第1招：禁止使用電腦現象描述:盡管網絡流氓們用這一招的不多，但是一旦你中招了，后果真是不堪設想!瀏覽了含有這種惡意代碼的網頁其后果是:"關閉系統"、"運行"、"注銷"、注冊表編輯器、DOS 程序、運行任何程序被禁止，系統無法進入"實模式"、驅動器被隱藏。

    解決辦法:一般來說上述八大現象你都遇上了的話，建議重裝。

    第2招:格式化硬盤現象描述:這類惡意代碼的特征就是利用IE 執行ActiveX 的功能，讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網頁，瀏覽器就會彈出一個警告說"當前的頁面含有不安全的ctiveX，可能會對你造成危害"，問你是否執行。如果你選擇"是"的話，硬盤就會被快速格式化。

    解決辦法:除非你知道自己是在做什么，否則不要隨便回答"是"。該提示信息還可以被修改，如改成"Windows 正在刪除本機的臨時文件，是否繼續"，所以千萬要注意!此外，將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe 等命令改名也是一個辦法。

    第3招：下載運行木馬程序現象描述:在網頁上瀏覽也會中木馬?當然，由于IE5.0 本身的漏洞，使這樣的新式入侵手法成為可能，方法就是利用了微軟的可以嵌入exe 文件的eml文件的漏洞，將木馬放在eml 文件里，然后用一段惡意代碼指向它。上網者瀏覽到該惡意網頁，就會在不知不覺中下載了木馬并執行，其間居然沒有任何提示和警告!

    解決辦法:第一個辦法是升級您的IE，此外，安裝Norton 等病毒防火墻，它會把網頁木馬當作病毒迅速查截殺。

    第4招：注冊表的鎖定現象描述:有時瀏覽了惡意網頁后系統被修改，想要用Regedit更改時，卻發現系統提示你沒有權限運行該程序，然后讓你聯系管理員。

    解決辦法:能夠修改注冊表的又不止Regedit 一個，找一個注冊表編輯器，例如:Reghance。將注冊表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值"DisableRegistryTools"鍵值恢復為"0"，即可恢復注冊表。

    第5招：默認主頁修改現象描述:一些網站為了提高自己的訪問量和做廣告宣傳，利用IE 的漏洞，將訪問者的IE 不由分說地進行修改。一般改掉你的起始頁和默認主頁，為了不讓你改回去，甚至將IE 選項中的默認主頁按鈕變為失效的灰色。

    解決辦法:起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main，在右半部分窗口中將"StartPage"的鍵值改為"about:blank"即可。同理，展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main，在右半部分窗口中將"StartPage"的鍵值改為"about:blank"即可。注意：有時進行了以上步驟后仍然沒有生效，估計是有程序加載到了啟動項的緣故，就算修改了，下次啟動時也會自動運行程序，將上述設置改回來，解決方法如下:

(1).運行注冊表編輯器Regedit.exe，然后依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 主鍵，然后將下面的"registry.exe"子鍵(名字不固定)刪除，最后刪除硬盤里的同名可執行程序。退出注冊編輯器，重新啟動計算機，問題就解決了。

(2).默認主頁的修改。運行注冊表編輯器，展開HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\，將
Default-Page-URL 子鍵的鍵值中的那些惡意網站的網址改正，或者設置為IE 的默認值。

(3).IE 選項按鈕失效。運行注冊表編輯器，將HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel 中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1 全部改為"0"，將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的DWORD 值"homepage"的鍵值改為"0"。

    第6招：修改IE 標題欄現象描述:在系統默認狀態下，由應用程序本身來提供標題欄的信息。但是，有些網絡流氓為了達到廣告宣傳的目的，將串值"WindowsTitle"下的鍵值改為其網站名或更多的廣告信息，從而達到改變IE 標題欄的目的。

    解決辦法:展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\下，在右半部分窗口找
到串值"WindowsTitle"，將該串值刪除。重新啟動計算機。

    第7招：修改默認搜索引擎現象描述:在IE 瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現網絡搜索，被篡改后只要點擊那個搜索工具按鈕就會鏈接到網絡注氓想要你去的網站。

    解決辦法:運行注冊表編輯器，依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\CustomizeSearch和
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\SearchAssistant,將CustomizeSearch 及SearchAssistant 的鍵值改為某個搜索引擎的網址即可。

    第8招：IE 右鍵修改現象描述:有的網絡流氓為了宣傳的目的，將你的右鍵彈出的功能菜單進行了修改，并且加入了一些亂七八糟的東西，甚至為了禁止你下載，將IE 窗口中單擊右鍵的功能都屏蔽掉。

    解決辦法:1.右鍵菜單被修改。打開注冊表編輯器，找到
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt，刪除相關的廣告條文。2.右鍵功能失效。打開注冊表編輯器，展開到HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions，將其DWORD 值"NoBrowserContextMenu"的值改為0。

   第9招：篡改地址欄文字現象描述:中招者的IE 地址欄下方出現一些莫名其妙的文字和圖標，地址欄里的下拉框里也有大量的地址，并不是你以前訪問過的。

   解決辦法:1.地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ToolBar 下找到鍵值
LinksFolderName，將其中的內容刪去即可。2.地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypeURLs 中刪除無用的鍵值即可。

   第10招：啟動時彈出對話框現象描述:1.系統啟動時彈出對話框，通常是一些廣告信息，例如歡迎訪問某某網站等等。2.開機彈出網頁，通常會彈出很多窗口，讓你措手不及，惡毒一點的，可以重復彈出窗口直到資源耗盡而死機。

   解決辦法:1.彈出對話框。打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 主鍵，然后在右邊窗口中到"LegalNoticeCaption"和"LegalNoticeText"這兩個字符串，刪除這兩個字符串就可以解決在啟動時出現提示框的現象了。2.彈出網頁。點擊"開始-運行-輸入msconfig",選擇"啟動"，把里面后綴為url、html、htm 的網址文件都勾掉。

   第11招：IE 窗口定時彈出現象描述:中網頁木馬的機器每隔一段時間就彈出IE 窗口，地址指向網絡注氓的個人主頁。

   解決辦法:點擊"開始-運行-輸入msconfig",選擇"啟動"，把里面后綴為hta 的都勾掉，重啟。

   第12招：比如網絡上流行 的木馬 smss.exe 現象描述:這個是其中一種木馬的主體 潛伏在 98/winme/xp c:windows 目錄下 2000 c:winnt .....

   解決辦法：假如你中了這個木馬 首先我們用進程管理器結束正在運行的木馬smss.exe然后在C:windows 或 c:winnt 目錄下 創建一個價的 smss.exe 并設置為只讀屬性~(2000/XP NTFS 的磁盤格式的話那就更好 可以用“安全設置” 設置為讀取)經過這樣的修改后，我現在專門找別人發的木馬網址去測試，實驗結果是上了大概20個木馬網站，有大概15 個防病毒會報警，另外5 個防病毒沒有反映，而機器沒有添加出來新的EXE 文件，也沒有新的進程出現，只不過有些木馬的殘骸留在了IE 的臨時文件夾里，他們沒有被執行起來，沒有危險性，所以建議大家經常清理臨時文件夾和IE。

   第13招：初步防御。預備階段這一階段，我還是建議大家首先試一下各種殺毒工具，把基本的能殺的病毒都給先殺了，以減輕自己的工作量。比如IE 病毒專殺工具如360，以及金山毒霸，瑞星，江民等常見殺毒工具。你需要在預備階段做的工作就是利用一些殺毒工具把常見的大部分病毒都給殺除了。另外，如果不能殺除，你可以再嘗試在系統啟動時按F8進入安全模式在這個情況下再啟動殺毒工具和IE 修復工具進行查殺。

   第14招：反擊病毒。掃描進程進行查殺筆者的電腦就曾經CPU 滾燙無比，發現RUNDLL32.EXE 這個文件運行了99%的CPU 資源，而這個文件是WINDOWS 下的SYSTEM32 文件夾里的，不應該是病毒。而最大的可能，它就是被用來運行了某些病毒的DLL 文件。而造成嚴重損害的。針對進程問題，首先大家可以用最簡單的方法先進行表面清楚，就是在“開始”里點“運行”，鍵入MSCONFIG，然后進入啟動項設置，看到不正常的啟動項，比如各種莫名奇妙的名字，以及特別是在非WINDOWS 系統文件夾下的(可以直接刪除都沒事)，以及各種奇怪的可執行文件，.exe 的，給予堅決取消啟動。并可找到那個文件的位置，給予刪除，如果非系統文件夾下的，你大可以放心刪除。另外，推薦大家一款免費的進程掃描工具hijackthis,大家可以找它的漢化版的，用來掃描進程。尤其是隱藏在SYSTEM32 文件夾下的，某些異常的.exe 文件，以及它的上級文件夾。不要怕，進入c:/windows/system32,進去之后，找到那個文件，以及它的父文件夾。有時候，你會很驚訝的發現，這個可執行文件病毒就被你發現了，有的病毒執行程序，你查看屬性時，竟然寫到是某某廣告公司,這些病毒往往都是一個單的可執行文件，放在SYSTEM32 下或者一個文件夾里。馬上徹底刪除!有的無法刪除，正在運行的，你要借助一些文件粉碎機來刪除。而好象SP2 的WINXP 自帶粉碎文件功能。就這樣，你根據可疑進程，特別是擴展名為.exe 的文件，找到它隱藏的文件夾，看它的屬性和修改日期，有的是往往是發生病毒情況的那一天的，很容易就發現它是病毒，直接封殺!有的更“牛”一點，在父文件夾里還帶著一些廣告網站的.ini 文本文件和其它文件夾，這個沒事，你打開看看那些文件夾里都是啥，有時候你能發現這些.ini 文件里就寫著騷擾你的惡意網站或者其它廣告網站的地址。發現了就好，然后再看看這個文件夾的修改時間，如果是發生病毒時候的，還等什么?整個這個異常文件夾一下子刪除!就這樣，你可以通過進程掃描，尋根求底的方法，找到隱藏的系統文件下，通過查閱文件夾以及異常文件屬性等，直接手工刪除!

   第15招:主動出擊。根除殘留病毒有時候，某些病毒并不是在運行，而是在你打IE 之后的某個時間或者激發了某些事件，它們才會運行。有的還是某些.DLL 文件，隱藏在系統文件夾下，很難發現，而且往往誤認為是系統文件而不敢查殺。這些成為最頑固的病毒，不用怕。這些也都可以通過第三招而殺除。最常用的方法是根據文件夾和文件修改創建時間。首先你把文件夾屬性調整為查閱所有文件，包括隱藏文件和系統文件。然后右健，再通過查看文件方式選擇為查看詳細信息，則會出現詳細信息列表，你可以通過選擇最近時間排列，而看到最新創建的一些文件夾和一些文件。如果你記得你病毒發作的那第一天時間，直接可以發現那些異常文件夾的創建時間和病毒發作時大概相同，直接進去查看，有時候往往發現這些文件夾里果然包含著廣告網站的信息等或者其它異常內容。不管有沒有，直接刪除這些文件夾吧!有的如果是你最近裝過的軟件的話，你自己也會清楚，如果不是的，那就是病毒創建的文件夾了。刪除這些新創建的對你系統運行也沒有損失。

    第16招：用插件管理來定位流氓軟件的位置。第一步：打開"IE"- 工具- internet 選項- 程序- 管理加載項然后會列出很多IE 插件，我們要做的只是觀察插件的發行者，如果看到發行者前面有個“未驗證”的話，我推薦別管它起什么作用，禁用，然后把不是microsoft的都禁用了，不用擔心會關閉某些有用的插件，比方說播放網頁中flash 的插件，就算我們關閉了，以后IE 會提示你。在狀態欄上有個齒輪的符號，雙擊打開，然后它會提示你需要哪個插件，你到時候再恢復也不遲。 第二步：記錄下剛才被基本懷疑為流氓軟件的插件（Dll文件）的名字，然后到搜索中對系統進行搜索，一般來說，大部分流氓軟件都會安裝到x:\ProgramFiles\下面，找到流氓軟件安裝的文件夾，先嘗試刪除，應該是沒辦法刪除的，系統會跳出個窗口——“某文件正在被使用”，那么說明你剛才光在IE 里清除是不夠的，因為流氓軟件已經將其自己加載到rundll32.exe 進程中了。 第三步：我們要使用icesword進行操作了。打開icesword，然后選進程，找到rundll32.exe（有時候可能會有幾個，如果有多個的話，一個一個操作），點右鍵選擇“模塊信息”，在模塊里找到你剛才沒辦法刪除的dll 文件，現在強行結束這個rundll32.exe 進程，然后回到ProgramFiles 下，先別急著刪除。現在打開regedit.exe 開始搜索dll 插件（就是你剛才在rundll32 模塊里找到的那個流氓軟件的插件），找到一處就點右鍵刪除注冊鍵值，然后按F3 繼續搜索，直到跳出個窗口說搜索完畢了，那就說明你已經很干凈地清除了流氓軟件，刪除剛才找到的文件夾，重新啟動電腦吧！

    注冊表的操作有幾個注意點：
1、不要亂刪鍵值，如果不小心刪除了某個重要的數據，電腦可能會發生問題的。
2、regedit.exe 里搜索時候，先點最頂端的我的電腦（注意：是注冊表編輯器里的“我的電腦”），這樣注冊表搜索能搜索得最徹底。

    注意：流氓軟件有時候會同時用兩個或以上的dll 文件對IE 進行捆綁，所以要把剛才的步驟做幾次，一個一個的解除dll 文件對IE 的捆綁。

   第17招：重新覆蓋網站所有代碼。如果是自己運行的服務器被別人入侵攻擊后掛馬，最直接的方法就是重新覆蓋網站所有代碼，更新系統補丁和帳號密碼等信息；其次，可以查看編寫程序代碼缺陷，如果利用網站自動生成系統，查看該系統的補丁程序；另外，可以配置WebGuard 網頁防篡改保護系統進行網站保護，該系統可以實時檢測網頁文件變化，即刻恢復到原始狀態，并發現哪些文件被修改。

   第18招：采用掘馬網頁木馬檢測系統。該系統除了可以進行網頁木馬定位，可以定位到某一行代碼，幫助網管人員在數以萬計的代碼中查找出隱藏的木馬，還可以做文件更新對比發現，可以發現哪些文件做了更新，這可以迅速定位到某個文件。

    第19招：部署SUS 系統，或者桌面管理系統。如果您是局域網的網絡管理人員，可以對局域網部署SUS 系統，或者桌面管理系統，該系統可以幫助大家進行補丁實時更新。當然了特別要關注瀏覽器更新內容，建議大家使用firefox 或者maxthon 等瀏覽器，并配置瀏覽器禁用腳本，如果能禁用圖片或動畫文件那也是比較安全的做法。

     第20招：時刻警惕：不要瀏覽陌生人發的網站鏈接或具有誘惑性的網站鏈接！
 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：拓步ERP資訊：常見網頁木馬識別防范20招

本文網址：http://www.guhuozai8.cn/html/news/1051519848.html