熱點推薦:
您現在的位置: 電腦學習網 >> 網絡技術 >> 正文

IE自動彈出網頁怎么辦

2013-09-12 15:54:01  來源: 網絡技術 

  裘醫生接診了一位病毒受害者——王方。王方的《傳奇》賬戶被黑客盜走,雖然通過努力取回了賬戶,但還是有很多昂貴的游戲裝備消失了。因此,他懷疑電腦感染了病毒。在給他的電腦進行檢測的過程中,裘醫生發現電腦IE經常自動彈出網頁。當他觀察任務管理器時,發現有幾個“iexplore.exe”進程和一些陌生進程(如:updaterun.exe)。www.sq120.com推薦文章

  這時,裘醫生已經可以確診,王方的電腦感染了死神下載者病毒。這是一個非常狡猾的病毒,會造成很多殺毒軟件及個人防火墻軟件無故退出。該病毒運行后會從黑客指定的網站下載其他的病毒及木馬,下載的這些惡意程序會竊取用戶的網絡游戲賬號、密碼等信息,給用戶的信息安全帶來很大威脅。
病毒檔案
  死神下載者病毒可以通過郵件、惡意網站等途徑傳播,可以通過IE的漏洞對系統進行入侵。該病毒還可以在盤符下生成autorun.inf和可執行病毒文件,插入閃存就會被感染。由于該病毒采用的隱藏方式比較多,清理起來有些麻煩。
快刀斬病毒
  裘醫生自信滿滿地在王方的電腦上打開Process Explorer,首先觀察到幾個明顯的病毒進程(如:117929271962.exe、902.exe、Updat erun.exe等),對它們都可以通過右鍵菜單命令“Properties”查看屬性獲得其路徑(圖1),然后通過右鍵菜單命令“Kill Process”殺除該進程,最后刪除該進程文件。www.hbhskj.tw

  進行以上操作后,裘醫生發現了幾個可疑的進程,貌似系統進程卻可能是病毒的載體。于是,裘醫生右鍵單擊一個rundll32.exe進程選擇“Properties”命令,果然發現它的Command line為“C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vxlu\ihve.dll,Service –s”。其實這就是運行了ihve.dll這個病毒程序的結果。
  右鍵單擊該進程選擇“kill Process”命令予以殺除,接著進入相應目錄刪除病毒文件。對另一個rundll32.exe進程和rundll2000.exe進程加載的病毒進行類似操作也是必要的。
  裘醫生還發現系統啟動了幾個iexplore.exe進程,這些進程在做什么呢?右鍵單擊其中一個IE進程選擇“Properties”命令,發現它的Command line為“C:\Program Files\Internet Explorer\IEXPLORE.EXE“ http://www.zhugui1234.cn/qq/qb.htm”,也就是調用IE連接“ http://www.zhugui1234.cn/qq/qb.htm”這個網址(圖2)以連接病毒下載網站和廣告彈出網頁。 對三個IE進程都進行“Kill Proc ess”命令操作予以殺除就可以了。

病毒隱身照樣殺
  以上操作還是不能保證重新啟動后,系統不被隱藏極深的病毒破壞。因此,裘醫生決定對系統做一次深入的“全面體檢”。
  裘醫生使用擅長調整修復系統的SREng來分析系統。一打開SREng就彈出警告信息,顯示為API Hook錯誤(圖3)。API HooK技術是一種用于改變API系統函數執行結果的技術,可以被病毒用來隱藏自身。

  裘醫生點擊“修復入口點錯誤”按鈕以查出隱身的病毒。當SREng切換到“啟動項目”選項時,馬上彈出警告信息,提示注冊表值Userinit被修改。病毒很可能通過該鍵值進行了加載,打開該鍵值發現被修改成了“C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\tGGRk.exe”,而正確的應該是“C:\WINDOWS\system32\userinit.exe,”修改回來并刪除tGGRk.exe。
  通過上面的清除發現病毒文件有些是通過服務加載的。切換到“服務”選項,點擊“Win32服務應用程序”按鈕,在彈出的窗口果然發現了病毒的服務,接著就嘗試刪除所有病毒服務和病毒服務的映像文件。打開超級巡警,在超級巡警的“服務管理”選項,右鍵單擊病毒服務,選擇“刪除服務和映像文件”命令即可。
  由于死神下載者病毒下載了木馬病毒來控制感染病毒的電腦。接著就是清除死神帶來的木馬了。選擇超級巡警的“進程管理”選項,檢查Explorer.exe這個系統Shell進程發現了灰鴿子2007的服務端文件G_Server2007.dll,于是右鍵單擊該文件選擇“強制卸載標記模塊”命令,然后刪除該文件即可。

 
什么是IEFO劫持   這兩周惡性病毒AV終結者瘋狂肆虐網絡,出現當日就“宰殺”幾十款國內外知名殺毒軟件及防火墻,該病毒使用一種名為IFEO劫持的技術,導致眾多殺毒軟件無法運行的原因也在于此,普通網民或許會問究竟什么是IEFO劫持?
  IEFO劫持也稱為Windows文件映像劫持技術,在Windows注冊表中有一項Image File Execution Options,主要用于調用對應程序,系統默認必須要有超級管理員級別用戶才有權修改。
  當此項被用戶誤改或發生故障時應用程序就會混亂,用戶會發現運行的并不是自己指定的程序,例如雙擊IE后卻跳出了Outlook的窗口,運行Word卻打開了Excel,應用程序之間互相覆蓋,這時就出現了映像劫持現象。通常這種情況很少發生,即使發生了多半也都是由于部分程序寫入注冊表時無意破壞了此項。
  而AV終結者正是利用了這個少有人注意的地方,病毒侵入系統后首先竄改注冊表中的Image File Execution Options項,查找系統中安裝的安全類軟件并在此替換為自身。
  由此就出現了用戶打開殺毒軟件時絲毫沒有反應或運行了其他程序,這時殺毒軟件已經被病毒屏蔽重新定向了,系統此刻調用出來的正是病毒。于是有用戶不停點擊殺毒軟件希望能啟動,卻不知這是在不停運行病毒文件,直到最后大量病毒同時運行系統資源耗盡。
  可以說映像劫持技術為眾多惡性病毒又提供了一條逃避追殺的方法,通常的反病毒技術都會先從系統啟動項、系統服務等處攔截病毒開機自動運行。而一旦病毒利用IFEO技術劫持了殺毒軟件致使開機后系統自動加載殺毒軟件時卻自動運行了病毒。
  同時,映像劫持實施容易,只要在Image File Execution Options項下多加一行代碼就能劫持對應程序,可以說稍懂注冊表的人都能做到。這就讓人不得不擔心一些病毒制作者看到AV終結者大獲成功后,紛紛將目標瞄準于此,導致映像劫持技術泛濫,類似的病毒將蜂擁而出,網絡安全面臨嚴峻威脅。因此當前要嚴密防范此技術的濫用,不可掉以輕心。
下周安全情況預警 高
  病毒名稱:AV終結者(Win32.Troj.Poseidon)
  病毒類型:Win32病毒
  危害程度:★★★★☆
  中毒癥狀:鑒于AV終結者強大的破壞力且極有可能衍生變種,本周繼續預警。終止并破壞大量殺毒軟件運行,感染可移動存儲設備,無法進入安全模式,下載其它病毒木馬。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\釋放隨機8位數字字母組成的.dll與同名.bat文件。
  解決辦法:下載最新專殺(http://zhuansha.duba.net/259.shtml),及時升級殺毒軟件嚴密監控。  
ie7無法打開網頁 最近有有網友反應在ie7更新之后,出現無法打開網頁的情況,不要急,現在大家來看解決方法:如下設置  "設置"-"反黑客"(防火墻),"啟用防火墻"點"設置"-"應用程序規則"里找到iexplore.exe進程后雙擊,彈出對話框刪除里面所有規則,再點"預置(模塊)"選擇"允許所有"即可!  
From:http://www.hbhskj.tw/Article/Network/201309/456.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.   
    体彩内蒙古十一选五82