www345com
Estrategias de respuesta antiintrusiones para navegadores IE
Huang Ke, escritor senior de "Computer News" (Apéndice de la edición de 2007 de "Computer News")
En su caso, al navegar por Internet, ¿se ha encontrado con las siguientes situaciones? La página de inicio predeterminada de IE se ha convertido en un sitio web extraño al realizar una búsqueda en la red, el motor de búsqueda predeterminado de IE ya no es el botón derecho del mouse; modificado sin motivo alguno; el registro está bloqueado... …Todos estos problemas se deben a que IE se modificó maliciosamente. A continuación le presentaremos las soluciones a los problemas por categoría.
1. Evite modificaciones maliciosas de la página de inicio de IE
1. Se ha modificado la página de inicio predeterminada
Método de limpieza: haga clic en "Inicio" → "Ejecutar", haga clic en "Ejecutar" Ingrese "regedit" en el cuadro y confirme, abra el Editor del Registro (siga este método para abrir el Editor del Registro a continuación), abra la rama "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main" y busque la "Página de inicio". "nombre del valor clave (se utiliza para configurar la página de inicio predeterminada), haga clic derecho en la ventana derecha para eliminar su valor clave, como se muestra en la Figura 1. Presione la tecla F5 para actualizar y que surta efecto.
Figura 1
2. Se ha modificado la página de inicio predeterminada de Microsoft
Método de limpieza:
Modificación manual del registro: Abra el Editor de registro, abra la rama "HKEY
_LOCAL_MACHINE\Software\Microsoft\Internet\Explorer\Main" en orden, busque el nombre del valor clave "Default_Page_URL" (utilizado para configurar la página de inicio predeterminada de Microsoft) y haga clic derecho -Haga clic en la ventana derecha, cambie el valor de la clave a "/start/". Presione la tecla F5 para actualizar y que surta efecto.
Importación automática de archivos al método de registro: ingrese el siguiente contenido en el Bloc de notas y guárdelo en cualquier directorio de la unidad C con cualquier nombre de archivo con la extensión reg, luego ejecute este archivo y siga las instrucciones. Confirme para importar correctamente el registro.
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"default_page_url"="/start/"
3. La función de configuración de la página de inicio está bloqueada
Método claro:
Modifique manualmente el método de registro: abra el editor de registro y abra: "HKEY_
CURRENT_USER\ Software\Microsoft\Internet Explorer", cree una nueva clave principal de "ControlPanel" y luego cree un nuevo valor DWORD con un valor clave de "HomePage" bajo esta clave principal, con un valor de "00000000", como se muestra en Figura 2. Presione la tecla F5 para actualizar y que surta efecto.
Figura 2
Método de importación automática de archivos al registro: ingrese el siguiente contenido en el Bloc de notas y guarde cualquier nombre de archivo con la extensión reg en cualquier directorio de la unidad C, y luego ejecute este archivo y siga las instrucciones para confirmar hasta el final para importar correctamente el registro.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ControlPanel]
"HomePage"=dword:00000000
2. Evite modificaciones maliciosas del menú de IE
1. Se agrega información ilegal a la barra de título de IE
Método de limpieza:
Modifique manualmente el método de registro: abra el registro. editor, abra la rama "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", busque el valor de la clave "Título de la ventana", ingrese el valor de la clave como "Microsoft Internet Explorer" y presione F5 para actualizar.
Luego busque la rama "HKEY_CURRENT_MACHINE\Software\Microsoft\Internet Explorer\Main", busque el valor clave "Título de la ventana" e ingrese el valor clave como "Microsoft Internet Explorer", como se muestra en la Figura 3. . Presione F5 para actualizar.
Importación automática de archivos al método de registro: ingrese el siguiente contenido en el Bloc de notas y guárdelo en cualquier directorio de la unidad C con cualquier nombre de archivo con la extensión reg, luego ejecute este archivo y siga las instrucciones. Confirme para importar correctamente el registro.
Figura 3
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Título de la ventana"="Microsoft Internet Explorer"
[HKEY_CURRENT_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Título de la ventana"="Microsoft Internet Explorer"
Colección 2.IE Los enlaces a sitios web ilegales se agregan a la fuerza a la carpeta
Cómo borrarlos:
Puede borrarlos manualmente directamente. Mueva el botón derecho del mouse al enlace del sitio web ilegal y haga clic con el botón derecho. el menú emergente y seleccione el comando "Eliminar". Eso es todo, como se muestra en la Figura 4.
Figura 4
3. Bloquee el menú desplegable de la barra de direcciones y agregue información de texto
Método claro:
Abrir el Editor del Registro, abra la rama "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar", busque el valor clave "LinksFolderName" en la ventana derecha, establezca su valor clave en "Enlace" y elimine todos los caracteres adicionales , como se muestra en la Figura 5. Presione la tecla F5 para actualizar y que surta efecto.
Figura 5
4. El elemento "Archivo fuente" en el menú "Ver" de IE está deshabilitado
Método claro:
Modifique manualmente el método de registro: abra el editor de registro, abra: rama "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions", busque el valor de clave "NoViewSource", establezca su valor de clave en "00000000" y presione F5 clave La actualización surte efecto.
Luego busque la rama "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions", busque el nombre del valor clave "NoViewSource" y establezca su valor clave en "00000000", como se muestra en la Figura 6. . Presione la tecla F5 para actualizar y que surta efecto.
Figura 6
Método de importación automática de archivos al registro: ingrese el siguiente contenido en el Bloc de notas y guárdelo en cualquier directorio de la unidad C con cualquier nombre de archivo con la extensión reg. luego ejecute este archivo y confirme completamente de acuerdo con las indicaciones para importar correctamente el registro.
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource"=dword:00000000
5. El motor de búsqueda predeterminado de IE ha sido modificado
<. p >Método de limpieza:Modifique manualmente el método de registro: abra el editor de registro, abra: rama "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search", busque el nombre de la clave "SearchAssistant" y cámbielo Cambie el valor clave a: "/{SUB_RFC1766}/srchasst/srchasst.htm", luego busque el nombre del valor clave "CustomizeSearch" y cambie su valor clave a: "/{SUB_RFC1766}/srchasst/srchasst.htm", como como se muestra en la Figura 7. Presione la tecla F5 para actualizar y que surta efecto.
Figura 7
Método de importación automática de archivos al registro: ingrese el siguiente contenido en el Bloc de notas y guárdelo en cualquier directorio de la unidad C con cualquier nombre de archivo con la extensión reg. luego ejecute este archivo y confirme completamente de acuerdo con las indicaciones para importar correctamente el registro.
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="/{SUB_RFC1766}/srchasst/srchasst.htm"
3. Prevenir otras modificaciones maliciosas
1. del mouse se agrega Enlaces a sitios web ilegales
Cómo eliminarlos:
Abra el Editor del Registro y luego abra: "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt" rama y cambie todo en la ventana izquierda. Las claves primarias que pertenecen a enlaces ilegales se eliminarán, como se muestra en la Figura 8. Presione la tecla F5 para actualizar y que surta efecto.
Figura 8
2. La función del menú emergente al hacer clic derecho está deshabilitada
Método de eliminación:
Modificar manualmente el registro. Método: abra el editor de tablas de registro, abra la rama "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions" en secuencia, busque el nombre del valor clave "NoBrowserContextMenu" y establezca su valor clave en "00000000", como se muestra en Figura 9. Presione la tecla F5 para actualizar y que surta efecto.
Figura 9
Método de importación automática de archivos al registro: ingrese el siguiente contenido en el Bloc de notas y guárdelo en cualquier directorio de la unidad C con cualquier nombre de archivo con la extensión reg. luego ejecute este archivo y siga las instrucciones para confirmar hasta el final para importar correctamente el registro.
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserContextMenu"=dword:00000000
4. Evitar que el registro se bloquee
La mayoría de las operaciones anteriores deben realizarse en el registro, pero muchas veces el registro no se puede abrir en absoluto, por lo que es necesario explicar aquí cómo solucionar el problema. de que el registro esté bloqueado.
1. Desbloquee el registro en DOS
Presione la tecla F8 al iniciar la computadora, luego seleccione el modo DOS o ejecute "C:>SCANREG/RESTORE".
2. Utilice el archivo "reg" para desbloquear el registro.
Utilice el Bloc de notas para editar un archivo de texto y guardar el archivo en formato "reg".
Ingrese el siguiente contenido en el archivo:
REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\system"DisableRegistryTools"=dword:00000000]
Después de guardar el archivo, simplemente impórtelo al registro de acuerdo con el método introducido anteriormente.
3. Utilice archivos HTM para desbloquear el registro
Utilice el Bloc de notas para editar un archivo de texto e introduzca el siguiente contenido en el archivo:
p>
< / HTML>
Al guardar el archivo, guárdelo en formato "htm" y luego ábralo.
4. Utilice el Editor de políticas de grupo para desbloquear el registro.
En Windows XP, podemos hacer clic en "Inicio → Ejecutar", ingresar "Gpedit.msc" y presionar Enter. Política. Luego expanda "Configuración de usuario → Plantillas administrativas → Sistema", haga doble clic en "Bloquear acceso al Editor del Registro" en la ventana derecha, seleccione "No configurado" en la ventana emergente, haga clic en el botón "Aceptar" y salga de "Grupo Política", para desbloquear el registro.
------------------------------------------- -------------------------------------------------- -- ----------------------------
ps: El contenido anterior está citado de Computer News
================================================ ==== =============================================== ==== =====================
Puede ser que haya software malicioso en la máquina una vez que encuentre el software malicioso. y desinstálelo, estará bien
Puede usar 360 Security Guard para mantener completamente el sistema y luego configurar la página de inicio
Si el cartel sigue así después de anti -virus, puedes probarlo con la ayuda de software de terceros
Por ejemplo, Super Rabbit: abre Super Rabbit --Crea tu propio sistema--Red--Configuración general--La página de inicio de IE se abre de forma predeterminada (modificar a www.hao123.com)--Aplicación--Confirmar--
====== ================= ================================= ================== ================================= ================
Acabo de ver algunas soluciones para usuarios que han sido infectados por este virus. Todas implican reinstalar el sistema. Muchas herramientas de eliminación especiales no están disponibles. Sí, si no le resulta conveniente reinstalar el sistema. Puede esperar hasta que la solución esté disponible para realizar el mantenimiento.
============================================ = =================================================== = ============================
8749 Un virus con una marca fraudulenta
(Número 32, 13 de agosto de 2007)
Carta del lector: Mi página de inicio de IE se ha cambiado a www.8749.com. La configuré como página de inicio original en las "Opciones de Internet" del navegador IE, pero después de reiniciar el sistema cambió a www.8749.com Incluso usando herramientas de seguridad como "360 Security Guard" y "Super Rabbit" todavía lo hice. no ayuda.
Quiero ingresar al modo seguro del sistema para repararlo, pero siempre aparece una pantalla azul. Realmente no hay manera. Me gustaría preguntar a los expertos en seguridad de "Informática Noticias", ¿estoy infectado por un virus? Si es así, ¿cómo borrarlo? ¡El software antivirus no parece funcionar!
Expertos en seguridad: Esto es causado por 8749, un virus muy popular con la naturaleza de software fraudulento. Muchos internautas lo han sufrido. Sus características han ido más allá del alcance del software fraudulento y pertenecen a la categoría de. software fraudulento. Un tipo de virus. Cuando un virus ataca, el fenómeno principal es que la página de inicio de IE del usuario cambia a www.8749.com y no se puede volver a la configuración original. De esto podemos saber que tiene una gran conexión con el sitio web 8749.com.
Aunque el propósito del virus es simple, adopta muchas medidas de protección "poderosas", que incluyen principalmente los siguientes puntos:
1. Los nombres de los archivos de virus generados son todos aleatorios , el propósito es evitar que los usuarios busquen métodos de eliminación de virus a través de nombres de virus. Y generará archivos de virus en varios directorios. Por ejemplo, el virus no solo generará archivos de virus en el directorio "system32" de la carpeta del sistema, sino que también generará archivos de virus en la carpeta de instalación de QQ (Figura 1).
Figura 1
2. Modifique el archivo HOSTS para evitar que los usuarios accedan a algunos sitios web seguros, y el virus actualizará automáticamente el archivo a través de Internet y también modificará el registro para lograrlo por sí mismo; -inicio del virus; y finalmente, es importante interrumpir la Restauración del sistema y el Modo seguro para evitar que los usuarios vuelvan a modificar la página de inicio.
3. Monitoreo de procesos y bloqueo de herramientas de seguridad que se encuentren en listas negras. Evite que los usuarios utilicen estas herramientas de seguridad para eliminar virus. El monitoreo de búsqueda cerrará la página web después de descubrir palabras clave que han sido incluidas en la lista negra. Esto hará imposible que los usuarios busquen "8749" en Baidu.
4. Inserte el archivo DLL del virus en el proceso del administrador de recursos "explorer.exe" para evitar exponerse en el "Administrador de tareas".
Lo anterior es una serie de comportamientos del virus en el sistema. Se puede ver que el virus utiliza una variedad de técnicas de virus populares para protegerse de ser eliminado por los usuarios. modificar el archivo HOSTS es similar a "Panda Burning Incense". El comportamiento de generar nombres de archivos aleatorios es similar al virus OSO, y el truco de cerrar páginas web con palabras clave prohibidas es muy similar al virus "AV Terminator" que presentamos. hace mucho tiempo.
Con tantas tecnologías combinadas, naturalmente no es fácil para los usuarios normales utilizar métodos habituales para volver a cambiar la página de inicio de IE. Para solucionar este tipo de virus, debemos utilizar el método de eliminar sus medidas de autoprotección capa por capa. Esta es la forma correcta de eliminar el virus.
El virus 8749 se elimina de esta manera
Dado que el virus tiene muchas modificaciones, es difícil eliminarlo manualmente, por lo que aquí utilizamos una herramienta de eliminación de virus específica para eliminarlo. virus. En cuanto a Utilizamos otras herramientas de seguridad para reparar el registro, archivos del sistema, etc. modificados por virus.
Paso 1: Primero descargue la herramienta para eliminar virus 8749 (dirección de descarga: /bzsoft/). Después de descargarlo y ejecutarlo, haga clic directamente en el botón "Iniciar escaneo" para ejecutar el antivirus (Figura 2). Además, el programa puede reparar modos seguros rotos.
Figura 2
Paso 2: Si QQ está instalado, debe desinstalar QQ y luego eliminar toda la carpeta QQ.
Paso 3: descargue "360 Security Guard", haga clic en el botón "Avanzado" en la interfaz principal del software, seleccione todos los elementos en la pestaña "Reparación de IE" y haga clic en el botón "Reparar ahora". De esta manera, se pueden modificar la configuración de IE manipulada, los archivos HOSTS y algunas configuraciones del registro (Figura 3).
Figura 3
Paso 4: active la restauración del sistema y seleccione un punto de restauración antes de que el sistema fuera infectado con virus.
Después de eliminar el virus de acuerdo con estos cuatro pasos, se recomienda ingresar al modo seguro para matar el virus nuevamente para evitar perderlo y evitar que resucite. Cabe señalar que existen muchas variantes del virus 8749 y es posible que las herramientas de eliminación especializadas no puedan detectar y eliminar todas las variantes. Por lo tanto, esperamos que evite visitar sitios web desconocidos durante este período para reducir las posibilidades de infección. por el virus.
Punto de vista del editor: si desea eliminar el virus, primero finalice el proceso
Los virus actuales son muy populares al adoptar tecnología de autoprotección, de modo que los usuarios no pueden eliminar el virus. a través de software antivirus. De hecho, por muy buenas que sean las medidas de autoprotección de este tipo de virus, inevitablemente habrá un fallo, y ese es el proceso. El proceso es siempre el núcleo del virus. Operaciones como monitorear las operaciones del usuario, cerrar el software antivirus y proteger archivos antivirus son inseparables del proceso.
Si puedes finalizar el proceso del virus, será equivalente a paralizarlo y será mucho más fácil resolverlo más adelante. Este truco está probado y es cierto. Para finalizar el proceso del virus, te recomendamos utilizar IceSword. Esta es una herramienta de seguridad muy poderosa, especialmente la detección del kernel del sistema, para que por muy astuto que sea el virus, no haya dónde esconderse.
============================================ === ===========================
Es posible que desees echar un vistazo a las estrategias de respuesta anteriores. pero en el especial "virus 345dh" Probablemente todavía era difícil empezar antes de que apareciera la herramienta para matar