反病毒可能需要用到的方法及操作 bbs.ikaka.com

为毒而疯 - 2005-8-27 22:20:00

Windows98/Me环境下进入安全模式： 
1、在计算机开启时，按住CTRL键直到出现Windows 98启动菜单为止，选择第三项"Safe Mode"。 
2、或者，在计算机开启时，当出?quot;Starting Windows 98"的时候，迅速按下F8键，在出现的启动菜单中选择第三项"Safe Mode"。 
3、如果有多系统引导，在选择Windows98/Me启动时，当按下回车键，就应该迅速地按下F8键（最好两只手进行操作），在出现的启动菜单中选择第三项"Safe Mode" 
另外一种方法： 
1、在Windows环境下，点击“开始”菜单，然后点击“运行”； 
2、输入msconfig，然后点击“确定”按钮；
3、点击“高级”按钮，选择“启用“启动”菜单”；
4、然后点击“确定”按钮保存退出，重新启动计算机；
5、重新启动计算机后，就会出现“启动菜单”，选择第三?quot;Safe Mode"；
6、如果要取消“启动菜单”，重复上述1-4步骤，不同的是第3步取消选择“启用“启动”菜单”。
如果以上两个方法都失败了，还可以进行以下操作进入安全模式：
1、确认系统启动首先从软驱开始引导启动，插入一张空白软盘或者非引导盘； 
2、重新启动计算机，当计算机启动的时候，由于所插入的软盘不是引导盘，此时就会看到一条错误信息"Non-System Disk, please replace the disk and press any key."；
3、取出软盘，然后按F8键，就会出现启动菜单，选择"Safe Mode"； 
Windows2000环境下进入安全模式： 
在启动Windows2000时，当看到白色箭头的进度条，按下F8键，出现Windows2000高级选项菜单，有以下一些选项： 
安全模式 
带网络连接的安全模式 
带命令提示行的安全模式 
启用启动日志模式 
启用VGA模式
最近一次的正确配置 
目录恢复模式
调试模式 
正常启动 
其中，安全模式：是启动Windows2000的最低配置的设备驱动程序及服务。带网络连接的安全模式：是启动Windows2000的最低配置的设备驱动程序及服务，加上装载网络所需的驱动程序。带命令提示行的安全模式：这与“安全模式”一样，例外的是，启动Cmd.exe而不启动Windows资源管理器。一般情况下选择“安全模式”。
WindowsXP环境下进入安全模式： 
1、在计算机开启BIOS加载完之后，迅速按下F8键，在出现的WindowsXP高级选项菜单中选择“安全模式”； 
2、如果有多系统引导，在选择WindowsXP启动时，当按下回车键，就应该迅速地按下F8键（最好两只手进行操作），在出现的WindowsXP高级选项菜单中选择“安全模式”。 
另外一种方式： 
1、在Windows环境下，点击“开始”菜单，然后点击“运行”； 
2、输入msconfig，然后点击“确定”按钮； 
3、点击“Boot.ini”标签； 
4、选择"/SAFENOOT"； 
5、然后点击“确定”按钮保存退出，重新启动计算机； 
6、重启之后出现的WindowsXP高级选项菜单和Windows2000的类似，选择“安全模式”即可； 
7、如果要取消“高级选项菜单”，重复上述1-5步骤，不同的是第4步取消选择"/SAFENOOT"。

为毒而疯 - 2005-8-27 22:25:00

预防恶意网页的一些建议解除恶意修改的一些方法
在因特网中，冲浪是快乐的，中标是痛苦的，尤其是恶意网页代码，它修改我们的系统设置，如IE浏览器窗口标题、IE起始页，修改或禁用右键菜单，修改系统的HOSTS文件，给我们带来了诸多不便。
更有甚者还会禁用系统注册表编辑器和任务管理器，使我们在恢复系统设置时困难重重。

但网还我们还是要上的，所以“明知山有虎，偏向虎山行”。

############################
防患未然篇
############################

1、禁止修改注册表。方法为：

展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

下，新建一个名为DisableRegistryTools的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑器Regedit.exe。

如果我们自己要修改注册表怎么办？请看下面的的“牢羊补牢篇”。

Windows 2000/xp/2003用户，还可以在把服务里面的远程注册表操作服务“Remote Registry Service”禁用，以免被恶意代码利用。
具体方法是：
开始--》设置--》控制面板--》管理工具--》服务
将Remote Registry Service项禁用即可。

4、及时打系统补丁，尤其是及时把IE升级到最新版本,可以在很大程度上避免IE漏洞带来的安全隐患。

打系统补丁的方法是：

开始-->Windows Update...

或

启动IE，用菜单：工具--》Windows update..

升级程序会自动检测你需要打哪些补丁

3、用GreenBrowser 或 Maxthon(MYIE2) 浏览网页。
它们拥有许多优秀的附加功能，尤其是禁止变更主页功能，能够让网友们冲浪时得到最大的便利。

GreenBrowser下载：
http://www.morequick.com/indexgb.htm

MYIE2[Maxthon(傲游)的前身]下载：
http://www.myie2.com/html_chs/home.htm

Maxthon(傲游)下载：
http://www.maxthon.com/chs/index.htm

至于GreenBrowser 或 Maxthon(MYIE2) 哪个更合适你，可以参考：

王者之争——GreenBrowser VS Maxthon
http://media.ccidnet.com/media/cce/575/04201.htm

4、下载安装微软最新的Microsoft Windows Script，可以很大程度上预防恶意修改。

5、相当多的恶意网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等禁止，或者把WSH（Windows Scripting Host）删除就在很大程度上避免中标。

1)禁止脚本运行
打开资源管理器，点击“工具->文件夹选项->文件类型”，在文件类型中将后缀名为“BS、BE、JS、JSE、WSH、WSF”项全部删除，这样这些文件就不会被执行了（双击在前面您搜索到的*.js、*.bs文件试试）。
在IE窗口中点击菜单：工具→Internet选项，在弹出的对话框中选择“安全”标签，再点击［自定义级别］按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。

2)删除WSH
Windows 98：
开始--》设置--》控制面板--》“添加/删除”程序
选择“Windows 设置/附件”，并单击“详细资料”，取消“Windows Scripting Host”选项，完成后单击［确定］按钮即可。

Windows 2000/XP：
双击“我的电脑”图标，然后执行“工具/文件夹选项”命令，选择“文件类型”选项卡，找到“BS BScript Script File”选项，并单击［删除］按钮，最后单击［确定］即可。

不过这样做以后的一个不便之处就是如果网页中使用了ActiveX插件、JavaScript(js) 或者 VBScript(vbs) 脚本，则该网页也将不能正常显示。有利就有弊，你还是自己看着办吧。

6、安装杀毒软件并打开网页监控、文件监控和内存监控。
可供我们选择的杀毒软件很多，国产的如瑞星、江民KV、金山毒霸等，国外的如赛门铁克NORTON、熊猫卫士、mcafee、趋势科技、卡巴斯基等，冠群金辰与美国CA合作的KILL等。

我自己用的是瑞星2003，至今还未中过标。

7、把fdisk.exe、deltree.exe、format.com等危险的命令文件改名，以免被恶意代码利用，造成不必要的损失。

8、不要轻易访问浏览一些自己不了解的站点，特别是那些看上去美丽诱人的网址，否则吃亏的往往是我们。

9、为WINDOWS系统文件夹里的HOSTS文件设置只读属性。

win 98: %SystemRoot%\hosts
win 2000/xp: %SystemRoot%\system32\drivers\etc\hosts

HOSTS文件里保存有WINDOWS系统记录的IP地址与域名的对应关系。

有些网页恶意代码会修改这个文件迫使我们访问恶意网页/网站。

10、禁止访问已知的恶意网页／站点。方法是：打开IE，点击菜单“工具--》Internet选项--》内容--》分级审查”
点击[启用]按钮，会弹出“分级审查”对话框，然后点击“许可站点”标签，输入不想去的网站网址，按[从不]按钮，再点击[确定]。

关于IE分级审查功能的更多内容可参考下面这篇文章:

IE中的分级审查功能[图]
http://it.rising.com.cn/newSite/Channels/Anti_Virus/Virus_Alert/TopicDatabasePackage/06-131000162.htm

另外一种实现方法是修改HOSTS文件，操作方法可参考：

利用Hosts文件防止“QQ病毒”
http://it.rising.com.cn/newSite/Channels/Anti_Virus/Antivirus_Base/Antivirus_Tech/200311/26-094112886.htm

############################
亡羊补牢篇
############################

明枪易躲，暗箭难防。如果不小心中标了，可以参考以下一些常见问题的解决办法。

建议大家阅读风之咏者大版主的：

本版说明及常用小软件下载

并照帖子中方法尝试修复。

**********************************************************************
大家可以先尝试以下工具，避免直接操作注册表可能引起的麻烦：

瑞星注册表修复工具
http://it.rising.com.cn/service/technology/RegClean_download.htm

毒霸注册表修复工具
http://db.kingsoft.com/download/3/8.shtml
t***********************************************************************

打开注册表编辑器的方法：

开始－>运行...

输入:

regedit

点“确定”按钮。

修改注册表后，一般按F5键刷新生效。如果不行，重新启动系统看看。

1、解开被禁用的注册表编辑工具

用记事本建立一个以REG为后缀名的文件，文件名可自定义，内容如下：

REGEDIT4
（注意这里要空一行）
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000

要注意的是，在“REGEDIT4”一定要大写(如果你是Windows 2000或Windows XP用户，请将“REGEDIT4”写为“Windows Registry Editor Version 5.00)”，且后面要空一行，并且“REGEDIT4”中“T”和“4”之间一定不能有空格，否则……

双击打开该reg文件，当询问您“确实要把*.reg内的信息添加到注册表吗?”，选择“是”，即可将信息成功输入注册表中。

对于Windows 2000/XP/2003中，我们也以尝试组策略编辑器：
开始→运行，输入“Gpedit．msc”后回车，打开“组策略”。然后依次展开“用户配置→管理模板→系统”，双击右侧窗口中的“阻止访问注册表编辑工具”，在弹出的窗口中选择“已禁用”，“确定”后再退出“组策略”。

注册表解开了，下面就要对症下药，对注册表进行修改了。

2、IE主页/首页的问题

1）默认主页被修改
.表现形式：默认主页被改为某网站的网址
.修复办法：展开注册表到

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

下，将右边窗口中的"Default-Page-URL"的键值修改为自己喜欢的网址。

2）IE主页不能修改
.表现形式：主页设置被屏蔽锁定，且设置选项无效不可更改
.修复办法：展开注册表到

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

下，将右边窗口中的“homepage”的键值由原来的“1”修改为“0”即可，或干脆将“Control Panel”删除就可以了!

3）IE默认起始页被修改
.表现形式：默认起始页被改为某网站的网址
.修复办法：展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

将右边的“Start Page”键值修改为自己喜欢的网址。

3、修改IE的标题栏
.表现形式：在IE顶端蓝色标题栏上多出了宣传网站的等广告信息。
.修复办法：分别展开注册表到

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

和

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

将在右边窗口中的“Window Title”主键值更改为“Microsoft Internet Explorer”或你喜欢的内容即可。

4、删除自运行程序
.表现形式：开机时自动打开浏览器显示非法网页。
.修复办法：
1）在

开始--》程序--》启动

中，直接删除；

2）展开注册表到

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVesion\”及“\HKEY_LOCALMA CHINE\Software\Microsoft\ Windows\CurrentVersion\RUN

分支，在右边的窗口中，有许多Windows启动时便开始运行的程序，但是在菜单“开始/程序/启动”中却找不到。把自运行程序删除就可以了。

5、右键菜单

1)被添加非法网站链接和广告：

.表现形式：在鼠标右键弹出菜单里添加“网址之家”等诸如此类的链接信息。
.修复办法：展开注册表到

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt

分支，在IE中显示的附加右键菜单都列在右边的窗口中，常见的“网络蚂蚁”和“网际快车”点击右键下载的信息也存放在这里，只需找到显示广告的主键条目删除即可。

2）右键弹出菜单功能被禁用（失常）：
.表现形式：在IE中点击右键，但不显示快捷菜单。
.修复办法：展开注册表到　
　
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

分支，在右边的窗口中找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按F5键刷新生效。

6、IE收藏夹被强行添加非法网站的地址链接
.表现形式：IE收藏夹内出现非法网站的链接信息。
.修复办法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。

6、IE收藏夹被强行添加非法网站的地址链接
.表现形式：IE收藏夹内出现非法网站的链接信息。
.修复办法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。

7、在IE工具栏非法添加按钮
.表现形式：工具栏处添加非法按钮。
.修复办法：IE工具栏图标信息在注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions

这个主键中，打开这个主键以后你会看到一些常用的软件，如Netants对应的ID值：“{57E91B47-F40A-11D1-B792-444553540000}”。双击这个ID值，你可以在右边看到一些字串值，如：“Button”、“CLSID”、“Default Visible”、“Exec”、“HotIcon”、“Icon”、“MenuText”、“MenuStatusBar”等等，字串值的含义如下：

　　CLSID为IE工具条的类标识码，恒为“{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}

　　ButtonText：自定义按钮上显示的文本。

　　Default Visible：控制自定义按钮是否可见，一般为“Yes”。

　　Exec：自定义按钮执行的目标，可以为执行程序或超文本链接。

　　HotIcon：鼠标移到按钮上时显示的图标。

　　Icon：定义一般情况下的图标。

　　MenuText：定义了鼠标指向浏览器工具菜单栏中的Netants时，在浏览器状态栏里面的内容。

　　MenuStatusBar：定义了当鼠标指向IE“工具”菜单中的相关选项里面的相关文字的时候，在状态栏所显示的相关说明。如在IE的“工具”菜单中鼠标放在Netants按键上，就会显示“Launch NetAnts”。

我们可以根据MenuText和MenuStatusBar找到非法添加的按钮对应的项目，把它删除。

.建议：在IE工具栏上按右键，从弹出的菜单中选择“锁定工具栏”，以防止恶意按钮的添加。

　　

8、锁定地址栏的下拉菜单及其添加文字信息
.表现形式：将地址栏的下拉菜单变为灰色，而且在其上覆盖非法文字信息，或者在地址栏出现非法的网站/网页的网址

.修复办法：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar

分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉。

展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs

分支，删除右边窗口中无用的键值

也可以到DOS下将Cookies目录下的index.dat文件删除看看。

为毒而疯 - 2005-8-27 22:26:00

接

9、IE菜单“查看”下的“源文件”项被禁用
.表现形式：将IE菜单“查看”下的“源文件”项不可用。
.修复办法：分别展开注册表到

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

和

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions

分支，在右边窗口找到"NoViewSource"键值名，将其键值设为“00000000”。

10.Internet 选项... 菜单/按钮失效
.表现形式：从IE菜单中选择“Internet 选项...”项，不显示“Internet 选项”对话框。
.修复办法：
展开注册表到

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

将右边窗口中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改为"0"。

展开注册表到

HKEY_USERS.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

将右边窗口中的DWORD值"homepage"的键值改为"0"。

如果还不能解决,请看下面的18.

11、启动时的提示窗口

.表现形式：每次登录到Windows桌面前都出现一个提示窗口，显示那些网页的广告信息。
.修复办法：展开注册表到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

分支，找到并删除右边窗口中的“LegalNotice-Caption”和“LegalNoticeText”键。其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。

12、恢复“运行”选项
.表现形式：开始菜单中无“运行.."项。
.修复办法：展开注册表到

HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer

分支，在右边窗口中将“NoRun”的键值由“1”修改为“0”即可，或者将“NoRun”删除也可。

13、OE标题栏被添加非法信息破坏特性：
.表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。
.修复办法：展开注册表到

HKEY_LOCAL_USER\Software\Microsoft\Outlook Express

分支，将右边窗口中的“WindowTitle”以及“Store Root”键的键值均设为空。按F5键刷新生效。

14、默认的IE搜索引擎被修改
.表现形式：IE的默认搜索引擎被篡改。
.修复办法：展开注册表到

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

分支，找到“SearchAssistant”键值名，修改为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再

找到“CustomizeSearch”键值名，将其键值修改为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

15、不能自定义安全级别
.表现形式：IE浏览器里面的安全自定义按钮被禁用。
.修复办法：展开注册表到

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

在右边窗口找到"SecChangeSettings"项,双击它,把值改为0

16输入正常网址，但显示出来的是非法网页
这里有两种情况：

1)
.表现形式：在IE地址栏输入正常的网址，但显示出来的是非法网页。
.修复办法：恢复HOSTS文件
具体操作可参考
中了网站恶意代码的一般修复方法
http://forum.ikaka.com/topic.asp?board=28&artid=3851532

2)
.表现形式：输入正常的网址，如：www.abc.com，但实际打开的网址变成的http://ehttp.cc/? www.abc.com 等
.修复办法：
展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

将右边窗口中的“默认”键的值改为：http://

展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\

将右边窗口中的“www”键的值改为：http://

在
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\UrlTemplate下

在右边窗口中，我们可以看到有几个字符串，IE按照1,2,3,4....的顺序进行自动搜索，调整1，2，3，4...字符串的键值互相交换，即可调整自动搜索的顺序，亦可新建字符串,增加自动搜索的内容。
17.被恶意设置了或遗忘了分级审查口令

取消IE分级审查密码的两种方法

1．修改注册表法

点击“开始/运行”，在“运行”对话框中输入“regedit”打开注册表编辑器，定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings”分支，这时就可以发现一个名为“KEY”的键值项，这就是已经过加密的分级审查密码，我们只需将它删除即可。重新启动电脑之后，你可以重新设置分级审查密码。打开IE浏览器，点击“工具/Internet选项”菜单，会打开“Internet 选项”对话框，点击“内容/分级审查”，你会发现分级审查口令已经被复位了，现在你只要输入新的分级审查口令即可。当然直接删除“Ratings”这个键，也可以取消分级审查的限制。

2.删除文件法

这里先假设你的操作系统安装在C:\Windows文件夹下，然后进入C:\Windows\System文件夹，找到名为“ratings.pol”的文件，将它删除就可以了。要提醒大家注意的是ratings.pol文件是一个隐藏文件，如果你的系统设置为“不显示隐藏文件”，你是不会发现它的。因此在开始操作前，请先在资源管理器中点击“查看/文件夹选项”，在“文件夹选项”对话框中点击其中的“查看/显示所有文件”，再点击“确定”按钮退出即可。本方法在Windows 9X/Me下有效。

瑞星卡卡安全论坛