恶意文件(病毒安全)巧治恶意网络页面病毒

PS:今天上午，非常郁闷，有很多简略基础的问题搞得我有些迷茫，哎，代码几天不写就忘。目前又不当COO，还是得用心记代码哦！

公用电脑接入了Internet互联网，没多久，就被一个恶意网页病毒感染了，涌现如下症状：打开IE浏览器，会主动进入一个名为“久好网址之家”的网址大全类的网站，打开“Internet选项”，发现主页被设置为“

http://www.ok9.net

”，当使用“搜索”功能时，发现搜索也被修改指向“

http://www.ok9.net

”，真是使人腻烦。

于是我运行注册表编辑器，利用“查找”功能，以“www.ok9.net”为关键词找出全体被恶意网页修改的内容，并全体更改回原来的值。谁知重新启动系统后，打开IE浏览器，发现又主动打开了那个恶意网站，而且其他地方也被修改了，看来事情并不是想像的那么简略，这个恶意网站必定还在系统启动时做了什么手脚!

于是在“运行”中输入“msconfig”，打开系统配置实用程序，逐项查找System.ini、Win.ini以及“启动”项中的全体自启动项目，终究在“启动”项中发现了两个极为可疑的键值。虽然一个是默许键值，一个键值名称为“win”，但两者的键值数据都是“regedit -s c:\windows\win.dll”。通过查找Regedit的相关命令得知，这个命令的功能是导入一个注册表脚本文件，“-s”参数则是让它后台主动导入，不过这后面导入的是“Win.dll”文件，怎么会是一个动态链接库文件呢？难道这只是一个表面现象，于是用记事本打开这个“Win.dll”文件，发现原来这是一个文本格式的文件，只不过被修改了扩展名而已。

每日一道理

爱，有的时候不需要山盟海誓的承诺，但她必定需要细致入微的关怀与问候；爱，有的时候不需要梁祝化蝶的悲壮，但她必定需要心有灵犀的默契与投合；爱，有的时候不需要雄飞雌从的追随，但她必定需要相濡以沫的支持与理解。

我分析了一下这个“Win.dll”文件，原来系统老是主动被恶意修改就是它在起作用。找到了症结，当然解决方法就是删除这个键值，并删除“Win.dll”文件，不过我忽然想到既然恶意网站可以利用这个文件来添加键值数据，为什么我不再利用一下这个文件，以牙还牙，让它还主动还原被恶意修改的键值呢？于是我将该文件修改如下：

REGED99v4

[空一行]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"win"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"=""

"First Home Page"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

"Start Page"=""

"First Home Page"=""

rcx

保存修改后的“Win.dll”文件，然后运行一下命令“regedit -s c:\windows\win.dll”，重新启动一下系统，你会发现全体的恶意修改一下子就全体被恢复了，你还可以保存着这个文件，如果再碰到这个恶意网页的话，只要要用这个文件恢复一下就可以了，非常便利。

文章结束给大家分享下程序员的一些笑话语录：

看新闻说中国输入法全球第一！领先了又如何？西方文字根本不需要输入法。一点可比性都没有。

---------------------------------
原创文章 By
恶意和文件
---------------------------------