堅決與惡意網站作鬥爭，分享實戰經歷(轉)

堅決與惡意網站作鬥爭，分享實戰經歷(轉)[@more@]　　作為一名系統維護專員，經常遇到客戶抱怨中了惡意網站的招，筆者也經歷了無數次與惡意網站對決，一向以完勝告終。但最近遇到的一個惡意網中王卻令我足足忙活了一下午，不敢獨享，拿出來和各位讀者分享。

　　客戶的機器是Windows XP系統，補丁是Update後最新的，IE6也安裝了最新的補丁，主頁還是顯示“about:blank”，但內容已經被惡意網站侵佔。修改Blank頁這種情況我還是第一次遇到，當時就覺得清除方法不像以前那麼簡單。

　　Step1:拿出Spant(流行病毒專殺工具)查殺後恢復IE無效，用KV 2004最新病毒庫檢查也沒有病毒。Step2:執行程式Msconfig.exe，在程式啟動項，登錄檔中“Run”、“Runonce”、“Runservice”中都沒有可疑程式載入，在System.ini與Win.ini和服務中也沒有可疑的。

　　這下弄得我一身冷汗，以前還沒有遇到過Spant不能查殺的惡意網站呢。

　　Step3:既然Spant不能查殺，在登錄檔中常常提到的幾項修改也會無效的，試著修改了登錄檔中的相應主頁及首頁鍵值，剛修改後啟動IE沒有問題。重新啟動電腦後，惡意網站仍然歷歷在目。

　　Step4:斷開網路檢查一下，啟動IE，居然惡意網頁全部清晰的顯示出來，看來這個惡意頁面並不是從網上而來的，已經在本機寄生(通常在斷網的情況下會出現頁面無法顯示的提示)。

　　Step5: 看來是Blank這個頁面被修改而存在本機，於是找到Blank.htm所在的位置C:windowspchealthhelpctrSystempanelslank.htm，開啟後發現頁面是空白的，並沒有惡意網頁的足跡，看來和我想的不一樣，病毒並沒有修改Blank.htm這個頁面。

　　Step6: 沒有辦法了，只好在網上搜尋解決辦法，還真是搜尋到一些內容，在很多安全論壇中都有這個情況的討論，情況居然和我遇到的一模一樣，但都沒有得到解決，所有遇到這個病毒的人的最後解決方法都是用Ghost恢復或者重灌系統，就連重新安裝IE也沒用，3721等修復軟體對它一點作用沒有。

　　Step7: 這時候看到有人介紹黃山IE修復專家，下載安裝後，先恢復IE，再選擇“永久免疫”，重新啟動計算機，這個頑固病毒終於被我清除了。

　　這個病毒的機理，應該是有相應程式的關聯，因而修復後過一段時間或者重新啟動又會恢復，所以各個啟動項和防毒軟體都沒能找出異常所在。