Windows系統(tǒng)及應用技巧(1)

字號:

幾天一些惡意網(wǎng)站的惡意代碼鬧得挺兇,像是www.58q.com www.qq230.com 這樣欠黑的網(wǎng)站,一打開這些網(wǎng)頁就中了惡意腳本,而且一般的IE修復和殺毒軟件都不能比較徹底清除 。
     典型癥狀:
     1. IE 首頁被改為惡意網(wǎng)站,默認主頁,起始頁,甚至搜索頁全部被更改
     2. C盤下生成文件夾:$NtUninstallQxxxxxxx$(x代表數(shù)字)
     從名字上看企圖冒充微軟更新補丁的卸載文件夾,并且在Win2000/XP下?lián)碛邢到y(tǒng)文件級隱藏屬性,比較隱蔽。文件夾中包含了惡意腳本文件winsys.vbs、winsys.cer
     3. 隨機啟動項被添加3項:
     4. 如用殺毒軟件查殺,可以查到名為Harm.Reg.WebImport.g 的病毒,但若是清除不徹底,只是刪除了文件夾,開機將會出現(xiàn)提示:
     清除方法小結:
     1. 刪除啟動項:
     建議通過msconfig 、優(yōu)化軟件禁用或注冊表手動刪除以上3項啟動項
    HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
    刪除:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    刪除:Sys32,值為:C:\$NtUninstallQxxxxxxx$\WINSYS.vbs
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    刪除:Sys32,值為:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
    刪除:internat.exe,值為:internat.exe
     2. 刪除文件夾:
     文件夾選項設置
     然后刪除整個$NtUninstallQxxxxxxx$ 目錄