备忘录:实战恶意网站
客户的机器是Windows XP系统,补丁是Update后最新的,IE6也安装了最新的补丁,主页还是显示“about:blank”,但内容已经被恶意网站侵占。修改Blank页这种情况我还是第一次遇到,当时就觉得清除方法不像以前那么简单。
Step1: 拿出Spant(流行病毒专杀工具)查杀后恢复IE无效,用KV 2004最新病毒库检查也没有病毒。
Step2: 运行程序Msconfig.exe,在程序启动项,注册表中“Run”、“Runonce”、“Runservice”中都没有可疑程序加载,在System.ini与Win.ini和服务中也没有可疑的。
这下弄得我一身冷汗,以前还没有遇到过Spant不能查杀的恶意网站呢。
Step3: 既然Spant不能查杀,在注册表中常常提到的几项修改也会无效的,试着修改了注册表中的相应主页及首页键值,刚修改后启动IE没有问题。重新启动电脑后,恶意网站仍然历历在目。
Step4: 断开网络检查一下,启动IE,居然恶意网页全部清晰的显示出来,看来这个恶意页面并不是从网上而来的,已经在本机寄生(通常在断网的情况下会出现页面无法显示的提示)。
Step5: 看来是Blank这个页面被修改而存在本机,于是找到Blank.htm所在的位置C:windowspchealth
helpctrSystempanelsblank.htm,打开后发现页面是空白的,并没有恶意网页的足迹,看来和我想的不一样,病毒并没有修改Blank.htm这个页面。
Step6: 没有办法了,只好在网上搜索解决办法,还真是搜索到一些内容,在很多安全论坛中都有这个情况的讨论,情况居然和我遇到的一模一样,但都没有得到解决,所有遇到这个病毒的人的最后解决方法都是用Ghost恢复或者重装系统,就连重新安装IE也没用,3721等修复软件对它一点作用没有。
Step7: 这时候看到有人介绍黄山IE修复专家,下载安装后,先恢复IE,再选择“永久免疫”,重新启动计算机,这个顽固病毒终于被我清除了。
黄山IE修复专家
软件版本:7.41
软件大小:4226 KB
下载地址:点击下载
这个病毒的机理,应该是有相应程序的关联,因而修复后过一段时间或者重新启动又会恢复,所以各个启动项和杀毒软件都没能找出异常所在。
首先你要具备一些电脑的常识,比如查看自己的电脑有哪些自启动程序;然后你要对自己的电脑比较熟悉,为什么?晕。。。。。每个人的电脑都不一样,只有你自己知道自己装了哪些硬件软件。最后要说句,不要怕,做好ghost,系统还原等备份工作。就算系统被你搞崩溃了,你也学到东西了。
首先,你有中了木马的迹象,你应该先看看你的启动组有哪些东西是自动加载的,木马肯定是在这里面的。发现陌生的的程序了?还不止一个?没关系,一个一个来,记下名字。
然后找个进程查看工具(为什么要看进程?木马从来都是没窗体的或隐藏的,但却逃不出进程查看器),xp/2000有自带的工具,ctrl+shift+esc呼出,98/me用windows优化大师的进程查看器。
找到进程后,先结束他的进程(不然程序在使用中怎么删得到?),然后再把自启动项删除(因为高级点的木马有保护功能,如多线裎木马)。再隔离该可疑程序。最后重起计算机。这步要一个一个的来,不然你怎么知道哪个是木马?但是如果你对自己的电脑很熟悉的话,一般一眼就能看出来哪些不是自己装的程序。
如果还是有中木马的迹象,重复上面的步骤。
如果已经知道木马程序的位置,那么先结束进程,然后删除启动项目,删除木马程序。重起。
看完后,你是不是觉得很简单,就那么几步? :)
############### windows9x/me 下的一些自启动方法#########
1. Autostart 文件
C:windowsstart menuprogramsstartup {chinese/english}
在注册表中的位置: HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerShell
Folders Startup="C:windowsstart menuprogramsstartup"
所以它将很容易被程序更改
2. Win.ini
[windows]
load=file.exe
run=file.exe
3. System.ini [boot]
Shell=Explorer.exe file.exe
4. c:windowswinstart.bat
看似平常,但每次都重新启动
5. Registry键
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunServices]
6. c:windowswininit.ini
一旦运行就被windows删除,安装的setup程序常用
Example: (content of wininit.ini)
[Rename]
NUL=c:windowspicture.exe
例子:将c:windowspicture.exe设置为NUL, 表示删除它,完全隐蔽的执行!
7. Autoexec.bat
在DOS下每次自启动
8. Registry Shell Spawning (使用过Subseven吗?看看吧)这个方法比较黑的说。----老妖注.
[HKEY_CLASSES_ROOT exefileshellopencommand] @=""%1" %*"
[HKEY_CLASSES_ROOT comfileshellopencommand] @=""%1" %*"
[HKEY_CLASSES_ROOT batfileshellopencommand] @=""%1" %*"
[HK
反病毒中心紧急提醒用户:应对JPEG图片漏洞不能只打系统补丁,因为JPEG图片漏洞存在于微软提供的一个用于图形开发的动态链接库(Gdiplus.dll)中,电子图片文件会被该系统文件使用,从而可被病毒制造者加入各种病毒代码,以用于进行偷盗密码、进行网络攻击的重要手段。
反病毒专家解释,目前该程序已经广泛应用于各种图形程序的开发,但是,系统文件只在Windows XP及以上系统中才被默认安装,因此大部份常用的非微软的应用软件在安装时会自带该文件。
除了系统图片漏洞之外,存在图片漏洞的是一些使用该文件的第三方应用程序。比如:图像制作软件PhotoShop等,它们都会在安装时在自己的目录安装该文件。所以,从事美工、或者图象处理工作者应该更加提防此病毒危害。金山反病毒专家认为,为了真正防止该漏洞的危害,应该把这些第三方软件所使用的Gdiplus.dll文件全部替换为已经修补好的Gdiplus.dll文件。
反病毒专家提议二招彻底杜绝图片病毒漏洞:
一、使用工具
“JEPG病毒及漏洞检测”工具可以全盘扫描磁盘上的所有Gdiplus.dll文件,包括系统及第三方应用软件中的该文件。将存在漏洞的Gdiplus.dll文件找出来,并可自动将其修补。工具下载地址:
点击下载
二、手工方法(推荐计算机熟练者使用)
1、请到微软官方网站下载没漏洞的Gdiplus.dll;http://www.microsoft.com/downloads/details.aspx?FamilyId=6A63AB9C-DF12-4D41-933C-BE590FEAA05A&displaylang=en
2、打开“我的电脑”, 按F3,选择“搜索所有文件和文件夹”,在文件名中填写“GDIPlus.dll”进行搜索。查找哪些程序自带了GDIPlus.dll 文件;
3、将从微软网站中下载的Gdiplus.dll文件替换这些文件。
附:使用了Gdiplus.dll文件的常用第三方软件,如果您装了以下软件请注意检查。目前还有一些软件使用了这个系统文件,最简单的办法是,通过操作系统查找文件功能,查找GDIPLUS.dll文件,看看有多少软件在使用。
使用了GDIPLUS.dll文件的常用软件如下:
QQ 2004
Adobe ImageReady CS
Dreamweaver MX 2004
PhotoShop
Discreet 3dmax6.0
MyIM即时通讯软件 2004
快递通 v1.8
WPS Office
剑侠情缘网络版
Nero BURNING ROM 6
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下TCP/IP服务:Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc
7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
IE 目前仍然是大多数网友的必备工具,相信没有人不会用吧,不过普通的使用谁都会,下面我为大家介绍三则IE实现技巧,让你的使用方法与众不同。
不要你看到我的地址记录
上网时在地址栏内输入网址,系统会记录下来,虽然有时会方便你使用,但在公用的机器上使用时,显然会暴露你的隐私,让别人知道你曾经去过哪些网站。虽然我们可以在IE属性对话框中选择清除历史记录,但这种方法一般无法适用于网吧机器上,因为你没有更改系统设置的权限。其实使用“Ctrl+O”命令(字母O)在弹出“打开”对话框中输入网址,就不用担心网址被IE记录下来了。
加快IE的搜索速度
许多人使用搜索引擎,都习惯于进入网站后再输入关键词搜索,这样却大大降低了搜索的效率。实际上,IE支持直接从地址栏中进行快速高效地搜索,也支持通过“转到/搜索”或“编辑/查找”菜单进行搜索,你只须键入一些简单的文字或在地址栏前面加上“go”、“find”或“?”,IE就可直接从缺省设置的9个搜索引擎中查找关键词并自动找到与您要搜索的内容最匹配的结果,同时还可列出其它类似的站点供你选择。
保存“每日提示”所有内容
启动IE后,系统会在屏幕下面开一个小方框,显示“每日提示”的内容,如果没有显示这一小方框,单击“帮助”菜单,选择“每日提示”,在小方框内每单击一次“下一提示”按钮,系统会显示一新的提示。如果想一次看到“每日提示”的所有内容,可以用下面的方法将全部内容保存到文件中。在小方框内单击,按下“Ctrl+A”组合键选择全部内容,再按下“Ctrl+C”组合键拷贝到剪贴板中,打开写字板,按下“Ctrl+V”组合键将内容拷贝下来,然后保存文件即可。
SyntaxHighlighter.highlight();
相关文章
- 今天我来给大家介绍在php中跨网站请求伪造的实现方法与最后我们些常用的防止伪造的具体操作方法,有需要了解的朋友可进入参考。 伪造跨站请求介绍 伪造跨站请求...2016-11-25
- 获取网站icon,常用最简单的方法就是通过website/favicon.ico来获取,不过由于很多网站都是在页面里面设置favicon,所以此方法很多情况都不可用。 更好的办法是通过google提供的服务来实现:http://www.google.com/s2/favi...2014-06-07
mac下Apache + MySql + PHP搭建网站开发环境
首先为什不自己分别搭建Apache,PHP和MySql的环境呢?这样自己可以了解更多知识,说起来也更酷。可也许因为我懒吧,我是那种“既然有现成的,用就是了”的人。君子生非异也,善假于物也。两千年前的荀子就教导我们,要善于利用工具...2014-06-07- 我要实现的就是下图的这种样式,可参考下面这两个网站的留言板,他们的实现原理都是一样的畅言留言板样式:网易跟帖样式:原理 需要在评论表添加两个主要字段 id 和 pid ,其他字段随意添加,比如文章id、回复时间、回复内容、...2015-11-08
网站广告怎么投放最好?首屏广告投放类型优化和广告位布局优化的案例
网站广告怎么投放最好?一个网站中广告位置最好的是哪几个地方呢,许多的朋友都不知道如何让自己的网站广告收效最好了,今天我们就一起来看看吧。 在说到联盟优化前,...2016-10-10- 个人网站建设应该考虑哪些问题呢?这个问题我们先在这里不说,下文会一一列出来,希望这些建义能帮助到各位同学哦。 我相信VIP成员里面有很多站长,每个人几乎都拥有一个...2016-10-10
- 分享一篇利用论坛签名提升网站权重的方法,在推广中论坛签名也是一种不错的外链推荐的方法,但现在权重越来越低了,有需要的朋友可以看看。 话说有一天在站长网上面看...2016-10-10
- 关于如何提高网站的吸引呢,下面我们列出了5点,让你的网站pv大大的提升哦 1、建立一个清晰的网站地图 一个清晰的网站地图可以给你的用户提供一个简介明了的...2017-07-06
- 一、靠前排名成搜索关注的对象 从搜索引擎的角度考虑一下,就不难理解为什么搜索引擎对排名在首页的网站那么慎重,甚至对新进排名在首页的一些网站进行为期一个多月的...2016-10-10
- 第一,网站的内容;请各位站长朋友不要一天到晚只想着出什么好的绝招来推广网站,却忽略了网站的内容;其实网站的内容是极为重要的,因为这是你的本,你的根!网站的内容只有不断...2017-07-06
- 这两个网站的title和description部分关键词有点过于强调,决定弱化这种现象成了我的当务之急,以提高网站在搜索引擎里的品牌形象(搜索引擎返回结果就这两部分)。通过分析...2016-10-10
- ...2016-09-20
- 一、小序 HTML简单易学又通用,一般的PHP程序就是嵌入在HTML语言之中实现的。但是随着WEB越来越广泛的应用,HTML的弱点也越来越明显了。XML的出现,弥补了这些不足,它提供...2016-11-25
- 今天小编就为大家分享一篇关于C#网站生成静态页面的实例讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧...2020-06-25
- 网站改版了怎么办?很多网站在改版的时候,非常担心用户习惯。 有的担心是合理的,有的担心是多余的。担心之前,先搞清两个问题: 首先,你有没有老用户?有多少老用户?如果...2016-09-20
- 在耽误近一年时间的情况下,痛定思痛,决定自己动手做公司网站的SEO,具体过程如下: 1.买了几本专门SEO方面的书本,啃了两个星期,经常上比如www.111cn.net 和seo教程why之类...2016-10-10
- 百度不更新网站原因分析 今天我们来看一篇关于 哦,你是不是其它的之一呢,好了下面来看看各位站长总结了来百度不更新网页的原因吧。 一、首页的大flash图片。 ...2016-10-10
- 平常工作生活中,boos可能会给我们很多网站取提取信息,这些网站有的无法响应,有的404,有的501…真的需要所有网站都访问再提取信息吗?今天写一个小工具用于筛选网站中能访问的网站,在此仅举一例,即状态码为200。...2021-01-22
- 那类网站放Google adsense广告好呢,好了费话不说多了我们来看看Google adsense吧 1. 增加Google AdSense的展示效果,理论上是页面越多,展示的就越多。但是Google...2017-07-06
- 如何提高网站内页权重 前面做站者总结出来的道理其实都是很实惠的,只是你有没有那个恒心去坚持了。所谓的“内容为王,外链为后!”是一点都不假的,一名站长...2017-07-06