作者:孤剑
Copyright 2004 © AloneSword
今天早上来,准备好好的做作东西,刚刚打开IE,就出现了http://7mao.com(该网址为娱乐性网站)。纳闷了,我的机器时重来不设置主页的,白白的东西多么清爽阿!怎么能这样了!立马感觉不对经,果不然,IE被劫持了!
所有IE启动页面都被倒入到该网站去了,虽然没有什么大妨碍,但是自己还是喜欢IE清爽的界面,不喜欢被谁安排(这个可能和个人性格有关),所以翻出hijackthis扫描一下IE,果然发现一个不明进程
C:\windows\hws.exe
这个东西是什么啊!好像没有见过哦!
于是google一下,果然发现是不良分子。
(毒霸发布的关于该病毒的公告:http://db.kingsoft.com/c/2004/04/05/110530.shtml)
嘿嘿!这下可好,还在担心今天工作无味了,现在又有了可干的了!在全机通缉hws.exe,杀毒!
症状:
1。天网防火墙进程被hws.exe杀害(这个在后面的可以看到);
2。IE主页被修改,而且正常情况下是不让你改回来的;
3。当你编辑主页表时,提示:“注册表已经被管理员锁定”
我目前发现这些症状,可能还有其他,由于有工作在手没有认真研究,谁可以认真研究一下。
没说的:
1。用procexp(推荐工具,作用:查看当前运行程序的相关进程,虽然有系统进程查看器,但是个人感觉还是这个东西的功能强大,可查到任何运行的进程,并看到与此进程关联的一些数据,居家必备武器)先查查hws.exe的在本地的老家是:%systemroot%\system32\,没有什么说的。kill hws processing and delete %systemroot%\system32\hws.exe
2。解锁注册表。这个方法比较多,可以自己写一个注册表文件倒入注册表解锁,也可以找一个工具,由于今天比较特殊,所以就用了Duba_RegSolve工具解锁注册表(使用此工具,可使IE属性状态全部正常化);
(ps:编辑一个注册表文件倒入到注册表也可,内容如下:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
)
3。开始-〉运行-〉regedit
注册表内通缉hws.exe和捆绑的IE主页内容(http://7mao.com),杀无赦!
4。再用hijackthis 1.98扫描一下IE,嘿嘿!一切恢复正常!
嘿嘿!看来今天又增添了些自信心了!
总结:
1。不能完全相信杀毒软件。这期间我用norton antivirus 2004 对系统下的hws.exe扫描,居然没有发现病毒!晕!明明它在没有通知我得情况下修改了我的IE阿!
所以,不能完全相信杀毒软件,但是上网时这个东西和防火墙是不能或却得两个安全保障;对于杀毒软件,就像对待书本一样:不能无书,又不可尽信书。
2。系统出现异常时,要随时检查系统,防止黑手;
3。本着学习的态度,我把hws.exe拷贝了一份用uedit32.exe看了看,发现一些常用的杀毒软件进程是会被它给干掉的,看看下图就知道了!
4。注册表还是windows的核心,有什么东西还是在里面多瞧瞧!这次hws.exe也是在里面该得一些东西,可以对照刚才在注册表里面的东西看一些,学习学习。
4。推荐一些常用软件:
软件名称
程序名称
作用
Hijackthis 1.98
Hijackthis.exe
检查IE必备工具(强烈推荐)
Process Explorer
Procexp.exe
查看进程及相关信息(GUI界面)
Duba_RegSolve
Resolve.exe
修复IE工具及查看启动项目