www.pengpeng.com隔段时间跳出网页帮看一下日志 bbs.ikaka.com

風与風箏 - 2006-10-2 23:38:00

电脑各段时间跳出网页 http://photo.pengpeng.com/?source{($)}new
http://photo.pengpeng.com/?source{($)}new
主页被篡改:www.pengpeng.com

Logfile of HijackThis v1.99.1
Scan saved at 23:23:05, on 2006-10-2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\安装文件\HijackThis\HijackThis.exe

R3 - URLSearchHook: 全能助手广告拦截专家 - {ED51E9A3-16C5-4236-99E0-9F093B021433} - E:\全能助手Windows优化王\TweakAssist\AssistIEBar.dll (file missing)
O3 - Toolbar: 全能助手广告拦截专家 - {ED51E9A3-16C5-4236-99E0-9F093B021433} - E:\全能助手Windows优化王\TweakAssist\AssistIEBar.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\珊瑚虫版 qq\Tencent\qq\AddToNetDisk.htm
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://5151c.wz16300.com/plugin/PowerPlr3200.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{09C11338-A954-4123-BB7F-7F5332634FA3}: NameServer = 61.153.177.200 61.153.177.202
O17 - HKLM\System\CS1\Services\Tcpip\..\{09C11338-A954-4123-BB7F-7F5332634FA3}: NameServer = 61.153.177.200 61.153.177.202
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

无聊de猎人 - 2006-10-2 23:42:00

你装了相当多的IE插件啊~~~先搞超级兔子卸载吧~~最好是在安全模式下卸~~应该就没什么问题了

風与風箏 - 2006-10-2 23:48:00

晕又跳出来了...http://zt.pengpeng.com/183club/?source{($)}new
插件上应该没有关系吧?

風与風箏 - 2006-10-2 23:49:00

晕又跳出来了...http://zt.pengpeng.com/183club/?source{($)}new
插件上应该没有关系吧?

風与風箏 - 2006-10-2 23:51:00

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
这条是什么？

无聊de猎人 - 2006-10-2 23:51:00

当然有关系了~~很多查件会自动连接到一些网页上的啊~~~当然不乏一些非法的~~~你先装好超级兔子卸载吧~~重起在安全模式下查一遍~~应该就没什么问题了

无聊de猎人 - 2006-10-2 23:54:00

我不是很清楚~~好象显示的是某个连接服务器的文件丢失吧~~~还是问问其他的高

風与風箏 - 2006-10-3 0:04:00

我有装兔子
兔子没有显示显示都是0
是最新版本的

无聊de猎人 - 2006-10-3 0:14:00

叫斑竹吧~~呵呵~~实力有限啊~~不好意思

westbeck - 2006-10-3 0:17:00

请下载 System Repair Engineer，使用“智能扫描”，勾选检查进程模块的数字签名,按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
日志一次粘不完，分次粘完，请不要修改。谢谢．．．

風与風箏 - 2006-10-3 8:57:00

今天早上又被折磨疯掉了
好象看到论坛还有几位兄弟姐妹中标了
2006-10-03,08:43:26

System Repair Engineer 2.2.6.605
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
<run><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]
<KAVPersonal50><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize> [Kaspersky Lab]
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NVIDIA Corporation]
<BigDogPath><C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera> [N/A]
<SoundMan><SOUNDMAN.EXE> [Realtek Semiconductor Corp.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<NvCplDaemon><; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NVIDIA Corporation]
<NvMediaCenter><; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> [NVIDIA Corporation]
<nwiz><; nwiz.exe /install> [N/A]
<SoundMan><; SOUNDMAN.EXE> [Realtek Semiconductor Corp.]

風与風箏 - 2006-10-3 8:58:00

==================================
启动文件夹
N/A

==================================
服务
[Human Interface Device Access / HidServ]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[kavsvc / kavsvc]
<"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"><Kaspersky Lab>
[NVIDIA Display Driver Service / NVSvc]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[PopWinIe / PopWinIe]
<C:\WINDOWS\system32\PopWin.exe -service><Microsoft Corporation>
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><CACE Technologies>

==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[Kl1 / Kl1]
<\SystemRoot\System32\drivers\kl1.sys><Kaspersky Lab>
[Klif / Klif]
<System32\drivers\klif.sys><Kaspersky Labs>
[Klmc / Klmc]
<System32\drivers\klmc.sys><Kaspersky Lab>
[NetGroup Packet Filter Driver / NPF]
<system32\drivers\npf.sys><CACE Technologies>
[npkcrypt / npkcrypt]
<\??\E:\珊瑚虫版 qq\Tencent\qq\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv / nv]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[nvidesm / nvidesm]
<\SystemRoot\system32\drivers\nvidesm.sys><NVIDIA Corporation>
[NVIDIA nForce AGP Bus Filter / nv_agp]
<\SystemRoot\system32\DRIVERS\nv_agp.sys><NVIDIA Corporation>
[oreans32 / oreans32]
<\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>
[PNP06238 / PNP06238]
<\SystemRoot\system32\Drivers\pnp05973.sys><Anti Driver>
[Direct Parallel Link Driver / Ptilink]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><N/A>
[TSP / TSP]
<\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Labs>
[World Standard Teletext Codec / WSTCODEC]
<system32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>

==================================

風与風箏 - 2006-10-3 8:58:00

==================================
浏览器加载项
[全能助手广告拦截专家]
{ED51E9A3-16C5-4236-99E0-9F093B021433} <E:\全能助手Windows优化王\TweakAssist\AssistIEBar.dll, N/A>
[MMCPlayer Class]
{05C1004E-2596-48E5-8E26-39362985EEB9} <C:\WINDOWS\Downloaded Program Files\MMCShell.dll, Sohu.com Inc.>
[PowerPlr Control]
{2354A44B-3CEB-4829-9940-545B03103538} <C:\WINDOWS\DOWNLO~1\POWERP~1.OCX, Powerise Digital>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.>
[MMCPlayer Class]
{05C1004E-2596-48E5-8E26-39362985EEB9} <C:\WINDOWS\Downloaded Program Files\MMCShell.dll, Sohu.com Inc.>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[PowerPlr Control]
{2354A44B-3CEB-4829-9940-545B03103538} <C:\WINDOWS\DOWNLO~1\POWERP~1.OCX, Powerise Digital>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\Mshtml.dll, N/A>
[DHTML Edit Control Safe for Scripting for IE5]
{2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\WINDOWS\system32\dllcache\dhtmled.ocx, Microsoft Corporation>
[HHCtrl Object]
{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8} <C:\WINDOWS\system32\hhctrl.ocx, Microsoft Corporation>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[]
{742976D5-2BD2-4A74-AC19-23B985D0A35A} <C:\WINDOWS\system32\asversys32.dll, N/A>
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[]
{A9930D97-9CF0-42A0-A10D-4F28836579D5} <E:\PROGRA~1\KuGoo\KUGOO3~1.OCX, N/A>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.>
[全能助手广告拦截专家]
{ED51E9A3-16C5-4236-99E0-9F093B021433} <E:\全能助手Windows优化王\TweakAssist\AssistIEBar.dll, N/A>
[上传到QQ网络硬盘]
<E:\珊瑚虫版 qq\Tencent\qq\AddToNetDisk.htm, N/A>

==================================
正在运行的进程
[PID: 524][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 604][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 688][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 700][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 844][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 904][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 940][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 992][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1084][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1212][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1364][C:\WINDOWS\system32\nvsvc32.exe] [NVIDIA Corporation, 6.14.10.8421]
[PID: 1668][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 436][C:\WINDOWS\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 572][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\nvcpl.dll] [NVIDIA Corporation, 6.14.10.8421]
[C:\WINDOWS\system32\NVRSZHC.DLL] [NVIDIA Corporation, 6.14.10.8421]
[C:\WINDOWS\system32\nvshell.dll] [N/A, N/A]
[C:\Program Files\WinRAR\rarext.dll] [N/A, N/A]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll] [Kaspersky Lab, 5.0.372.1]
[PID: 1140][C:\WINDOWS\VM_STI.EXE] [VM., 4.2.610.4]
[C:\WINDOWS\system32\msdmo.dll] [N/A, N/A]
[C:\WINDOWS\system32\VM31bPrp.Ax] [Vimicro, 1.00.01.00]
[PID: 1172][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5.1.05]
[PID: 1184][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2476][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 200][C:\Program Files\Internet Explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\scrchpg.dll] [Kaspersky Lab, 5.0.1.18]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\scrch_ag.dll] [Kaspersky Lab, 5.0.372.1]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\FSSync.dll] [Kaspersky Lab, 5.0.372.0]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\pr_rmt.dll] [Kaspersky Lab, 5.0.372.0]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\ccclient.dll] [Kaspersky Lab, 5.0.372.1]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\klipc.dll] [Kaspersky Lab, 5.0.372.0]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\KLUtil.dll] [Kaspersky Lab, 5.0.372.1]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\rpt.dll] [Kaspersky Lab, 5.0.372.2]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\CCIFACE.dll] [Kaspersky Lab, 5.0.372.1]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\prloader.dll] [Kaspersky Lab, 5.0.372.0]
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\prkernel.ppl] [Kaspersky Lab, 5.0.372.0]
[c:\program files\kaspersky lab\kaspersky anti-virus personal\prstring.ppl] [Kaspersky Lab, 5.0.372.0]
[c:\program files\kaspersky lab\kaspersky anti-virus personal\pr_srv.ppl] [Kaspersky Lab, 5.0.372.0]
[c:\program files\kaspersky lab\kaspersky anti-virus personal\pr_clnt.ppl] [Kaspersky Lab, 5.0.372.0]
[c:\program files\kaspersky lab\kaspersky anti-virus personal\tempfile.ppl] [Kaspersky Lab, 5.0.372.0]
[C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx] [Adobe Systems, Inc., 9,0,16,0]
[PID: 3452][C:\WINDOWS\system32\taskmgr.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 3844][D:\安装文件\System Repair Engineer\SREng\SREng.exe] [Smallfrogs Studio, 2.2.6.605]

==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1 localhost

==================================

爬围墙上青天 - 2006-10-3 9:01:00

O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://5151c.wz16300.com/plugin/PowerPlr3200.ocx C:\WINDOWS\VM_STI.EXE C:\WINDOWS\Explorer.EXE

爬围墙上青天 - 2006-10-3 9:02:00

提起恶意网页，你肯定不会陌生，说不定曾倍受其折磨呢。恶意网页中包含的恶意代码，可对访问者的电脑进行非法设置和恶意攻击。现在，网页恶意代码已经被杀毒软件定义为网页病毒。与传统意义上的病毒相比，网页病毒虽不具备传染性，但其危害程度决不亚于普通病毒。

　　由于编写恶意代码并不需要什么高深的技术，许多素质低下的人为提高其网站知名度或出于恶作剧目的，在其网页中写入恶意代码，使访问者深受其害。恶意网页真是让人咬牙切齿，恨不得诛之后快。下面就让我们来共同声讨恶意网页的十宗罪状。

　　1、修改IE的起始主页

　　IE的起始主页就是每次打开IE时最先进入的页面，随时点击IE工具栏中的“主页”按钮也能进入起始主页，它一般是我们需要频繁查看的页面，但有些恶意网页会将起始主页改为某些乌七八糟的网址，以达到其不可告人的目的。

　　要修复IE起始主页方法很简单，在IE“工具”菜单中单击“Internet选项”(以IE5为例，下同)，选择“常规”选项卡，在“主页”文本框中输入起始页的网址即可。

　　如果进行上述设置后不起作用，那肯定是在Windows的“启动”组中加载了恶意程序，使每次启动电脑时自动运行程序来对IE进行非法设置。可通过注册表编辑器，将此类程序从“启动”组清除。

　　方法是：点击“开始→运行”，输入“Regedit”后回车，在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主键，右部窗口中显示的是所有启动时加载的程序项，将包含可疑程序的键值名删除。

　　除了起始主页，还有默认主页被修改的情况。我们还是通过注册表编辑器来修复默认主页。展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主键，右部窗口中的键值名“Default-Page-URL”决定IE的默认主页，双击该键值名，在“键值”文本框中输入网址，该网址将成为新的IE默认主页。

　　2、修改IE工具栏

　　IE的工具栏包括工具按钮、地址栏、链接等几个项目，恶意网页可能会自作主张的在工具栏上添加按钮，或者在地址栏的下拉列表中加入一些并未访问过的网址，甚至会通过篡改链接栏的标题显示一些恶心的文字。

　　要去掉不需要的按钮，方法很简单，对工具栏按钮点右键选“自定义”，在“当前工具栏按钮”下拉框中选定不需要的按钮后点击“删除”即可。

　　要去掉多余的地址列表，可通过注册表编辑器展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\TypeURLs]主键，将右部窗口中“url1”、“url2”等键值名全部删除即可。

　　要修复链接栏标题，首先展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Toolbar]主键，在右部窗口中对键值名“LinksFolderName”双击，修改其键值为欲显示的信息，或直接将该键值名删除，链接栏的标题将恢复为默认的“链接”字样。

　　3、修改默认的搜索引擎

　　在IE的工具栏中有一个“搜索”按钮，它链接到一个指定的搜索引擎，可实现网络搜索。被恶意网页修改后的该按钮并不能进行搜索工作，而是链接到由恶意网页指定的网页上去了。

　　要修复搜索引擎，首先展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Search]主键，在右部窗口中将“CustomizeSearch”、“SearchAssistant”这两个键值名对应的网址改为某个搜索引擎的网址即可。

　　4、修改IE标题栏

　　我们浏览网页时，IE标题栏显示的是由当前网页决定的标题信息。但某些恶意网页通过修改注册表，使IE无论浏览什么网页都要在标题后附加一段信息，要么是某个网站的名称，要么是一些垃圾广告，甚至是一些政治反动或不堪入目的信息。

　　要修复IE标题栏，在注册表编辑器中展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主键，将右部窗口中的“Window Title”键值名直接删除即可。

　　5、修改或禁止IE右键

　　有些恶意网页对IE右键快捷菜单进行修改，加入一些无聊信息，或是加入指向其网站的链接，以为这样人们就会经常光顾他们的网站，真是很可笑。

　　要删除右键菜单中的垃圾内容，可通过注册表编辑器展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\MenuExt]主键，将下面的垃圾内容全部删除即可，也可直接把“MenuExt”子键删除掉，因为“MenuExt”子键下是右键菜单的扩展内容，把它删除，右键菜单便恢复为默认样式。

　　有些恶意网页为禁止下载，竟然禁止使用右键，简直太可恶了。展开[HKEY_CURRENT_USER\Software\Policies\Wicrosoft\Internet Explorer\Restrictions]主键(注意这里是Policies分支下的Internet Explorer)，在右部窗口中将键值名“NoBrowserContextMenu”的Dword键值改为“0”即可，或者将该键值名删除，甚至可将“Restrictions”子键删除，“Restrictions”子键下是一些限制IE功能的设置。

　　有些恶意网页更狡猾，当使用鼠标右键时不会显示菜单，而是弹出对话框警告你不要“侵权”，或是强迫你阅读他们的垃圾广告，这种情况并未修改注册表，所以退出这个网页就不会有事了。如果非要在这个网页中使用右键，可采取变通的方法：当弹出对话框后，先按下键盘上的“属性”键(右侧Ctrl键左边的一个键)不放，再按回车键，弹出几次对话框就按几次回车键，最后放开“属性”键，右键快捷菜单便出来了。

　　6、系统启动时弹出网页或对话框

　　若出现启动Windows时弹出网页，这是恶意网页对Windows的“启动”组动了手脚的缘故。我们在注册表中将“启动”组内相应项目删除即可解决。

　　方法是：展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主键，在右部窗口中将包含有url、htm、html、asp、php等网址属性的键值名全部删除。

　　恶意网页还有一种类似的伎俩是，启动Windows时会弹出对话框，以显示它们的广告信息。解决办法是：展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version]主键，该主键下的子键“Winlogon”可以使Windows启动时显示信息提示框，直接将该子键删除即可避免启动时出现垃圾信息了。

　　7、定时弹出IE新窗口

　　IE浏览器中每隔一段时间就会弹出新的窗口去访问别的网页，这种情况也是典型的恶意网页中毒症状。恶意网页是通过在Windows的“启动”组添加hta文件来达到目的的。同样，我们利用第6条中的方法，将启动组内包含hta文件的项目全部删除即可。

　　8、禁止修改注册表

　　这是恶意网页最无耻的行径了，恶意网页修改了我们的系统，当我们使用注册表编辑器Regedit.exe时去修复注册表时，系统提示“注册表编辑器被管理员所禁止”。恶意网页试图通过禁止Regedit.exe的使用，来阻止我们修复注册表，可谓用心险恶。

　　但注册表编辑工具除了Regedit.exe外还有很多种，随便从网上下载一个注册表编辑器，展开[HKEY_CURRENT_USER\Software\Wicrosoft\Windows\Current Version\Policies\System]主键，将键值名“DisableRegistryTools”的键值改为“0”，或将该键值名删除，这样便可使用Windows自带的注册表编辑器了。

　　如果找不到其它编辑器，利用记事本编写以下三行内容：

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

　　"disableregistrytools"=dword:0

　　将以上内容保存为aaa.reg，文件名可任取，但扩展名一定要为reg，然后双击这个文件，提示信息成功输入注册表之后，你便又可使用Regedit.exe了。

　　9、下载运行木马程序

　　恶意网页最阴险的一招就是下载并运行木马程序，从而控制访问者的电脑。这利用的是IE5.0的一个漏洞，恶意网页通过一段恶代码链接一个嵌入了exe文件(木马)的eml文件(E-mail文件)，当访问者浏览这类网页并点击经过伪装的链接时，便会自动下载eml文件并运行其中的exe文件(木马)，并且不会有任何提示信息，一切在悄无声息中进行。

　　如此罪恶的行径，我们却没有什么好的对付办法。唯有升级IE版本了，因为这个漏洞在IE5.0以上版本中都不复存在。

　　10、格式化硬盘

　　恶意网页能把你的硬盘格式化！？你没看错，这可是恶意网页最狠毒的一招了，后果不堪设想，简直太恐怖了。恶意网页是利用IE执行ActiveX功能，调用Windows下的Format.com程序对硬盘进行格式化，由于使用了一个微软未曾公开的运行参数，Format.com格式化硬盘时无需经过你的确认而自动进行，同时窗口处于最小化状态，很可能你还没反应过来，你的系统就已经完蛋了。此招真是太卑鄙了。

　　但险招有险象，当你访问此类恶意网页时，由于要使用ActiveX功能，IE会提示当前页面含有不安全的ActivcX，可能会对系统造成危害，并询问是否执行，这时你就要提高警惕了，千万不要随便选择“是”，而且这种提示信息还可能经过伪装，例如：“浏览器将使用防毒功能，避免你受到恶意攻击，是否继续？”真是颠倒是非，让你雾里看花，你得小心再小心，否则没有后悔药给你吃。

　　其实最安全的办法是，将你电脑中的Format.com程序改名，使恶意网页调用程序无门、行恶不成。在Windows中还有一个危险命令Deltree.exe，它的作用是删除整个目录，也可带参数自动运行，为了不让恶意网页有机可乘，你不妨也把它改名大吉。

　　以上揭露的只是恶意网页最普遍的十种罪行，除此之外，还有一些五花八门的小伎俩，也给我们上网带来不少麻烦。另外，以上提出的解决办法，都是在受到恶意网页危害后的解救措施，并不保证以后就太平无事了。若要避免或减轻危害，还得从预防做起。

瑞星卡卡安全论坛