来源:CFAN
■河北 于晓鸣 湖北 郝其勋 河南
杨之
手工杀毒一直是区别老鸟与菜鸟的一个重要标志,很多朋友就以能够手工杀毒而感到自豪。可是杀除DLL病毒一直是让人头痛的事,本文会为大家介绍几种可以消除它的方法。
最近网络上流行一种“Search
for”的病毒,中了该病毒,即使把IE主页设置为“使用空白页”也会打开一个搜索引擎,非常烦人。本文就为大家解决这一问题。
1.用Hijackthis解决
最近一段时间,公司里许多电脑的IE主页都被修改成了“Search
for”,在IE属性里把主页改成空白页或用防病毒软件杀毒也不管用。用“超级兔子注册表修复工具”、“瑞星修复工具”等都不管用。
后来使用了《电脑爱好者》第4期《教你看懂“解放者”的“语言”》一文中介绍的Hijackthis(http://sq.onlinedown.net/down/hijackthis.zip)后,问题解决了。具体的解决方法如下:
打开Hijackthis,点击“Scan”按钮,它会自动对系统进行全方位的安全检测,很快就会将系统中所有可疑的项目列出来,经过分析,发现其中编号为O13的非常可疑:
O13
- WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix:
c:\searchpage.html?page=
O13 - Mosaic Prefix:
c:\searchpage.html?page=
选中这几项,然后点“Fix
checked”,在接下来的对话框选“是”即可修复。
如果重新启动系统后出现错误,可以点击“Config”按钮,切换到“Backups”标签,在这里点击“Restore”按钮进行恢复;假如一切正常,那么就可以选择“Delete”或“Delete
all”将此项目彻底清除。
来源:CFAN
2.注册表清除法
早就听网友说被恶意网站强占了IE的首页,而首页又被设置成了空白页,无法查到该恶意网站的网址。终于有一天,我也遇到了这种情况。该网站不但没有网址,甚至所有的链接都用JavaScript代码隐藏了URL。
按照过去的方法,在硬盘上、注册表中进行了一番搜捕,居然没有找到恶意网站的踪影。在系统配置实用程序中也没有任何可疑的启动项。
我拿出了绝招。首先清空了IE的临时文件夹,然后刷新了那个页面,准备分析出现的页面文件。可是无论我怎样刷新,临时文件夹空空如也,根本就没有从网上下载任何文件。
在注册表中删除了那个网站更改的所有内容,然后重新启动电脑,打开IE,选择“脱机浏览”,那个恶意网站依旧存在,注册表又被改动。IE临时文件夹仍旧没有任何文件。得出结论:那个页面不是HTML格式的文件,可能是个可执行文件,藏在了C盘某个地方。
如何找到这个病毒文件呢?我想出了一个办法。在那个页面上复制了一段文字,然后点击“开始→搜索→文件或文件夹”,搜索的文件名是“*.*”,“包含文字”中粘贴好刚才的那一小段文字,搜索后果然在C盘上找到几个文件。之后再次选中一段文字,并在刚才搜索的文件中继续查找,反复查找,最后终于在C:\Windows\System文件夹中,找到了ncp.dll和doffnc.dll两个文件,它们的内容中包含恶意网页的全部内容。
删除了病毒文件后,下一步就是在注册表中找到被恶意网站修改的地方了。运行注册表编辑器,搜索ncp.dll和doffnc.dll这两个内容,很快就发现注册表中如下几项:
HKEY_CLASSES_ROOT\CLSID\{B2192720-B26A-11D8-A3D0-00038CDFC102}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{B2192720-B26A-11D8-A3D0-00038CDFC102}
HKEY_CLASSES_ROOT\CLSID\{B86A95A0-B26A-11D8-A3D0-00032BC3B1ED}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{B86A95A0-B26A-11D8-A3D0-00032BC3B1ED}
这四个键都有键值,对应了那两个病毒文件。
深入查找,又找到了以下几个键:
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain
HKEY_LOCAL_MACHINE\Software\CLASSES\PROTOCOLS\Filter\text/html
HKEY_LOCAL_MACHINE\Software\CLASSES\PROTOCOLS\Filter\text/plain
它们都包含这个键值CLSID={B86A95A0-B26A-11D8-A3D0-00032BC3B1ED}。将它们全部删除后,该恶意网站在注册表中的篡改内容被全部清除。最后重新启动电脑,IE完全恢复正常了。
我写此篇文章,主要是把处理的方法告诉大家,以后可以举一反三,再遇到这种恶意网站就知道如何处理了,不用像我那样走弯路。不过,我建议大家还是学会用ghost,用它恢复更可靠些。另外,查找注册表被改处还可以用专门的软件,需要在被改前运行一个记录,被改后运行一个记录,对比后给出一个报告,此方法适用于目的非常明确的操作,意外被改时往往来不及用。
来源:CFAN
3.恢复控制台+注册表完全清除
第一步:打开注册表编辑器,定位到[HKEY_LOCAL_
MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs],双击AppInit_DLLs可以看到这个隐藏的DLL文件的路径,例如C:\Windows\System32\wdm.dll。
第二步:安装Windows
Recovery
Console(恢复控制台),恢复控制台并不是默认安装,所以可能需要Windows安装光盘,比如你的光驱是X,则在开始运行中输入:X:\i386\winnt32.exe
/cmdcons,之后按提示完成安装。
第三步:重启电脑,选择恢复控制台,进入C:\Windows
\System32文件夹,输入如下命令:
rename wdm.dll about_blank
attrib -R
about_blank
第四步:重新启动计算机,打开“注册表编辑器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\CurrentVersion\Windows
\AppInit_DLLs]并删除相应的键值即可。
除了上面的这些方法,你还可以使用“黄山IE修复专家”(下载地址:http://ks.onlinedown.net/down/znmq_hs.exe)直接进行修复。
针对DLL病毒,小特也询问了两位高手,大家可以看看他们对此问题的解决方案,以后如果你遇到了类似的情况,也可以试试看。
瑞星专家:如果有一些第三方程序,如PROCESSVIEW之类的,可以先将线程杀掉,如果没有,可以直接杀进程。比如,它进入了EXPLORER进程里,那就直接将EXPLORER杀掉,再清除病毒体,最后重开一下EXPLORER进程就可以了。当然你也可以直接到DOS环境下清除病毒文件。
“木马绑定克星”作者狂ρκ雪影:因为杀不掉进程,所以首先利用“进程手术刀”(http://www.newhua.com/cfan/200415/processknif.zip)等第三方工具将插入进程的DLL病毒线程占用的内存释放或锁住,然后同步地将系统中负责插入线程的EXE文件或注册表中的项去除,最后重启即可。
