電腦最近出了一點問題..我的首頁原本都是用雅虎的.但最近只要是在開機後都會變成如下的網址.http://%70%6A%78%74%73%78%2E%74%2E%7...70%2E%70%68%70
從IE裡將首頁改成雅虎後.下次再開機.又會再變回來.從登錄檔裡改也是一樣.我是覺得不太像是首頁被綁架.比較像是系統出了問題.有人知道是為什麼嗎?謝謝
 |
|
電腦最近出了一點問題..我的首頁原本都是用雅虎的.但最近只要是在開機後都會變成如下的網址.http://%70%6A%78%74%73%78%2E%74%2E%7...70%2E%70%68%70
從IE裡將首頁改成雅虎後.下次再開機.又會再變回來.從登錄檔裡改也是一樣.我是覺得不太像是首頁被綁架.比較像是系統出了問題.有人知道是為什麼嗎?謝謝
搜尋"首頁綁架"應該有很多你的答案
我已經試過了.而且這網址是個亂碼..根本沒有這個網站..不太像是首頁被綁架.
<span style="filter:glow(color=3CB371,strength=4);width:100%;color:#3CB371;font-family:Comic Sans MS;font-size:18;font-weight:bold">No desire, No pain.</span><p><span style="filter:glow(color=FF4500,strength=3);width:100%;color:#FF8C00;font-family:Comic Sans MS;font-size:18;font-weight:bold">Before Asking, You should RTFH, RTFM, STFW...</span>
徹底清除登錄檔中的駭客程式
本文摘錄自旗標 F038「Windows XP 登錄檔嚴選密技」一書
2004.01.08
近來由於 ADSL 十分普及, 加上連線費用都採無限時數上網的月費方式, 因此包括筆者在內, 許多人已經習慣讓電腦持續連線, 保持 Always-online 的狀態。不過此舉卻也增加了電腦被駭客入侵的風險, 而本章的主角『駭客程式』正是不肖之徒的作案工具。
駭客程式運作的原理
駭客程式也稱為後門程式, 它通常是由一對 Server 端與 Client 端程式所組成, 一般 Server 端會常駐於被害者的電腦提供入侵管道, 而 Client 端則負責與 Server 端連絡, 也就是駭客實際入侵的工具。這兩者只要缺了一個, 駭客們就無法成事。至於 Server 端程式是如何進入被害人電腦中, 想必也令許多曾被駭客入侵的使用者感到莫名奇妙。其實散佈 Server端的手法, 依據駭客本身的功力而有所不同,一般比較常見的有下列 4 種途徑:
◇利用 E-Mail 散佈:將 Server 端程式隱藏於圖片或 遊戲程式中, 然後利用 E-Mail 附加檔案發送出去, 收件者只要開啟圖片或啟動遊戲, 後門程式就會開始運作。
◇暗藏於免費軟體供人下載:有些不肖的軟體下載網站,常會將 Server 端程式整合於一些常見、好用的工具程式中 (如:WinZip、Winamp), 然後供網友免費下載。使用者只要執行這些動過手腳的程式, 連帶就會將後門程式安裝到系統中。
◇透過網頁技術:為方便網站和瀏覽者間的互動, 目前有許多網路技術都可以將資料寫入使用者的電腦中, 如:ActiveX、Java 等。一些深諳程式設計的高手, 便會利用這種技術來散播 Server 端程式, 使用者只要瀏覽網頁就會遭殃。
◇使用軟體漏洞:最後一種方式是最難防範的, 就是利用軟體或作業系統先天設計不良所產生的安全性漏洞,來入侵被害者的電腦。有心人士會利用這種漏洞, 誘騙軟體或系統主動執行駭客程式, 便可在使用者電腦安插隱秘的後門, 以供日後入侵之用。此種散佈管道唯一的防範方法, 就是隨時注意軟體設計公司是否有釋出修補程式, 並確實依照說明將修補程式安裝到電腦上, 以防堵無孔不入的駭客。
駭客程式常駐足的機碼
看到這裡您可能還是一頭霧水, 『駭客入侵和登錄檔有什麼關係?』
前面說過, Server 端與 Client 端兩者都是駭客入侵必備的工具, 不過即使駭客想盡辦法將 Server 端程式植入被害者的電腦中, 如果 Server 端程式未被執行, 整個入侵行動還是無法進行。那要如何確保 Server 端在植入電腦後會被執行, 甚至在重新開機後也繼續運作?答案就是利用登錄檔。
一般電腦在開機之時, 有不少程式會自行啟動, 甚至常駐於系統中, 這都是系統根據登錄檔中的內容來執行的結果。而駭客們只要將後門程式偷偷加入這個啟動清單中, 日後 Server 端程式就會不斷在被害人的電腦中反覆執行。
駭客程式最常駐足的登錄檔機碼多半都是位於 " HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion" 或 " HKEY_LOCAL_MACHINE@SOFTWARE
@Microsoft@Windows@CurrentVersion" 兩個機碼之下, 詳細的位置如下表所示:
HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunServicesOnce HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunServices HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunOnce@Setup HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunOnce HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@Run HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunServicesOnce HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunServices HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunOnce@Setup HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunOnce HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@Run
雖然目前網路上有流傳不少清除後門程式的工具軟體 (如:Trojan Remover、Iparmor ), 都可以有效對付這些不速之客。不過一般人往往是等到電腦被明顯破壞、或是資料遺失了, 才會發覺電腦被入侵, 然後才思考補救之道。
其實如果平時能多留意上述說明的這些機碼位置, 看看系統中是否有莫名的程式會在開機之時自行啟動;如果查覺到不對勁, 可以先移除可疑的登錄值, 或是利用一些工具清除駭客程式, 就可收到防患未然的效果。
NetSpy 程式的清除實例
接著我們便以一個網路上知名的駭客程式 - NetSpy 為例, 說明如何靠著查找登錄檔, 找出駭客作亂的根源, 並進一步將之清除殆盡。
NetSpy 是由大陸玩家所設計的程式, 它的操作簡單、功能單純, 即使不具網路基本概念也能輕鬆使用, 因此深受不少功力不深的駭客玩家們喜愛。目前該軟體雖然已經逐漸轉型為正當的遠端監控程式, 但是舊版程式在網路上仍廣被流傳。
由於 NetSpy 檔案小、佔用的系統資源也不高, 即使電腦不幸被植入 Server 端程式, 一般人往往也無法察覺。不過和其他駭客程式相同, NetSpy 也會在登錄檔中寫入登錄值, 以確保被害人每次開機時 Server 端程式都會運作, 因此您只要一一清查前面提及駭客程式時常駐足的機碼, 很容易就可以把它揪出來:
1. 執行「Regedit」
2. 假設在" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Winodws\CurrentVersion\Run "機碼下發現 " Netspy "。
3. 選取" Netspy "按" Delete "鍵將其刪除。
PS.提醒您,不要任意更改其他的機碼,以免造成系統 毀損如果在機碼中找不到 Netspy 表示電腦中沒有被此駭客程式入侵。詳細的操作畫面請參考:
F038 Windows XP 登錄檔嚴選密技
5. 重新開機後,執行「開始 / 搜尋」找出" NetSpy.exe"後,將其刪除即可。
刪除 NetSpy 的 Server 端程式後, 駭客就無法再輕易入侵您的電腦, 為求慎重起見, 您也可以再以 Trojan Remover 等後門程式清除工具, 徹底清查系統上是否還有其他可疑的程式在活動。
我是使用HijackThis再加上Ad-aware將系統掃過一遍.問題就解決了.謝謝大家提供的方法..
發表文章規則
| XML | RSS 2.0 | RSS |
本討論區所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email:[email protected] 處理。
回覆時引用此文章
書籤