个人用户应对“恶意”网站全攻略


——选自200X年《电子报》第XX期XX版 作者：靳苑 二次编辑：花透

　　笔者近几日在网上几个论坛上闲逛发现有很多网友求助说自己被"恶意"网站给"黑"了，看看后面的跟贴发现有很多热心的网友给予了多种应付方法--有建议用什么IE修复器的、有告诉通过修改注册表来搞定的、有告诉注册表修改具体方法的、有让修改启动项的……但被"黑"的那些网友们的回复多数都是说这些方法均不见任何效果。

　　如果是在前几年的话，上面的应对方法还是非常管用的，但现在"恶意"站长们的技术水平是越来越高了，所以这些消极抵抗的方法多数都已失效了……（虽说是"恶意"网站，但很多都已经达到了"病毒"的程度！）

　　那就没有办法了吗？不是的！我们只要做好防御工作就不会再被动地"受气挨打"了！当然，如果您此时已经被"恶意"网站"攻击"了的话也不用灰心，笔者下面就分四大部分说一说如何做好防御工作和解决那些"恶意"网站的方法（重点是防而不在治）。

一、攻击"IE"浏览器的"恶意"网站。

　　※被"黑"症状：1、只要打开IE就会自动登陆到该"恶意"网站，而且本机主页已经被更改为该"恶意"网站了，更可恼的是根本无法再手动更改主页或改后其也能在重启后自动恢复"恶意"主页；

　　2、进入系统后自动打开IE并登陆该"恶意"网站，而且无论您怎么修改和删除，它仍会在您再次开机时自动恢复；

　　3、除了上面的两个现象外，IE还会不断地打开很多乱七八糟的窗口，甚至会让您的电脑系统资源耗尽而死机；

　　4、"IE"工具栏的"主页"和"搜索"按钮被改成某一固定的"恶意"网站地址。

　　5、有些"恶意"网站会对IE右键功能菜单进行修改并加入了一些乱七八糟的东西，有的甚至会将右键功能菜单屏蔽掉。您的电脑只要有以上的任一症状就证明您被黑了（注：下同）。

　　◎防御工事：笔者所说的防御不是安装"防火墙"软件而是进行"备份"——备份系统分区自然是最好的办法，但其太浪费空间且更新费时，所以我们只要备份正常状态下的"注册表"就行了。笔者强烈建议您使用 "超级兔子注册表优化"这个软件进行备份工作（如图1所示，点击看大图）， 该软件能将"classes.dat"、"system.dat"、"system.ini"、"user.dat"、"win.ini"等文件全部备份下来，上面提到的所有"恶意"网站均是通过修改这些文件来攻击IE的，所以被"黑"后只要再用"小兔"恢复正常的"注册表"就一切OK了！当然，对于第3种死机性攻击来说，您就要到"安全模式"下使用"小兔"进行恢复了。如果您没有进行这一备份工作而又不想格盘的话，就要使用下面的两个方法了。注：用此法备份和恢复"注册表"还能让多数的病毒失效！

　　◎"绕开"战术：笔者相信有些人在看到本文时早已经中招了，而且事先并未备份"注册表"，虽然系统会自动备份注册表（在"C:\Windows\Sysbckup"中），但通常都是近几日的，所以基本没有实际意义了！这时您不妨用"MwIE"来代替IE浏览器，该软件在启动时能够绕开主页而直接打开空白页，这一点能把上面的第2种网站拒之门外，而且使用它浏览网页时还能保护主页不被"恶意"修改。

　　您可到"http://www.superdown.com/soft/12235.htm"处下载"MwIE"（大小仅424KB）， MwIE除了能以空白页启动，而且其能滤除掉百分之九十五以上的各种网络广告，当然，您要在MwIE运行界面中单击"选项"中的"设置为缺省浏览器"才能让"MwIE"彻底取代IE浏览器（其运行界面如图2所示，点击看大图）。 注：安装完这个版本后要记得到“http://www.superdown.com/soft/17465.htm”处下载安装SP1升级包，这能提高稳定性和易用性以及加强广告屏蔽！

　　◎禁止大法：要想对付开机后就自动运行IE的"损"招，光是用"MwIE"代替IE是不够的，因为它在开机后就会让"MwIE"自动登陆那个"恶意"网站，即使您用MwIE的网址过滤功能（Ctrl+Q）将该"恶意"网址滤除掉，您也会因每次开机就要自动运行MwIE而感到心烦的，所以您一定要先用"超级兔子魔法设置"中的"自动运行"功能（如图3所示，点击看大图） 将那个随机运行的"恶意"网址项目删除掉后再用MwIE代替IE。

　　另外，除了存在一个网址启动项目外，很多攻击IE类网站还会生成一个更"狠"的启动项目，它的命令行通常是"regedit -s C:\Windows\system\*.dll"（注：*可能为任意文件名），其实这个"*.dll"文件是个注册表修改文件，它的作用很重要--当您把注册表中所有与该"恶意"网站相关的内容删除后，虽然当时再上网是没问题了，但只要您关机后再次开机时"*.dll"就又会将所有被您删除的"注册表"内容（包括启动网址项）自动进行恢复，恶梦将重新开始……所以说，如果您用"小兔"发现了这个"*.dll"文件的话就一定把该启动项目删除掉（最好把*.dll文件一同删除掉）。

　　注：即使您没有中招，笔者也强烈建议您用MwIE来代替IE！另外由于MwIE要使用IE内核，所以您千万不要把IE删除！

二、攻击"收藏夹"的"恶意"网站。

　　※被"黑"症状：此类网站会将您"收藏夹"中的内容更换成它们的几个网址（像是一些联盟），而且您原来收藏的网站将全部消失！更让您感到绝望的是从此以后您再也不能更改"收藏夹"中的任何内容了--无法打开Favorites文件夹！

　　◎"解封"大法：这种"恶意"网站多数都是通过修改"C:\ Windows\Favorites"中的"Desktop.ini"文件来达到目的的，只有极少数是通过修改注册表来实现的，所以您只能删除该文件来为收藏夹"解封"，不过有一些"恶意"网站也意识到了这个问题，所以他们又对"Desktop.ini"的内容进行了升级，这回您根本无法进入"C:\ Windows\Favorites"了，删除就更不用说了，不过好在我们可到DOS下进行删除（要先用"attrib -r -s -h"后才能将其删除）。另外，这些"恶意"网站通常并不会将原"收藏夹"中的内容删除掉，只是把它们放入了别一个文件夹中，这个文件夹通常名称和"Favorites"差不多（如"Favorites2"等），您如果想恢复原来的"收藏夹"的话只要剪切一下就可以了。

　　当然，上面曾经提到了，还有一部分此类"恶意"网站是通过修改注册表的方法将系统默认的"收藏夹"路径设置成他们所规定的目录（如"C:\ Windows\Favorites2"等），对于这样的"恶意"网站只要恢复正常的"注册表"就一切OK了，如果您没有提前备份正常注册表的话，也不用着急，您只要用"完美卸载"之"系统磁盘性能调整工具"（如图4所示，点击看大图） 将"收藏夹"再设置成默认路径（"C:\ Windows\Favorites"）即可。

三、自动安装式"恶意"网站。

　　※被"黑"症状：1、有的"恶意"网站会给您的电脑自动安装上它们制作的拔号程序，如果您中了招，那么您就可能要付出高额的国际长途电话费了，这才叫真正的"毒"！2、有的则会在您的电脑中自动安装"木马"程序。另外，这两种"损"招通常并不会被人们所察觉--程序非常小。

　　◎定期还原：对于第1种网站来说，通常我们没有什么太好的办法来解决它，因为我们即使将这些程序及其所在目录删除后它还会在开机时自动安装上的，只有极少数能用"兔子"禁止掉，绝大多数已完全达到了"阴魂不散"的程度，所以我们手工是根本就无法删除干净的--可以说除了格盘外根本就无法彻底将其删除，但格盘有些过于麻烦了，对于那些硬盘上有重要资料（或数据）的用户来说就更为麻烦了……最为麻烦的是有些已经改进到了您根本就不知道它在运行的程度，不过好在只要还原正常时的"注册表"就能完全禁止其随机运行了，所以我们只要定期还原正常的"注册表" 就不会因此而支付本不应该花的高额国际长途话费了。

　　对于第2种"恶意"网站来讲，它只是把拔号程序换成了"木马"程序，您同样可以用定期还原正常"注册表"的方法来解决它。

　　注：每周还原一次就行了，而且是指用"兔子"软件进行备份和还原。另外，鉴于5.0以上版本备份和还原时间过长，所以笔者建议您使用4.83版本（２分钟就能完成还原），您可到"http://jyun.go.nease.net/ Download/MyIE2.htm"处下载。

四、攻击系统的"恶意"网站。

　　※被"黑"症状1：有些恶意网站的网页中的代码能利用IE执行ActiveX的功能让您在毫不知情的情况下将硬盘某分区进行高级格式化等"毁灭"性的操作。

　　◎"断臂"大法：这种"恶意"网站虽然很少，但的确是存在的，虽说有的会有提示让您"反悔"，但其多数都已经做到"神出鬼没"了，如果您一但不幸中招的话，那您的损失可以说是惨重的，虽然对于这种"伤害"我们可以通过"EasyRecovery pro6.0"之类的软件来"弥补"，但毕竟是费时费力，当然，禁止IE的ActiveX也能摆平此类网站，但同时会造成某些正常网页的不正常，那怎么办呢？很好解决，您只要把"C:\Windows\COMMAND"中的"Format.com"、"Fdisk.exe"、"Deltree.exe"这三个程序文件删除或改名即可，因为这些"恶意"代码是需要这些程序才能够发挥"威力"的，所以只要砍断"恶意"代码的"臂膀"，您的电脑也就安全了！

　　※被"黑"症状2：中招后无法再运行任何以EXE为后缀的可执行程序，另外"运行"也无法使用了--就算是能用也没有任何意义了，因为"注册表编辑器"根本就无法执行，通过REG导入的方法来修改注册表也行不通，而且有的会使一些特定的关联文件无法运行或将所有驱动器隐藏起来或无法关闭系统或根本就进入了不系统，有的甚至会将用来呼出开机菜单的F8键都给屏蔽掉。

　　◎覆盖大法：对付此类"毒招"，您用笔者上面所述的任一方法都不会有任何效果，因为您什么也做不了，那怎么办呢？如果您没有提前做好注册表文件（共3个文件）的备件的话（指无压缩备份），那您就只能格式化硬盘后重装操作系统了，不过如果您事先已将"C:\Windows"目录下正常的"classes.dat"、"system.dat"、"user.dat"、"system.ini"、"win.ini"这五个文件备份下来的话就另当别论了。（注：WIN95和WIN98中可能没有"classes.dat"文件）

　　在系统正常时，在C盘根目录下新建一个名为"BOOT"的文件夹，然后将笔者上面提到的那五个文件（前三个为注册表文件）复制到BOOT文件夹中，等一旦中招后您先用一个加了写保护的干净启动软盘来引导电脑--对于屏蔽F8键的来说您不用启动盘根本就进不了DOS，进入DOS状态后利用COPY命令将这五个文件从"C:\BOOT"文件夹中覆盖复制到"C:\Windows"文件夹中，然后再拿出软盘并重新启动电脑，这时您会发现问题已经解决掉了。注：Windows 97及以下版本的操作系统用此方法无效！有时甚至会使整个系统瘫痪。注：有时要先用"attrib -r -s -h"命令才能在DOS下覆盖。

　　另外，现在还有一些"恶意"共享网站，它会将您电脑的硬盘设置成共享，这样您的网络安全就太危险了，但通常只要用"覆盖大法"和"防御工事"就能摆平了，不过一但无效您就要格盘重装系统了。

　　※被"黑"症状3：有些技术不是很成熟的此类网站只会锁住您的注册表，您从此后再也无法对注册表进行修改！除此之外一切正常。

　　◎还原基本法：最简单的就是这种了，用"小兔"还原正常注册表即可！

★结语：

　　虽然有一些另类非主流的"被'黑'症状"笔者在本文可能没有说到^_^，但上面的方法几乎可以将目前所有"流行"的"恶意"网站全部"消灭"！当然，不中"招"才是我们（及本文）最终的目的，所以您还是要本着"小心使得万年船"的原则去上网冲浪！鉴于通常"恶意"网站都是在非常具有"诱惑力"的外衣下让您"中招"的（如色情），所以您只要抵制住一些不正常的"诱惑"就基本可以远离"恶意"网站了。另外，现在有很多"恶意"网站开始通过即时通讯软件来传播了，方式虽然多种多样，但通常是在对方网友的每句话后面又发来了一个网址信息（通常是针对QQ的），有的还会附有一些带有"诱惑性"的话（如："看看我的样子"等），有的只是一个有着诱人域名的网址，对于这样的网址您最好不要去点击……

　　好了，不多说了，总而言之，上网已慢慢地融入了人们的生活，"恶意"网站也逐渐"融入"了网络，所以"斗争"就不能停止……上面说的到与不到的地方还望大家多多包涵，希望本文能让您远离"恶意"网站的骚扰……GOOD LUCK！

　

　　



［此帖子已被 花透 在 2004-6-12 5:12:25 编辑过］

我属于这样的1、只要打开IE就会自动登陆到该"恶意"网站，而且本机主页已经被更改为该"恶意"网站了，更可恼的是根本无法再手动更改主页或改后其也能在重启后自动恢复"恶意"主页；

　　2、进入系统后自动打开IE并登陆该"恶意"网站，而且无论您怎么修改和删除，它仍会在您再次开机时自动恢复；
[em53]

好！

去 下载一个 超级兔子啊

[em4]

[em75] [em75] [em75] [em75]

[em35]

我早就知道了

關於二樓的症狀，其實手工也可以解決的
1、開始->運行 打入命令“msconfig”(此命令在98，ME，XP中有效，2K無效，NT沒試過，不過2K和NT是同種內核的，估計也是無效)，
2、在“啓動”頁面中，找出帶有惡意網頁的網址的項，把前面的勾去掉，然後保存關掉，但先不要重啓，否則白費了，
3、再在運行中打入命令“regedit”,依次展开[HKEY_CURRENT_USER\Software\olicies\Microsoft\Internet Explorer\Control Panel]
找到"HomePage"=dword:00000000
只要将HomePage的键值改为“0”（“1”为禁用），这样保存后发现就可以修改主页设置了
警告：不熟悉系统设置的朋友，请三思而后行，不要随便更改原来的设置!本人不承担因此造成的任何后果!

顶了,我们学校那个很厉害的黑客.叫什么章的在不在的?[em11] 我很喜欢上面那个打火机.有空一起研究一下.我收藏了好几个zippo![em28]

那人卖打火机的。 呵呵
黑客我不是啦 小菜鸟

不是吧 花花
你在学校都这么大的名气啊[em9] [em9]
他不叫什么章
是章什么[em12] [em12] [em12]
还有咯,这段时间注意点哦
ASP的跳转漏洞,太厉害了.怕怕

这么厉害吗

嘿嘿，一点都看不懂~~反正我路过，顶一下下咯！

好的 不错的[em57]