来自: 发主题数:1342 加入:2003-08-27 11:44:07 上次:2024-05-03 19:59:54 最后积分:5726 | 由于工作之便,工作时常上网。一日在网海中漫游,不知不觉进入了一个"不良"网站,就是这个"不良"网站,让我至今心有余悸。 一次正常的系统启动后,跟以往一样,习惯地打开IE上网,可是,今次不同往次,IE打开时自动地进入了http://youfindall.net/或http://youfindall.net/?????(?代表数字)这样的网站。起初并不以为然,按常规方法,在工具->选项中将主页设为空白,关闭IE再开,没有问题。然而事情并没有这样了结,重新开机后,打开IE,发现主页又被连接到了上面提到的网址。中毒了!随即用Norton反病毒软件加最新病毒定义进行查杀,但结果并没有出现如料的报告。注册表被修改了!急忙打开注册表,找到有关IE键的项,发现在注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main键下的 Default_Page_URL Default_Search_URL Search Page Start Page 等多个项中的值被修改为类似于以下的值: http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63% 67%69?%36%35%36%33%38%37 手工将被修改了的值逐个清除,然后关闭注册表编缉器,再打开IE,正常。可是当系统再次启动后,发现刚才清除的值又被填满了,丝毫没有改变。无耐之下再次打开注册表进行手工清除,这次还使用了搜索功能,确保一个都不漏,找到该值随即删除,可谓用心良苦。在搜索中发现,除了上面提到的\Internet Explorer\Main键下的项外,其他地方还有很多值被修改了,面目全非。这一次,满以为可以彻底的清除了,关机、重启,看看效果,谁知重新开机后,清除的键值又被写了回来,这样反复数次,情况依旧,就像一个黑色幽灵,怎么赶也赶不走。 为了送走这个不速之客,我上了Google进行大范围搜索,但每次都无功而返,也只有静下心来仔细想想。 由于注册表被自动修改,由此可知,系统启动时肯定加载了修改注册表的程序,所以必须详细查看有可能自动加载程序的地方,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerson\Run下发现了sysPnP这样一个子键,键值为C:\WINNT\System32\bootconf.exe(我的系统为Win2KP),但并没有引起我的怀疑。这样又过了一个星期,这个不速之客一直伴随着我,由于一些事情要在网上完成,这样就少不了输入密码之类的敏感信息,不知这是否一个木马病毒,如果被盗取了网上密码等信息,后果将不堪设想,所以一遇到需提供密码之类的重要信息都非慎重,甚至不敢使用,极为不便。然而,久拖不决亦不是办法。 在备份了相关分支的注册表信息后,逐一删除自启动程序进行试验,当删除了键值为 C:\WINNT\System32\bootconf.exe的子键sysPnP后,发现系统已经恢复正常。就这样,在我的眼皮底下逍遥了近一个月的黑色幽灵最终被送走。 我至今还不知道这个病毒的名字,如有知道的朋友请补充。另外,以上经历亦为其他类似"遭遇"的网友提供处理借鉴。 |