反病毒实战 四招妙除IE空白页里的木马(二)

日期:2007-12-30

        三、进一步清除其害

  本以为剩下这一个余孽,应该起不到什么作用,可是当修改IE主页为空白页后,再次打开浏览器,其地址仍然会跳转到其他页面。在没有可依靠工具的办法情况下,笔者只能打开“Windows任务管理器”对话框,从中切入至“进程”标签,意外发现了几个陌生的进程名称,貌似笔者从未安装过这类的程序,极有可能是这些进程保护了流氓软件不被清除的原因。

  由于恶意进程一般都是相互守护的关系,我们得同时结束这些进程,才能防止其进程死灰复燃。这里可在奇虎360安全卫士软件内进行操作,依次单击上方“高级”按钮,选择“系统进程状态”标签,从中只要勾选上所显示的可疑进程前的复选框后(如图3)。  

  单击右下角“结束选中进程”按钮,就可将选中的进程统一结束。不过还没有完,返回刚才“常用”→“清理恶评软件及系统插件”选项,再重新扫描一下流氓插件并将其清除即可。

  接下来再次打开IE浏览器,此时空白页面就没有像之前那样,不受控制的跳转到其他页面,大家这里会以为木马已经被搞定了。其实不然当你重新启动计算机后,再次打开IE浏览器,其所访问页面有可能不是空白页,其原因很简单是流氓进程又重新加载运行了,因此我们还需将流氓软件的启动项目及文件进行清除,从而根治空白页里的“恶意潜伏者”。

  打开“注册表”编辑器,依次展开左侧组件到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run项目处,然后你会在其下发现两个键值为user32.dll和rare的名称,而这两个值正是被流氓插件所利用的键值,所以我们这里必须将其删除掉。操作完毕后,在我的电脑里依次进入到C:\program Files\image activex access\文件夹内,将里面所有潜伏的流氓文件全部删除。当然这里不排除,有些文件是受保护无法删除的,所以我们可以安装“UnlockerV1.85”工具,然后在无法删除的文件上方右击,选择“Unlocker”命令,在弹出的对话框内选择“删除”,就可将其无赖的流氓文件删除(如图4)。  

  小提示:Unlocker是一个免费的右键扩充工具,使用者在安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个文件或目录无法删除时,只要按下鼠标右键中的“Unlocker”,那么程序马上就会显示出是哪一些程序占用了该目录或文件,接着只要按下弹出的窗口中的“Unlock”就能够为你的文件解套。

        四、修复注册表空白页项目

  从小标题顾名思义,先打开“注册表”编辑器,然后依次展开左侧组件到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs键值下,双击右侧“blank”项目名称,在弹出的“编辑字符串”对话框内,查询其里面的数值数据是否为默认的res://mshtml.dll/blank.htm(如图5),  

  如果不是请将其恢复成默认地址即可。除此之外,还有几个键值也需要修改:

        desktopitemnavigationfailure=res://shdoclc.dll/navcancl.htm
  navigationfailure=res://shdoclc.dll/navcancl.htm
  offlineinformation=res://shdoclc.dll/offcancl.htm
  navigationcanceled=res://shdoclc.dll/navcancl.htm
  home=dword:0000010e
  postnotcached=res://mshtml.dll/repost.htm


  以上修改操作完毕后,重新启动一下计算机使其设置生效后,此时你再次打开IE浏览器,所浏览的空白页将不会向以前那样,不受控制的自动跳转到其他恶意页内了。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

IE安全>更多

  • 浏览器地址栏欺骗漏洞背后

    Web浏览器的地址栏是用户查看其是否在所需网站上的一个关键指标。如果攻击者能够控制它显示的内容,则钓鱼攻击更有可能成功实施。

  • 微软发布紧急安全补丁 救IE于水深火热中

    在微软星期二补丁日的一周后,微软再次发布紧急安全补丁,旨在修复IE浏览器中的严重漏洞,该漏洞影响所有版本Windows和Windows服务器。

  • 微软重新发布EMET 5.2 修复IE漏洞

    在用户报告称新版的增强缓解体验工具包(EMET)导致IE中严重漏洞后,微软重新发布了这个EMET。

  • 如何检测flash堆喷射攻击?

    近来利用“use-after-free”IE零日漏洞的攻击似乎凸显了flash堆喷射(heap spray)检测的重要性。为什么攻击者利用这种技术?研究人员又应该如何检测堆喷射(heap spray)?

相关推荐

  • “双十一”式的DDoS,你准备好了么?

    不知不觉间,“双十一”购物节已经来到第六个年头。无论电商网站还是社交平台,我们都可以在最显著的位置看到各式“双十一”的折扣广告;同事、朋友们的交流也从日常的问候变为了促销信息的互通有无……

  • 利用IoT设备 DDoS攻击席卷多家企业

    近日信息安全专家Bruce Schneier警告称未知攻击者在使用强大的DDoS攻击探测多家互联网公司的防御系统,而仅在一周后,多个目标遭受一系列创纪录的攻击……

  • 安全可控“御”未来:2016年C3安全峰会即将召开

    备受业界关注的2016年首届C3安全峰会将于2016年8月5日至8月6日在成都世纪城会展中心召开。议题紧密契合国家网络安全战略,更包含了网络安全标准、云安全、大数据安全,终端安全、APT治理以及覆盖政府、金融、医疗等行业的十余个技术论坛、60多场立意高远的精彩演讲。

  • 都是套路:Pokémon GO被网络攻击者盯上了

    尽管尚未登陆中国,移动游戏Pokémon GO仍旧占据了各大科技媒体的推送头条,在游戏发布的短短一周内该款游戏已获得了超百万次的安装量。与狂热的用户群同在的是,网络攻击者也盯上了游戏玩家……

技术手册>更多

  • 2010年安全最佳实践汇总手册

    2010年即将过去,在这一年中, IT安全各方面有哪些最佳实践值得大家去关注呢?本技术手册将为您总结2010年TT安全网站受欢迎的安全最佳实践,其中涉及网络安全、安全管理、身份认证与管理安全、系统安全、数据库安全和金融安全等方面。希望能够给安全朋友们提供一些帮助。

  • 服务器虚拟化安全

    从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。

  • 漏洞管理指南

    企业中的软件和系统很容易被利用。为了保障企业安全,作为安全管理员,您需要评估风险,然后应用合适的补丁和配置管理措施,以及日常的渗透测试来缓解风险。具体应该怎么做呢?本技术手册将为您介绍关于漏洞管理的相关知识,其中包括应用程序安全测试方法、漏洞评估结果的使用、渗透测试结果的分析、Windows补丁管理,以及企业安全状态评估。

  • Snort入侵检测工具使用指南(附软件下载)

    最好的入侵检测系统(IDS)是免费的、开源的Snort工具。它拥有大量的用户,而且有商业公司Sourcefire的支持,使得Snort成为受到欢迎的入侵检测系统工具。这个工具本身是免费的。它所需要的是一些在上面运行的硬件以及安装、配置和维护的时间。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算