作为一名系统维护专员,经常遇到客户抱怨中了恶意网站的招,笔者也经历了无数次与恶意网站对决,一向以完胜告终。但最近遇到的一个恶意网中王却令我足足忙活了一下午,不敢独享,拿出来和各位读者分享。
客户的机器是Windows XP系统,补丁是Update后最新的,IE6也安装了最新的补丁,主页还是显示“about:blank”,但内容已经被恶意网站侵占。修改Blank页这种情况我还是第一次遇到,当时就觉得清除方法不像以前那么简单。
Step1: 拿出Spant(流行病毒专杀工具)查杀后恢复IE无效,用KV 2004最新病毒库检查也没有病毒。
Step2: 运行程序Msconfig.exe,在程序启动项,注册表中“Run”、“Runonce”、“Runservice”中都没有可疑程序加载,在System.ini与Win.ini和服务中也没有可疑的。
这下弄得我一身冷汗,以前还没有遇到过Spant不能查杀的恶意网站呢。
Step3: 既然Spant不能查杀,在注册表中常常提到的几项修改也会无效的,试着修改了注册表中的相应主页及首页键值,刚修改后启动IE没有问题。重新启动电脑后,恶意网站仍然历历在目。
Step4: 断开网络检查一下,启动IE,居然恶意网页全部清晰的显示出来,看来这个恶意页面并不是从网上而来的,已经在本机寄生(通常在断网的情况下会出现页面无法显示的提示)。
Step5: 看来是Blank这个页面被修改而存在本机,于是找到Blank.htm所在的位置C:\windows\pchealthhelpctr\System\panels\blank.htm,打开后发现页面是空白的,并没有恶意网页的足迹,看来和我想的不一样,病毒并没有修改Blank.htm这个页面。
Step6: 没有办法了,只好在网上搜索解决办法,还真是搜索到一些内容,在很多安全论坛中都有这个情况的讨论,情况居然和我遇到的一模一样,但都没有得到解决,所有遇到这个病毒的人的最后解决方法都是用Ghost恢复或者重装系统,就连重新安装IE也没用,3721等修复软件对它一点作用没有。
Step7: 这时候看到有人介绍黄山IE修复专家,下载安装后,先恢复IE,再选择“永久免疫”,重新启动计算机,这个顽固病毒终于被我清除了。
黄山IE修复专家
软件版本:7.41
软件大小:4226 KB
下载地址:点击下载
这个病毒的机理,应该是有相应程序的关联,因而修复后过一段时间或者重新启动又会恢复,所以各个启动项和杀毒软件都没能找出异常所在。