网页木马深度剖析以及手工清除(3)

情况一，你是明确知道你的计算机已经中毒了，比如说是QQ上出现自动发出信息的问题。但你发现你所发的网址并非是以前文章上介绍过的地址，那么这个站点感染的病毒可能是另外一种植入方式，如加载的文件不同，启动方式也不同等等。既然已经中毒了，那就不怕什么了，再次深入虎穴吧。但我们没必要那样做，我们某种意义上的深入虎穴，为的是得到这个站点网页的病毒原码，如何得到，我想不用我说也大家也清楚。现在很多站点都提供原代码查看的网页，用它就可以完全实现不用访问该页而提取到原码（不要太天真哦，用这个办法那个页面也会到你IE缓存内，但你不必PaPa，这个不会对你够成任何威胁）.如果实在找不到，那你可以到http://www.e3i5.com/bbs/ 找我，我给你临时做一个查看页。（什么？找不到怎么办？那就没办法了，你就真的再次深入虎穴，用工具栏上的查看选项去看原码吧。呵呵~ ^_^!）为什么要查原码，主要是看一下，网页的运行机制是怎么样的？又回到我们文章一开始的话题了，为什么要花些文章在介绍网页病毒、网页木马的常识和运行机理上。学以必用的道理大家比我还清楚。分析出网页病毒、木马的机理我们再来进行本地机的清理工具将是一个很好的前提条件。 
 
情况二，你根本不知道你是不是中毒了，怎么办？要从计算机最基本的开始查，进程表。这个一般是查出问题的关键之处。一般都要使用第三方软件来查看，如 windows优化大师的进程管理器，柳叶擦眼等。查看进程表，那些标识为系统文件的进程你可以不看，而那些非系统进程你要注意了。象一些仿系统文件的进程则是我们重点关心的对象，发现即禁止掉，然后到相应的路径改名。（由于是非系统进程，终止掉它到下次重新启动也不会影响计算机的正常运行）然后，查看该文件的属性，尤其是查看“创建时间”如果和你的中毒时间相仿或是差不多远，那就说明这个文件十之八九就为病毒文件。一般的系统文件创建时间都是很早哦，大约要比当前时间早一到两年，甚至三年五年的。按如此办法我们就可以逐一的找出可疑的文件，然后按以下的方法进行病毒的清理。 
 

清理工作的开始： 
⒈准备工作： 
下载进程管理软件：柳叶擦眼 没有的请到以下地址下载： 
http://www.e3i5.com/soft/SoftView.Asp?SoftID=361  
这里我推荐使用 柳叶擦眼 因为它是个绿色软件，不需要安装，下载解压后该怎么用就怎么用，方便。 
进行手工杀毒的准备工作，先关闭你能关闭的所有软件，包括杀毒软件，防火墙，宽带连接等等一切能生成进程的东西.只保留必要的系统进程，这样会使以后的操作带来很多方便。 
⒉查看系统进程：除了显示系统文件外，将所有无关的进程杀掉。 
如：查看进程表定位文件。intneter.exe c:/windows/system/intneter.exe 这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件，我们应马上结束这个进程，并删除对应的文件，注意一些文件是隐藏的，在查找时应用"文件夹选项"打开对隐藏文件的查看. 
 
如果不知道相关的进程，你可以这样尝试， 
将进程软件下载后，断网，关闭运行的软件，打开进程管理软件，软件显示的系统进程你不要理，如果你不知道你以前正常的软件进程名是什么的话，将所有非系统的进程全部杀死，（注意除了进程查看软件之外的哦，我要是不说一定有人连它一起杀了.）并记下他们的文件路径，并记录下来。由于不知道是否是非法文件暂时改名，也记录下来，以便修改。 
 
⒊修改注册表 
开始 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找 
查找 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]  
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]  
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]  
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]  
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]  
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]  
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主键下所有的键都为空，如果不为空，全部清理为空.使系统启动不加载任何程序。（一般的来说，驱动程序除了一些显示驱动会保留在启动项里，其他重要的很少了）如果你知道你常用软件所在RUN以及相关键下的值，当然更好，你就可以选择性的进行清理。对以后的整理工作会更方便些。 
修改以下注册表关联项目： 
[HKEY_CLASSES_ROOT/ chm.file/ shell/ open/ command "(默认)" "%windir%/hh.exe" %1 ] 
[HKEY_CLASSES_ROOT/ exefile/ shell/ open/ command "(默认)" "%1" %* ] 
[HKEY_CLASSES_ROOT/ inifile/ shell/ open/ command "(默认)" %windir%/NOTEPAD.EXE %1 ] 
[HKEY_CLASSES_ROOT/ regfile/ shell/ open/ command "(默认)" regedit.exe "%1" ] 
[HKEY_CLASSES_ROOT/ scrfile/ shell/ open/ command "(默认)" "%1" /S ] 
[HKEY_CLASSES_ROOT/ txtfile/ shell/ open/ command "(默认)" %windir%/NOTEPAD.EXE %1] 
 
⒋清理启动项配置文件 
1.进入配置管理，除WIN 2K外都为MSCONFIG. 
开始 ------ > 运行 ------ > MSCONFIG 
WIN 9X用户注意：将启动配置里所有带*.hta,的去掉。HTA的特性就是隐藏掉窗体,然后一段时间就弹出网页. 
进入：system.ini 
修改[BOOT] 
shell=Explorer.exe //注意：后面没东西了，再有什么，改成和前面一样的。 
进入：WIN.INI 
修改[WINDOWS] 
//注意load键后面除了=号什么也没有。空格都不行。 
LOAD= 
NULLPORT=NONE 
修改：autoexec.bat 内容为空 
WIN 2K 直接进入启动编辑器。 
修改以上三个文件. 
记得这三个文件里没有任何为空的指令命令，有就删除。 
任何值如果为空的话就是什么都没有，甚至于空格都不存在。有之，改！ 
 
⒌清理注册表垃圾信息 
开始 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找 
将开机运行的那个站点进行搜索找到即删除. 
 
⒍清理缓存 [这点最重要] 
一定要把你的IE缓冲区清理干净，以及TEMP文件夹的临时文件和垃圾文件清理干净。 
好了，将你记录的路径的文件保存，然后重新启动计算机。 
⒎清理校验 
1.启动计算机后，再次打开柳叶擦眼，查看进程，看除了系统进程是否还有其他进程存在。如果没有，说明手工清理完成。如果还发现异常的进程请重复以上步骤。 
2.确认杀毒完成后，你开始逐一的启动各类软件，检查你所改名的文件是否会影响到软件运行，如果没有异常发生，请删除或放入你杀毒软件的隔离区，(为什么要选择后者毕竟我们还不清楚这是不是病毒文件，即使是在隔离区的文件系统是不会再次运行的). 
[注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件，依照上面的文件逐一的进行检查. 
3.逐一恢复了所有的进程后，重新启动计算机，再做最后一次检测。以防万一。 
4.到此为止，你已经完成了你的全部手工清理过程，病毒已经被你请出你的计算机了。 
 

总结： 
不论怎么说，自己亲自清理过一次网页病毒后，你会觉得网页病毒其实也并非那样可怕，最难的是挑战自我的勇气。我个人并不推荐计算机出了问题就是格盘、重装，这并非是一个解决问题的途径。我们建议大家首先先简单的认识恶意网页的代码机理为的就是从根本上来解决问题。但，我们更强调的是动手能力。当然我的意思也并非完全抛弃杀毒和防毒软件，但，毕竟是个工具。俗话讲得好：事在人为。 
 

[新问题] 
最近在写一个特殊效果页的时候，发现一个新问题，页面在执行了几个特殊函数后，整个页面被锁死，以下所有的JS全部失效，打开进程查看，发现有一个svchost.exe一直在监视这个页面进程，而在WINDOWS的标准进程管理中看不到，只有借助第三方软件才能终止此进程，即使终止了网页进程，这个svchost.exe的监视进程还在。与好友LuoLuo商量了一段时间后，猜测可能是由于页面中的某部分代码引起了缓冲区溢出，导致IE崩溃，而不能执行页面指令。多次测试只后我们还是找不到原因，到底是哪部分函数引起了这个问题我们还在研究中，出现的问题就是非常非常的隐蔽，如果在页面锁死后可以注入一些恶意代码或是木马那不是没救了？IE啊…用MOZILLA算了，呵呵~ 
 
后 记 
 
全文到这里基本上结束了。通篇文章涉及到网页病毒代码分析，中毒机理分析，预防手段，以及一般的查杀、手工查杀 四大部分的介绍。我尽量做到详细的将问题以最简单易懂的方式说明。归结到一点就是，希望大家能从网页病毒的本质出发来面对它，解决它。仔细想想现在含各式病毒站点越来越多，而他们利用的也不仅仅是代码的威力以及系统或是浏览器上漏洞，也上在利用大家在浏览网页的安全意识不健全的基础上。另外，我还想说明的一点就是：不要完全依靠杀毒软件，现在国内的一些杀毒软件做的并完善，杀毒不彻底，很容易残留一些病毒遗体到你计算机内，当你一不小心运行了它，病毒又死灰复燃了；还有就是一部分杀毒软件虽然能及时的预警，但在杀毒上却稍逊一筹.杀掉了缓存内的病毒原体，却留下了病毒自动生成的新文件。这也似乎成了国内软件的一个通病，功能有，但不强大。面对着如此格局，除了自己伸手帮自己，还能有什么办法？相信自己，遇到问题自己动手解决.