1. 關於自動彈出窗口
彈出網頁或定時彈出網頁的解決辦法
啟動時彈出對話框
1.系統啟動時彈出對話框,通常是一些廣告信息,例如歡迎訪問某某網站等。
2.開機彈出網頁,通常會彈出很多窗口,讓你措手不及,惡毒一點的,可以重復彈出窗口直到死機。
解決辦法:1.彈出對話框。打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主鍵,然後在右邊窗口中找到"LegalNoticeCaption"和"LegalNoticeText"這兩個字元串,刪除這兩個字元串就可以解決在啟動時出現提示框的現象了。
彈出網頁
解決辦法:點擊"開始-運行-輸入msconfig",選擇"啟動",把裡面後綴為url、html、htm的網址文件都勾掉。
IE窗口定時彈出
中招者的機器每隔一段時間就彈出IE窗口,地址指向網路注氓的個人主頁。不曉得是不是網路流氓以為這樣你就會經常光顧?
解決辦法:點擊"開始-運行-輸入msconfig",選擇"啟動",把裡面後綴為hta的都勾掉,重啟。
突然彈出很多IE窗口
具體操作方法如下:
1、彈出了一大堆IE窗口,而且還是不停地繼續彈出,滑鼠點擊"X"的速度遠比不上它
2、這時候不要急,按Ctrl+Alt+Delete叫出任務管理器
3、在"進程"選項卡裡面找到"iexplore.exe",點擊它,再點擊"結束進程",就會把所有的IE窗口全部關掉並且不會再彈出新的IE窗口。
這樣做雖然會丟失部分沒有查看過的網頁,但與強行關機對系統的傷害相比簡直微不足道,解決這一問題的時候最重要的是不能手忙腳亂,要耐心而穩,因為大量彈出IE窗口會大量佔用系統資源,而且CPU佔用率會提高到100%,打開任務管理器可能會很慢,等的時間會稍微長,但絕對可以解決,除非已經死機。
幾類需手工解除的惡意代碼詳解
1.開機彈出網頁
症狀 : 開機就會彈出網頁,通常都會彈出很多窗口,讓你點個措手不及.
解決步驟 : 開始-運行-(輸入)msconfig-啟動-把裡面有網址類的,後綴為url的,html的,htm的都勾掉
2.每次啟動後注冊表就會被更改
解決步驟 : 開始-運行-(輸入)msconfig-啟動,把運行的文件名不一定的,不過參數裡面有個regedit-s
加文件名的項勾掉即可(記得先解決這個後再修復注冊表)
3.每隔一段時間就彈出ie窗口
症狀 : 這是個比較特殊的例子,這個惡意代碼利用hta的特性,隱藏掉窗體,然後一段時間就彈出網頁,超煩人.
解決步驟 : 開始-運行-(輸入)msconfig-啟動-把後綴為hta的都勾掉
1.有些會在開機時自動打開IE的:
1A.請看看你的「啟動」菜單里是不是多了一些陌生的文件(***.hta)..把它刪除就沒事了。
1B.如果沒有(***.hta)文件的,請打開注冊表「開始 -> 運行 ->
regedit」進入注冊表,來到「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」,看到有網址的直接刪除就是了。
1C 點「開始」菜單 再點 「運行」 運行msconfig.exe 點啟動標簽後去掉沒用的啟動項 後重啟就好
1D.上面3個方法都不行的:
請先打開你的文件夾選項,將"顯示所有文件"打開,再用WIN**的搜索功能查找有關自動打開的"網址"
將找到的文件(一般為HTM網頁文件)刪除、並記下文件名(F);
再到注冊表裡搜索剛才查到的"文件名(F)",將找到的欄位刪除就可以了。
2.修改右鍵菜單(右鍵菜單里多了一些網站連接的):
2A.如果右鍵中有網站連接。請打開注冊表(C:\Windows\Regedit.exe),查找有關該連接名的鍵值,將找到的(一般只有1個)刪除就OK了。
2B.或者直接通過「開始 -> 運行 -> regedit」進入注冊表,來到
「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt」位置,點擊文件夾的
「+」號,我們可以看到常見的下載軟體網際快車右鍵下載等等的信息 ,直接刪除您不想要的即可。
如果手動不能刪除的話
建議使用下面的軟體
惡意軟體清理助手 V1.96 Build 020 去廣告綠色特別版
http://soft.studa.com/downinfo/15862.html
Windows流氓軟體清理大師 V3.3免安裝特別版
http://www.lwdown.com/downinfo/4113.html
另:使用電腦的過程中,彈出窗口我們經常遇到,一些是對應我們的操作必須出現的,而有些則是被動接受的。尤其是各種廣告窗口更是無孔不入,防不勝防,這些彈出窗口嚴重影響了電腦的正常使用,甚至會造成電腦出現一定時間內「假死」的現象,那麼我們應該如何對付它們呢?
問:電腦經常自動彈出一些非法廣告頁面,用禁止彈出窗口等諸多軟體也無法禁止,查殺病毒也未發現任何異常,我是沒轍了,請問有什麼方法可以解決嗎?
答:這是共享版的FlashGet加入的廣告,你一定是運行了FlashGet才會出現的,注冊軟體後廣告即可消失。另外還有一個方法可以對付它,如果你安裝的是Windows 2000/XP/2003操作系統且處於NTFS分區格式下,那麼可以使用文件夾許可權來禁止,以Windows XP為例,首先退出FlashGet,找到C:WindowsCache277文件夾(這個文件夾用於存放廣告文件)。滑鼠右擊該文件夾,在彈出的快捷菜單中選擇「屬性」命令,切換至「安全」選項卡,將許可權角色刪除掉,接著單擊「高級」按鈕,然後取消勾選「允許將來自父系的可繼承許可權傳播給對象」復選框,這樣以後任何用戶都無法訪問這個文件夾了,當然FlashGet對它也不起作用了。
問:瀏覽網頁時經常碰到彈出淘寶網的廣告,奇怪的是,屏蔽廣告軟體對這種彈出廣告沒有任何效果。請問如何禁止它彈出呢?
答:這類彈出廣告的原理是利用瀏覽器的IE內核來調用IE窗口。據悉,淘寶網是由www.unionsky.cn網站代理的,各種彈出窗口也都是通過這個網站中轉到淘寶網的,我們只需在Hosts文件中禁止這個網站即可。在C:WINDOWSsystem32driversetc下找到hosts文件,用記事本打開它,加入「127.0.0.1 」,然後以ANSI編碼的形式保存到原來位置。這一招不但在這里起作用,對諸多彈出窗口都可以起到禁止的作用,你只要將彈出網頁的地址以「0.0.0.0 網頁地址」的形式依次加入就可以禁止想要禁止的彈出網頁了。
問:電腦總是莫名其妙地彈出信使服務窗口,內容都是一些無用的非法廣告,只要一上線就會出現,請問用什麼方法可以根除?
答:Windows 2000/XP操作系統在開機時,自動啟動了自帶的Messenger服務,可以接收、發送彈出消息給其他電腦。這個功能被人惡意利用,造成了信使廣告滿天飛的現象。我們可以通過以下方法來禁止:依次選擇「控制面板→管理工具→服務」,在出現的「服務」窗口中找到「Messenger」項並雙擊,接著在彈出的「Messenger屬性」對話框中選擇「常規」選項卡,將「啟動類型」改為「已禁止」並單擊「停止」按鈕即可。
問:瀏覽網頁時經常會彈出一些認證的對話框,比如網路實名、點點通等,每次遇到這類現象,電腦就會停止響應一段時間後彈出認證窗口,感覺好煩!所以我禁止了ActiveX控制項,雖然這些東西不彈出來了,但有時候訪問銀行網站或Flash等那些需要安裝插件才能正常瀏覽的網站時就不正常了,請問有什麼兩全其美的方法嗎?
答:畢竟這些插件是安裝一次就可以永久性使用的,所以在需要安裝插件時,你可以把ActiveX控制項啟動,等安裝完成後,再禁止就可以了。另外給你推薦一個很不錯的軟體——Anti ActiveX nags,它可以屏蔽42種擾人的窗口,基本上可以擺脫認證對話框的困擾。
問:我發現電腦一開機就會自動彈出IE並打開一些無聊的網站,另外在瀏覽網頁時也經常會彈出IE窗口。請問我該如何去除它們,還電腦一個干凈呢?
答:這類情況一般都是你的電腦被惡意網站修改,在開機啟動中加入了非法啟動項,並修改了注冊表所造成的。由於修改注冊表過於復雜且易造成系統崩潰,因此我們建議安裝修復軟體來恢復系統,比如「IE修復專家」、「注冊表IE修復器」等軟體都可以幫你清理干凈。
編輯提示:目前針對彈出窗口的軟體和瀏覽器越來越多,就連Windows XP SP2也加入了禁止彈出窗口的功能。充分使用這些功能可以禁止絕大部分的彈出窗口,但由於互聯網的特殊性,我們很難做到百無一漏。非法彈出窗口與反非法彈出窗口的斗爭將繼續進行下去。
參考資料:http://..com/question/9695585.html和自己的匯編
2. 開機彈出命令提示窗口
恭喜你中毒了
關於rundl132.exe vidll.dll LOGO1.exe cmd.exe 0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe的清除方法
進程文件: rundl132 或 rundl132.exe /�Z���V7��
進程位置: windir ,q@y� P�j1
程序名稱: Troj_AutoCrat.b.enc或Worm.Viking.cp威金 y)(x�Nspi�
程序用途: 後門木馬病毒以竊取信息為主。或最新的病毒名稱:Worm.Viking.cp 中 文 名:「威金」蠕蟲變種CP �8�$'�,5-e
程序作者: !-�SoUX� j
系統進程: 否 7U�9vqih7
後台程序: 是 v5=>kMa�q.
使用網路: 是 Cf� [|�w�-
硬體相關: 否 1'�B\�V-c5
安全等級: 低 �LU� �<�w"
進程分析: 該病毒修改win.ini文件實現自啟動,使用與rundll32.exe相似的rundl132.exe文件名。病毒運行後打開後門埠,允許惡意攻擊者控制計算機。 M�t5b�R�VZ
病毒名稱:Worm.Viking.cp k�]BIxyTI�
中 文 名:「威金」蠕蟲變種CP �L��9 �gA
釋放vidll.dll到任何可執行文件目錄下。 �3d�A�mo8W
該病毒修改注冊表創建Run/Timer項實現自啟動,病毒文件包括:0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0~9.exe等等 。
檔案編號:CISRT2006004 a59D@t1i|E
病毒名稱:Worm.Win32.Viking.i(AVP) =6 �Lm D�A
病毒別名:Worm.Viking.bp(瑞星) |R}dOhRE{Y
病毒大小:27,194 位元組 D�5��4lL�R
加殼方式:UPack Q�&+�=4z.�
樣本MD5: �DT��I$9$^
發現時間:2006.5.30 2`5w2qHs#�
更新時間:2006.6.1 4�Z &�DEf
關聯病毒: /#Dg:,*��H
傳播方式:通過QQ尾巴、惡意網站傳播 ^;C\� hK)
技術分析: = c6bs�b�3
1、運行後創建文件: X���=@y%�"
%Windows%\rundl132.exe oQ&�FpuwJ|
\vDll.dll(當前目錄) 7e )P}??��
2、建立自啟動項: Dz;(=y/t^V
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] H*Y� |a��
"load"="%Windows%\rundl132.exe" �.yc&Y 5F
3、vDll.dll將插入Explorer.exe或iexplore.exe進程。 �vjB9-+E"S
4、病毒會使用net命令停止毒霸服務: �Mb�`p]>8v
net stop "Kingsoft AntiVirus Service" ]OC WUlldv
5、嘗試訪問共享網路ipc$和admin$,發送ICMP用「Hello,World」探測。 �n�]lE�z�1
6、生成的一些記錄文件: E17�> ��D<
C:\gamevir.txt F�|CsTD�m�
C:\1.txt 4ROOY�_bM+
C:\log.txt ZW #�_��<
7、變種Logo1_.exe會感染(捆綁).exe文件,在這個rundl132.exe的測試中沒有發現感染(捆綁).exe文件的情況。 [T e ,Pm>G
感染(捆綁).exe文件,但不感染(捆綁)以下目錄中的.exe: V>�H8��yVI
system �X2Pk~u�kd
system32 F>��T�^]d_
windows �w& ~�3R�6
Documents and Settings �-Dj=`�>nB
System Volume Information yX�=��� �3
Recycled -�bacDHc A
winnt zTj85pS#6E
Program Files Nl v<,��
Windows NT }+,X�p]bcZ
WindowsUpdate $1"qLqrT]_
Windows Media Player ]m75H~e; i
Outlook Express R�R<QKW�$Z
Internet Explorer f`-l^q;:0K
ComPlus Applications ti!$7[�Yn{
NetMeeting 1,iW�R���
Common Files ?� ?%�~>5
Messenger nI~NxnT#p:
Microsoft Office '`Ekd04a�j
InstallShield Installation Information ?F&<�`hD�
MSN D4J(c3KrQ�
Microsoft Frontpage 7Q1q� 5</1
Movie Maker }BAhku���b
MSN Gaming Zone 'P,��gr[�
8、嘗試修改HOSTS文件: �^x�GkulT.
%System32%\drivers\etc\hosts L4&'^='J_z
9、添加註冊表信息: �x4U��F�
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] m 4$_./��^
"auto"="1" P6N� �Z[�
10、嘗試訪問網路下載其它木馬病毒,有WOW、征途、QQ尾巴等木馬。 m4.��%�[T
1.在系統目錄下生成一些病毒文件,有0sy.exe,到9sy.exe,還有圖標為QQ的,圖為為迅雷的,為real播放器的,反正是很容易騙過你的圖標,名稱一律為rundl132.exe (32之前是個1不是l,rundll32.exe是系統文件,是不是很會騙人?) <XAk c�,W9
2.把迅雷和winrar的程序文件替換掉使你無法運行這兩個程序,其他的程序有沒有被換掉我不知道,反正我看到了這兩個軟體是這樣. �F�\GvQ]Q=
3.打開進程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx為數字且為隨機的且在C:\Documents and Settings\你的用戶名\Local Settings\temp 下
清除方法: -q9Z;�� p]
1、結束%Windows%\rundl132.exe的進程,刪除%Windows%\rundl132.exe KP�� �i��
還有其他未知的進程 ^FM#�u�Q&r
2、刪除啟動項: w��KY�1:Xw
刪除注冊表中一切關於rundl132.exe的項目. y$%+S|,A_
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 0|1c�O y�P
"load"="%Windows%\rundl132.exe" 3_�4�v VM
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] '&sf�J. T5
"auto"="1" a@[^p>T @C
3 強制刪除迅雷和winrar,不是卸載而是在文件夾上直接點右鍵點刪除,這是用unlocker就可以強制刪除掉.刪除系統目錄下的0sy.exe,到9sy.exe ��8& ^a�>
4 刪除c盤根目錄下的vDll.dll文件和一個叫todaynew 的文件夾,同樣要強制刪除, -�o�9BQ���
5 刪除C:\Documents and Settings\你的用戶名\Local Settings\temp 這個文件夾 �wb>A)U�?t
刪除以上文件之前一定要先選擇顯示所有文件 \�9LT�� *>
注意:記得要在安全模式下,斷網 關閉系統還原 否則清除不掉
3. 總是自動彈出漂浮窗口
網路安全: IE瀏覽器被迫連接某個網站的解決辦法
第一:右鍵點擊IE瀏覽器,打開屬性檢查internet選項設置「主頁」項是否被修改,如果是請改為空白頁,並清空IE的臨時文件夾。
第二:升級殺毒軟體至最新版,查殺內存中是否有病毒運行(只查殺內存即可)。
第三:在開始菜單中的「運行」項中輸入msconfig命令調出「系統配置實用程序」,檢查「啟動」項(2000系統可以從XP系統拷貝MSCONFIG.EXE使用,也可以使用第三方軟體查看,如Windows優化大師)。記錄每個不明啟動項的文件名及所在路徑,並取消這些自啟動項。
第四:CTRL+ALT+DEL 打開任務管理器 ,檢查「進程」中是否有和啟動項中同名的的程序在運行,嘗試結束該進程!(注意,該名稱很可能與某些系統程序同名,即惡意攻擊程序偽裝成系統進程運行。也許會有兩個同名進程存在,這很可能就是你要找的兇手。) !
第五:按照在啟動項里所找到的文件路徑,查找你剛剛你所結束的可疑進程的文件。打開我的電腦,在窗口上方菜單中依次打開「工具——文件夾選項——查看,點選 顯示所有文件和文件夾」項,同時取消「隱藏受保護的操作系統文件」前的對勾,以便完全檢查所有文件。(注意,已知惡意程序均為深度隱藏,98系統下需打開顯示隱藏文件功能,2000、XP系統下必須同時取消隱藏受保護的操作系統文件功能)
第六:找到目標文件後,請右鍵該文件查看屬性。注意其創建時間和修改時間,多數病毒文件這兩個時間都會一致或相差較小,這個時間就是你中招的時間。還有,請將查看設置為「詳細信息」。檢查是否在該文件夾下還有同時間創建的文件,病毒有可能偽裝成影音或其他格式的文件,不要被它迷惑更不要點擊運行它。馬上原地將它們壓縮,改為其他名稱,這樣以來可以解除威脅,二來可以防止誤刪除系統文件。(如果提示你該程序正在運行,你可以重起機器後連續按F8鍵進入安全模式,然後壓縮)當然,如果你可以確認是病毒,最好直接刪除。
第七:使用開始菜單中的「搜索」功能在硬碟上查找你發現的可疑文件,看是否在其他位置還有該文件副本一並刪除。(筆者所遭遇的惡意程序就是在偽裝成任務管理器的同時又偽裝成notepad.exe記事本程序,並使得所有記事本文件都會通過它打開,也就是說你打開某個記事本文件的同時惡意程序會再度運行。)另外,請手動檢查windows文件夾下是否存留同名病毒文件,還有windows下的system和system32文件夾也要仔細檢查,筆者發現最近的病毒都將自身副本加入了上述三個文件夾中,如果清除不幹凈很可能死灰復燃!
第八:重新啟動你的電腦,連線上網打開IE,看看是否已經恢復正常。如果不行請再次按上述方法更詳細的分析一下,看看是否有遺漏。
第九:問題解決。不要高興得太早,這種惡意程序引導的網站很有可能帶有病毒或木馬程序。請將殺毒軟體升級至最新版本進入安全模式完全查殺一遍,保證安全!