logo_1.exe查找及网页木马防范

也不知道是怎么的居然中了威金，今天算是告了一个段落，由于这个病毒把我其它盘变成自动播放，解决把硬盘恢复打开进入注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

修改 NoDriveAutoRun
为

十进制的：63
或者16进制的：3f

禁止a b c d e f自动播放

在文件夹选项里更改文件的隐藏属性改为全部显示：进程中结束logo_1.exe进程，把所有盘下的go.exe、后缀名为inf的文件删除，在C:/windows/system文件夹中删除logo_1.exe文件，注册表中删除含有logo_1.exe的键值，Ctrl-F查找健值，F3查找下一个至全部清除,大功告成。

网页木马的防范策略

网页木马的防范只靠杀毒软件和防火墙是远远不够的，因为一旦黑客使用了反弹端口的个人版木马（个人反汇编的一些杀毒软件无法识别的木马），那么杀毒软件和防火墙就无可奈何，所以，网页木马的防范要从它的原理入手，从根子上进行防范。 　　㈠即时安装安全补丁 　　网页木马都是利用IE漏洞进行传播的，我们拿冰狐浪子的网页木马（用“冰狐浪子网页木马生成器”制作的网页木马）来说吧，该网页能绕过IE的安全设置，当用户连接到该网页时，它能在普通用户不知情的情况下在后台下载一个木马并运行（安装）该木马。所以，经常到微软网站去下载并安装最新的安全补丁是防范网页木马比较有效的办法。 　　㈡改名或卸载（反注册）最不安全的ActiveXObject（IE插件） 　　在系统中有些ActiveXObject会运行EXE程序，比如本文中“自动运行程序”代码中的Shell.application控件，这些控件一旦在网页中获得了执行权限，那么它就会变为木马运行的“温床”，所以把这些控件改名或卸载能彻底防范利用这些控件的网页木马。但是ActiveXObject是为了应用而出现的，而不是为了攻击而出现的，所有的控件都有它的用处，所以在改名或卸载一个控件之前，你必须确认这个控件是你不需要的，或者即使卸载了也不关大体的。 　　⒈卸载（反注册）ActiveXObject 　　第一步：在“开始”菜单上单击“运行”，输入“CMD”命令打开命令提示符窗口。 　　第二步：在命令提示符下输入“regsvr32.exe shell32.dll /u/s”，然后回车就能将Shell.application控件卸载。 　　如果日后我们希望继续使用这个控件的话，可以在命令提示符窗口中输入“regsvr32.exe shell32.dll /i/s”命令将它们重新安装（注册）。在上述命令中：“regsvr32.exe”是注册或反注册OLE对象或控件的命令，[/u]是反注册参数，[/s]是寂静模式参数，[/I]为安装参数。 　　⒉改名ActiveXObject 　　需要说明的是，改名一个控件时，控件的名称和CLSID（Class ID）都要改，并且要改彻底了。下面仍以Shell.application为例来介绍方法。 　　第一步：打开注册表编辑器，查找“Shell.application”。用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。 　　第二步：把{13709620-C279-11CE-A49E-444553540000}改为{13709620-C279-11CE-A49E-444553540001}，注意，不要和系统中的其它CLSID重复。 　　第三步：把“Shell.application”改名为“Shell.application_xxx”。以后用到这个控件的时候你使用这个名称就可以正常调用此控件了。 　　㈢提高IE的安全级别，禁用脚本和ActiveX控件 　　经笔者的测试，用冰狐浪子的“网页木马专业版生成器”生成的网页木马，只要调高IE的安全级别，或者禁用脚本，该网页木马就不起作用了。从木马的攻击原理我们可以看出，网页木马是利用IE脚本和ActiveX控件上的一些漏洞下载和运行木马的，只要我们禁用了脚本和ActiveX控件，就可以防止木马的下载和运行。 　　小提示：禁用脚本和ActiveX控件会使一些网页的功能和效果失去作用，所以是否禁用，你要根据自己对安全的需要来定。 　　第一步：在IE浏览器的菜单栏上选择“工具→Internet选项”打开“Internet选项”对话框。 　　第二步：在“安全”选项卡上，在Internet和本地Internet区域，分别把滑块移动到最高（如图6），或者点击“自定义级别”，在打开的对话框上禁用脚本，禁用ActiveX控件。