首先就是预防这类程序,是以后都不自动启动下载ActiveX,Script等等程序:
方法是
1 在IE上选择菜单"Tools","Internet options"
2 选择"Security"标签
3 按Custom Level按钮
4 在Settings列表框,选择所有有prompt(提示)的选择,
5 最后是连续按两次OK(确定)按钮
但是,以后你遇到有ActiveX,Script等编写的程序,你都要按Y或N按钮,去确认要不要下载这类程序.(我建议你除了出名或十分可信的网站,你都不要下载这些程序.因为有很多时,不下载它也可看动网页上的内容,其实这些程序,绝大多数都是广告.)
我早两星期中了一只木马病毒,是我所见的最麻烦,最难发现的木马病毒,因为他们知道微软犯了一个重大决策错误.这只木马病毒最可怕之处就是它其实有多只木马在一起,我不记得清楚是哪一个网址散播,可能是在这个网址http://www.8848.com上感染的,有兴趣可到这里一游.
下面是我如何去分析及删除这只木马病毒的过程,请先把登录档备份.因为这类病毒所有人都可以编写,没有一定形态,所以根本没有一个杀毒程式,可以杀掉所有的木马,在这里只是我的个人经验,你可能不是中了我的这只木马病毒,但不要紧,最重要是分析过程及微软所用的软件技术,因为我只是一个九流玩家,所以如果我说得有错误请原谅.首先我在工作管理员发现多有一个rasautou.exe的程式在我的机里(因为我以前没有看过它,所以我就首先检查它.),这个程序当我不上网时,它定时会跳出拨号上网的程序,要求你上网,上网后它会去一些网上商店.这其实并没有什么可怕,只要呼叫工作管理员,结束这程式,再找到这程式所在的目录,将它删除,它就不会发作,但好戏在后头.
在这只木马删除后,你就会每次开机后,都会不定时跳一个细小的IE窗口,当你在工作管理员看是否有其他EXE或DLL木马时,你都是找不到它,为什么呢?怎么没有任何程式执行下,依然可以执行这只木马?我虽然下载了最新的病毒程式,但是仍找不到问题.我只好靠我的有限的电脑知识,逐项分析.首先这只木马会不定时发作,这令我更加难对付它,但是如果我一直不用电脑或用其他程式如用Word,Excel,Access等等,它不会发作,而当我用IE时,它就会不定时跳出广告窗口,这时我用SPY++看这只木马,究竟执行了那个程式,答案是和我进入Windows时一样,再用Regedit看看IE有没有被人更改,但是也一样没发现,这时候我真是感到恐惧及愤怒,为什么微软的系统永远是那么薄弱,它叫人如何如何做,但永远自己不去做.没办法微软不可靠,只有靠自己.首先我唯有重新再思考,究竟这只木马用什么方法,可以在系统启动时不用微软事先设定的方法就可以执行,之后我发觉当我不执行IE而用档案总管,它都会发作,问题终于找到了,因为档案总管和IE是高度集成(真不知两都的分别),档案总管会在Windows启动时自动执行的,所以你进入Windows后,你可以执行工作管理员,会看到Explorer.EXE这个程序.因此有Windows就有档案总管,两者不能分开,微软这个重大的决策错误,令到有不怀好意的程序员,可以思考有哪些程序,可以一同与档案总管一起执行的呢?答案就是那些使用嵌入式技术控件或是设备驱动程序,我首先从嵌入式技术控件方面着手,因为这只木马是在执行档案总管时一起载入,所以我用Regedit查找,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU的节点内发现有几个值,其中一个是regsvr32 C:\WINNT\Downloaded Program Files\pagerevisor.dll\1,但是我在这个目录查找pagerevisor.dll时,什么也找不到,为什么呢?因为当你用档案总管看这个目录时,它不会直接显示档案名称,而是控件名称,没办法我唯有用"命令提示元",这个DOS SHELL去这个目录查一查,结果真的发现有这个程式,我试图将这个程式删除,但不能成功,因为这类ActiveX程式在系统执行时已经加载,所以在系统执行时不能删除,这样只有两个方法,一是在Regedit内找到所有的pagerevisor.dll项后删除它,,再重新开机,这样它就不会在Windows启动时就加载它,当它重启后,再删除这个档.二是在其他的操作系统
中删除它,因为我的机有多个操作系统,所以我选择第二个方法,我用这方法删除它后,一星期过去都没有再看到这只木马发作,我相信我已经成功将这只木马清除.
总结从以上的过程可以看到,第一步你要在工作管理员(选择处理程序标签),看一看有哪些程式正在运行,及逐个结束程式,如果在结束后,发觉你要对付的程序已经关闭,这证明这个程序就是你所找的了,记下这个程序的名称,如rasautou.exe,在档案总管寻找这个档案之后删除它就可以.
如果这些过程做完后,依然不能解决问题,你就到安装Windows的目录Downloaded Program Files内,例如C:\WINNT\Downloaded Program Files.看看哪些可疑的控件,例如pagerevisor.dll.首先按Del键,尝试可不以可直接删除,如果不能,就选择这个控件后按mouse的右键,菜单选择Property,看一看它有那些Dll,OCX或其他程式名称后,再在Regedit删除它,重新启动电脑,再到Downloaded Program Files目录,删除它就可以了.
