仅是下载后再读出，伴随着前者的操作背后，更有这病毒原体软件的下载，或是木马的下载，然后执行，悄悄地修改你的注册表，等等那么这类网页都有什么特征呢？1.美丽的网页名称，及利用浏览者的无知。不得不承认，非常多恶意网页或是站点的制作者，他们对浏览者的心理分析是下功夫的，对域名的选择和利用绝对是非常到位的。非常多上网的男性网民大都对MM照片感兴趣，这就是他们利用的一个渠道。如你看到了一个域名：，或是/UpLoadFiles/NewsPhoto/60331961.gif你还能“火眼金睛”吗？不知道结果是什么，那你就放心的去点击他看看。2.利用浏览者的好奇心3.无意识的浏览者在我们基本了解了网页病毒、网页木马的运行机体环境后，让我们开始重点分析一下网页病毒是怎么对我们的计算机进行攻击，并染毒，并自我保护的第二网页病毒、网页木马机理深度剖析第一节网页病毒、网页木马的制作方式。Javascript.Exception.Exploit利用JS+WSH的完美结合，来制作恶意网页的方法几乎是所有恶意站点必有的“功能”。错误的MIMEMultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头。几乎是目前网页木马流行利用的基本趋势，这个漏洞在IE5.0到IE6.0版本中都有，对这么一个万能的漏洞，大家怎能不重视？EXEto.BMP+Javascritp.Exception.Exploit具体的。EXE转化到。BMP的文章我想大家都见到过，而且不只一次。应用方法非常简单：诱骗浏览者上当。iframe漏洞的利用当微软的IE窗口打开另一个窗口时，如果子窗口是另一个域或安全区的话，安全检查应当阻止父窗口访问子窗口。但事实并非如此，父窗口能访问子窗口文件的frame，这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或iframe的URL.这会带来严重的安全问题，通过设置URL指向javascript协议，父窗口能在子域环境下运行脚本代码，包括任意的恶意代码。攻击者也能在“我的计算机”区域中运行脚本代码。这更会造成严重的后果。通过安全认证的CAB，COX此类方法就是在。CAB文件上做手脚，使证书。SPC和密钥。PVK合法原理：IE读文件时会有文件读不出，就会去“升级”这样他会在网页中指定的位置找。cab并在系统里写入个CID读入。cab里的文件。方法：。cab是WINDOWS里的压缩文件，我们知道IE里所用的安全文件是用签名的CAB也不例外，所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击，只所以每次都能入侵我的脑，是因为他通过的是IE认证下的安全攻击，这样不管我怎么做都没办法。EXE文件的捆绑目前的网页木马捆绑机几乎是开始泛滥了，多的数不胜数。再将生成的MHT文件进行加密，好，这样一来，连我们最信任的杀毒软件也无效了。第二节网页病毒、网页木马的运行机理分析。Javascript.Exception.Exploit精华语句：Functiondestroy（）try/ActiveXinitialization初始化ActiveX，为修改注册表做准备a1=document.applets0；/获取applet运行对象，以下语句指向注册表中有关IE的表项a1.setCLSID（F935DC22-1CF0-11D0-ADB9-00C04FD58A0B）；a1.createInstance（）；Shl=a1.GetObject（）；a1.setCLSID（0D43FE01-F093-11CF-8940-00A0C9054228）；a1.createInstance（）；FSO=a1.GetObject（）；a1.setCLSID（F935DC26-1CF0-11D0-ADB9-00C04FD58A0B）；a1.createInstance（）；Net=a1.GetObject（）；try开始做坏事catch（e）catch（e）functiondo（/初始化函数，并每隔一秒执行修改程式setTimeout（destroy（），1000）；/设定运行时间1秒Do（）/坏事执行函数指令全部是JS编写，没有什么高深的技术，但他却能把你的计算机注册表改的是乱78糟，在你的计算机里留下各式各样的垃圾，甚至于连声招呼都不打就格了你的硬盘。所列出的整段函数看起来简单明了，声明函数，初始化环境，取得注册对象，执行读，写，删权限，定义操作时间（快得叫你连反映都没有）。错误的MIMEMultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头。精华语句：Content-Type：multipart/related；type=multipart/alternative；boundary=B=B=Content-Type：multipart/alternative；boundary=A=A=Content-Type text/html；Content-Transfer-Encoding：quoted-printable=A=B=Content-Type audio/x-wav；name=run.exeContent-Transfer-Encoding：base64Content-ID：以下省略AAAAAN+1个把run.exe的类型定义为audio/x-wav，这下清晰了，这是利用客户端支持的MIME（多部分网际邮件扩展，MultipartInternetMailExtension）类型的漏洞来完成的。当申明邮件的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开，结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上，即使是用鼠标点击下载下来的x.eml，或是拷贝粘贴，都会导致x.eml中的附件被运行。整个程式的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding：base64Content-ID：从这我们能看出，由于定义后字符格式为base64，那么一下的代码全部为加密过的代码，里面能是所有执行的命令：scriptlanguage=vbsOnErrorResumeNext.容错语句，避免程式崩溃setaa=CreateObject（Wscript.Shell）。建立Wscript对象Setfs=CreateObject（scripting.FileSystemObject）。建立文件系统对象Setdir1=fs.GetSpecialFolder（0）。得到视窗系统路径Setdir2=fs.GetSpecialFolder（1）。得到System路径省略下面代码该做什么各位都该清晰吧。这就是为什么非常多人中毒后不能准确的清除全部的病毒体的原因，也是非常多杀毒软件的一个通玻病毒监视只杀当时查到的，新建的却置之不理。iframe漏洞的利用多方便的办法，浏览者的COOKIES就这样轻松的被取走iframesrc=run.emlwidth=0height=0/iframe常见的木马运用格式，高度和宽度为0的一个框架网页，我想你根本看不到他。除非你的浏览器不支持框架！又是个框架引用的新方式，对type=text/x-scriptlet的调整后，就能实现和eml格式文件同样的效果，更是防不胜防。MicrosoftInternetExplorer浏览器弹出窗口Object类型验证漏洞漏洞的利用精华代码：-codecutstartforrun.asp-codecutendforrun.asp-我想，这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最佳的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说：IE6.0+SP1也不是万能的。总结：几乎所有类型的网页病毒都有一个特性，就是再生，怎么再生，让我们从注册表中的启动项开始分析：注册表中管理启动的主键键值分别为：HKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunServicesHKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunServicesOnceHKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunOnceHKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/RunHKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/RunOnceHKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/RunServices确认主键下没有加载所有分键值。另外，在启动设置器里的autoexec.bat，win.ini，system.ini及在WIN9X下的winstart.ini文件，其中的存在LOAD=键的，他的值是空，不是空格，只有=号。Autoexec.bat没有加载所有程式，在开始菜单/程式/启动目录下不存在所有程式，那样才能有效的去掉一个病毒的再生功能。不叫他开机运行，或不在运行，那我们就能把他从计算机上请出去。第三节网页病毒、网页木马的运行效果分析第一、计算机中的默认主页会被无故更改，并且IE工具栏内的修改功能被屏蔽掉；第二、在计算机桌面上无故出现陌生网站的链接，无论怎么删除，每次开机都依旧会出现，如果单击鼠标右键，出现的工具栏中有也会有大量陌生网站的链接；第三、开机后，无法进入DOS实模式；仅对WIN9X系统第四、计算机桌面及桌面上的图标被隐藏；第五、注册表编辑器被告知“已锁定”，从而无法修改注册表；第六、上网之前，系统一切正常，下网之后系统就会出现异常情况，如系统盘丢失、硬盘遭到格式化等，查杀病毒后仍无济于事；第七、上陌生网站后，出现提示框“你已被XX病毒攻击”，之后系统出现异常；第八、登陆站点后，发现一个窗口迅速打开后又消失，自己的计算机系统目录内多了几个未知的好象是系统文件的新文件。第九、发现系统的进程中多了几个未知进程，而且杀不掉，重起后又会出现。第十、自己的计算机CPU利用率一直是高居100%，好象是在运行什么占用内存的东西。第十一、登陆某站点后，杀毒监视软件报警，并删除病毒文件，位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八，第九，第十中的现象。第十二、发现中毒后，反复杀毒，病毒反复复发，根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕，但重新启动后又出现问题。第十三、会不定时的弹出广告。第十四、自己的私有帐号无故丢失。第三章网页病毒、网页木马的基本预防手段l要避免被网页恶意代码感染，首先关键是不要轻易去一些自己并不十分知晓的站点，尤其是一些看上去非常美丽诱人的网址更不要轻易进入，否则往往不经易间就会误入网页代码的圈套。l由于该类网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就能避免中招。具体方法是：在IE窗口中点击工具Internet选项，在弹出的对话框中选择安全标签，再点击自定义级别按钮，就会弹出安全设置对话框，把其中所有ActiveX插件和控件及Java相关全部选择禁用即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。l对于视窗系统98用户，请打开C：/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”删掉；对于视窗系统Me用户，请打开C：/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP，把其中的ActiveXComponent.class删掉。请放心，删除这个组件不会影响到你正常浏览网页的。l对Win2000用户，还能通过在Win2000下把服务里面的远程注册表操作服务RemoteRegistryService禁用，来对付该类网页。具体方法是：点击管理工具服务RemoteRegistryService（允许远程注册表操作），将这一项禁用即可。l升级你的IE为6.0版本并装上所有的SP及追加的几个小补丁，能有效防范上面这些症状。l下载微软最新的Microsoft视窗系统script5.6l安装病毒防火墙，一般的杀毒软件都自带。打开网页监视和脚本监视。l虽然经过上述的工作修改回了标题和默认连接首页，但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你能在IE浏览器中做一些设置以使之永远不能进入这类站点：打开IE属性，点击“工具”“Internet选项”“安全”“受限站点”，一定要将“安全级别”定为“高”，再点击“站点”，在“将Web站点添加到区域中”添加自己不想去的网站网址，再点击“添加”，然后点击“应用”和“确定”即可正常浏览网页了。l在注册表HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/InternetExplorer/ActiveXCompatiblity下为ActiveSetupcontrols创建一个基于CLSID的新建6E449683-C509-11CF-AAFA-00AA00B6015C在新建下创建REGDWORD类型的值：CompatibilityFlags0x00000400能间接的防止网页木马问题。l请经常升级你的杀毒软件病毒库，让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。l推荐安装：IE6.0.2800.1106+SP1+4个IE专项补丁第四章网页病毒、网页木马的清理和手工清理第一节网页病毒、网页木马的一般清理在病毒防治和查杀的第一选择，首当其冲的就是杀毒软件。不定期的升级你的病毒库，关注你所用的操作系统和浏览器的漏洞信息及相关补丁的安装。当你进入一个恶意站点后注册表被改时，首先要做的不是盲目的去找杀毒工具，而是确认一下你自己所中的毒是否只是简单的修改注册表。1.到“网上助手”去清理。地址是：2.使用杀毒软件杀毒。用你自己的杀毒软件来清除。记得要先升级。3.使用一些专杀工具查杀。到一些杀毒软件站点去下载杀毒工具吧。4.到本站的专业IE维护，是针对目前几个流行的网页病毒，网页木马站点修改注册表键值精心制作的地址是：请在使用网页IE修复时，最佳进行两次修复， 第二节网页病毒、网页木马的一般手工清理一般在网络不通或不能上网的情况，你可能会需要修改回你的注册表。这时以上的方法可能帮不上你所有的忙，怎么办？尝试我们推荐的办法，手工清理。1.清除每次开机时自动弹出的网页其实清除每次开机时自动弹出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器（方法是在点击“开始”菜单，之后点击“运行”，在运行框中输入regedit命令进入注册表编辑器），分别定位到：HKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/Run和HKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/Runonce下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。不过网页恶意代码的编写者有时也是非常的狡猾，他会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。遇见这种情况，你能在注册表编辑器的选项菜单里选择“编辑”“查找”，在“查找”对话框内输入开机时自动打开的网址，然后点击“查找下一个”，将查找到的值项删除。另外，如果你是使用视窗系统98的用户，可在“开始”菜单中的“运行”对话框内输入“msconfig”，点击确定，打开“系统设置实用程式”并打开“启动”选项卡，检查其中是否有非常可疑的启动项，如果有的话请将其禁用（在程式前的打上勾），然后重启机器就能了。如果你所使用的是视窗系统NT/2000的用户，能把视窗系统98下的“系统设置实用程式”复制过来并运行进行查找清除。2.IE标题栏被修改具体说来受到更改的注册表项目为：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/WindowTitle HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main/WindowTitle解决办法：在视窗系统启动后，点击“开始”“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main下，在右半部分窗口中找到串值“WindowTitle”，将该串值删除即可，或将WindowTitle的键值改为“IE浏览器”等你喜欢的名字；同理，展开注册表到HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main然后按中所述方法处理。退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题被解决了！3.IE分级审查密码的清除1.打开“开始”菜单，单击“运行”，在运行框中输入regedit命令（这是打开注册表编辑表的命令）2.在注册表编辑器中有五个主要的键值，请你按照下面顺序一步一步打开下面的文件（在所指的目录上双击或单击在目录前面的十字符号）。3.具体顺序是：HKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/Policies/Ratings在你打到Ratings目录后会看到在右面的窗口中有key键值，直接在这个键上点右键，之后选删除，然后关闭注册表编辑器即可。下面的这个图是最后一个目录及其右面的提示，只要将上面显示的key键删除也就能清除IE分级审查的密码了。如图：4.篡改IE的默认页具体说就是以下注册表项被修改：HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main/Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。解决办法：运行注册表编辑器，然后展开上述子键，将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了，或将其设置为IE的默认值。5.修复被锁定的注册表能自己动手制作一个解除注册表锁定的工具，就是用记事本编辑一个任意名字的。reg文件，比如recover.reg，内容如下：窗体顶端REGEDIT4HKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/Policies/SystemDisableRegistryTools=dword：00000000窗体底端要特别注意的是：如果你用这个方法制作解除注册表锁定的工具，一定要严格按照上面的书写格式进行，不能遗漏更不能修改（其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可）；完成上述工作后，点击记事本的文件菜单中的“另存为”项，文件名能随意，但文件扩展名必须为。reg（切记），然后点击“保存”。这样一个注册表解锁工具就制作完成了，之后你只须双击生成的工具图标，其会提示你是否将这个信息添加进注册表，你要点击“是”，随后系统提示信息已成功输入注册表，再点击“确定”即可将注册表解锁了。6.修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改主要是修改了注册表中IE设置的下面这些键值（DWORD值为1时为不可选）：HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanelSettings=dword：1HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanelLinks=dword：1HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanelSecAddSites=dword：1解决办法：上面这些DWORD值改为“0”即可恢复功能。7.IE的默认首页灰色按扭不可选这是由于注册表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/ControlPanel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改后为“1”（即为灰色不可选状态）。解决办法：将“homepage”的键值改为“0”即可。8.IE右键菜单被修改受到修改的注册表项目为：HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/MenuExt下被新建了网页的广告信息，并由此在IE右键菜单中出现！解决办法：打开注册标编辑器，找到HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/MenuExt删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉，这两个可是“正常”的，除非你不想在IE的右键菜单中见到他们。9.IE默认搜索引擎被修改出现这种现象的原因是以下注册表被修改：HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search/CustomizeSearchHKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search/SearchAssistant解决办法：运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可10.查看“源文件”菜单被禁用恶意网页修改了注册表，具体的位置为：HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。在注册表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/Restrictions下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。解决办法：将以下内容另存为后缀名为。reg的注册表文件，比如说unlock.reg，双击unlock.reg导入注册表，不用重启计算机，重新运行IE就会发现IE的功能恢复正常了。REGEDIT4HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/Restrictions“NoViewSource”=dword：00000000NoBrowserContextMenu=dword：00000000HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/Restrictions“NoViewSource”=dword：00000000“NoBrowserContextMenu”=dword：0000000011.系统启动时弹出对话框受到更改的注册表项目为：HKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/Winlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于他们的存在就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！解决办法：打开注册表编辑器，找到HKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/Winlogon这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串删除这两个字符串就能解决在登陆时出现提示框的现象了。12.IE默认连接首页被修改受到更改的注册表项目为：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/StartPage HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main/StartPage通过修改“StartPage”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。解决办法：在视窗系统启动后，点击“开始”“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main下，在右半部分窗口中找到串值“StartPage”双击，将StartPage的键值改为“about：blank”即可；同理，展开注册表到HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main在右半部分窗口中找到串值“StartPage”，然后按中所述方法处理。退出注册表编辑器，重新启动计算机，一切OK了！特别例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程式，他会在系统启动时将你的IE起始页设成他们的网站。解决办法：运行注册表编辑器regedit.exe，然后依次展开HKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/Run主键，然后将其下的registry.exe子键删除，然后删除自运行程式c：/ProgramFiles/registry.exe，最后从IE选项中重新设置起始页。13.IE中鼠标右键失效解决办法：1.右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMenuExt，删除相关的广告条文。2.右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerRestrictions，将其DWORD值NoBrowserContextMenu的值改为0.第三节未知网页病毒、网页木马的高级手工清理当发现你的计算机速度这几天忽然速度非常慢，你的目录或是文件多出几个，进程里无缘无故的多出几个新的进程文件，计算机CPU利用率总是高居不下，一打开某种类型的文件就出错，或是无故的死机、蓝屏，那么你该注意了，你的爱机可能已中毒了。开始你的手工查杀工作吧。（这时最佳是先用升级后杀毒软件查一次，如果没有所有发现，再进行以下操作）。情况一，你是明确知道你的计算机已中毒了，比如说是QQ上出现自动发出信息的问题。但你发现你所发的网址并非是以前文章上介绍过的地址，那么这个站点感染的病毒可能是另外一种植入方式，如加载的文件不同，启动方式也不同等等。既然已中毒了，那就不怕什么了，再次深入虎穴吧。但我们没必要那样做，我们某种意义上的深入虎穴，为的是得到这个站点网页的病毒原码，怎么得到，我想不用我说也大家也清晰。目前非常多站点都提供原代码查看的网页，用他就能完全实现不用访问该页而提取到原码情况二，你根本不知道你是不是中毒了，怎么办？要从计算机最基本的开始查，进程表。这个一般是查出问题的关键之处。一般都要使用第三方软件来查看，如windows优化大师的进程管理器，柳叶擦眼等。查看进程表，那些标识为系统文件的进程你能不看，而那些非系统进程你要注意了。象一些仿系统文件的进程则是我们重点关心的对象，发现即禁止掉，然后到相应的路径改名。（由于是非系统进程，终止掉他到下次重新启动也不会影响计算机的正常运行）然后，查看该文件的属性，尤其是查看“创建时间”如果和你的中毒时间相仿或是差不多远，那就说明这个文件十之八九就为病毒文件。一般的系统文件创建时间都是非常早哦，大约要比当前时间早一到两年，甚至三年五年的。按如此办法我们就能逐一的找出可疑的文件，然后按以下的方法进行病毒的清理。清理工作的开始：准备工作：下载进程管理软件：柳叶擦眼没有的请到以下地址下载：这里我推荐使用柳叶擦眼因为他是个绿色软件，不必安装，下载解压后该怎么用就怎么用，方便。进行手工杀毒的准备工作，先关闭你能关闭的所有软件，包括杀毒软件，防火墙，宽带连接等等一切能生成进程的东西。只保留必要的系统进程，这样会使以后的操作带来非常多方便。查看系统进程：除了显示系统文件外，将所有无关的进程杀掉。如：查看进程表定位文件。intneter.exec：/windows/system/intneter.exe这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件，我们应马上结束这个进程，并删除对应的文件注意一些文件是隐藏的，在查找时应用目录选项打开对隐藏文件的查看。如果不知道相关的进程，你能这样尝试，将进程软件下载后，断网，关闭运行的软件，打开进程管理软件，软件显示的系统进程你不要理，如果你不知道你以前正常的软件进程名是什么的话，将所有非系统的进程全部杀死，（注意除了进程查看软件之外的哦，我要是不说一定有人连他一起杀了。）并记下他们的文件路径，并记录下来。由于不知道是否是非法文件暂时改名，也记录下来，以便修改。修改注册表开始运行REGEDIT编辑查找查找HKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunServicesHKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunServicesOnceHKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/视窗系统/CurrentVersion/RunOnceHKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/RunHKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/RunOnceHKEY_CURRENT_USER/Software/Microsoft/视窗系统/CurrentVersion/RunServices主键下所有的键都为空，如果不为空，全部清理为空。使系统启动不加载所有程式。（一般的来说，驱动程式除了一些显示驱动会保留在启动项里，其他重要的非常少了）如果你知道你常用软件所在RUN及相关键下的值，当然更好，你就能选择性的进行清理。对以后的整理工作会更方便些。修改以下注册表关联项目：HKEY_CLASSES_ROOT/chm.file/shell/open/command（默认）%windir%/hh.exe%1HKEY_CLASSES_ROOT/exefile/shell/open/command（默认）%1%*HKEY_CLASSES_ROOT/inifile/shell/open/command（默认）%windir%/NOTEPAD.EXE%1HKEY_CLASSES_ROOT/regfile/shell/open/command（默认）regedit.exe%1HKEY_CLASSES_ROOT/scrfile/shell/open/command（默认）%1/SHKEY_CLASSES_ROOT/txtfile/shell/open/command（默认）%windir%/NOTEPAD.EXE%1清理启动项设置文件1.进入设置管理，除WIN2K外都为MSCONFIG.开始运行MSCONFIGWIN9X用户注意：将启动设置里所有带*.hta，的去掉。HTA的特性就是隐藏掉窗体，然后一段时间就弹出网页。进入：system.ini修改BOOTshell=Explorer.exe/注意：后面没东西了，再有什么，改成和前面相同的。进入：WIN.INI修改WINDOWS/注意load键后面除了=号什么也没有。空格都不行。LOAD=NULLPORT=NONE修改：autoexec.bat内容为空WIN2K直接进入启动编辑器。修改以上三个文件。记得这三个文件里没有所有为空的指令命令，有就删除。所有值如果为空的话就是什么都没有，甚至于空格都不存在。有之，改！清理注册表垃圾信息开始运行REGEDIT编辑查找将开机运行的那个站点进行搜索找到即删除清理缓存这点最重要一定要把你的IE缓冲区清理干净，及TEMP目录的临时文件垃圾文件清理干净。将你记录的路径的文件保存，然后重新启动计算机。清理校验1.启动计算机后，再次打开柳叶擦眼，查看进程，看除了系统进程是否更有其他进程存在。如果没有，说明手工清理完成。如果还发现异常的进程请重复以上步骤。2.确认杀毒完成后，你开始逐一的启动各类软件，检查你所改名的文件是否会影响到软件运行，如果没有异常发生，请删除或放入你杀毒软件的隔离区，（为什么要选择后者毕竟我们还不清晰这是不是病毒文件，即使是在隔离区的文件系统是不会再次运行的）。注意做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件，依照上面的文件逐一的进行检查。3.逐一恢复了所有的进程后，重新启动计算机，再做最后一次检测。以防万一。4.到此为止，你已完成了你的全部手工清理过程，病毒已被你请出你的计算机了。