NtUninstallQ恶意修改网页的解决.doc

NtUninstallQ恶意修改网页的解决.txt曾经拥有的不要忘记；不能得到的更要珍惜；属于自己的不要放弃；已经失去的留作回忆。二十六。★★★$NtUninstallQ……$\恶意修改网页的解决 几天一些恶意网站的恶意代码闹得挺凶，像是 这样欠黑的网站 一打开这些网页就中了恶意脚本，而且一般的IE修复和杀毒软件都不能比较彻底清除 典型症状： 1. IE 首页被改为恶意网站，默认主页，起始页，甚至搜索页全部被更改 2. C盘下生成文件夹：$NtUninstallQxxxxxxx$（x代表数字） 从名字上看企图冒充微软更新补丁的卸载文件夹，并且在Win2000/XP下拥有系统文件级隐藏属性，比较隐蔽。文件夹中包含了恶意脚本文件winsys.vbs、winsys.cer 3. 随机启动项被添加3项： 4. 如用杀毒软件查杀，可以查到名为Harm.Reg.WebImport.g 的病毒，但若是清除不彻底，只是删除了文件夹，开机将会出现提示： 清除方法小结： 1. 删除启动项： 建议通过msconfig 、优化软件禁用或注册表手动删除以上3项启动项 HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run 删除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 删除：Sys32，值为：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除：Sys32，值为：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer 删除：internat.exe，值为：internat.exe 2. 删除文件夹： 文件夹选项设置 然后删除整个$NtUninstallQxxxxxxx$ 目录 3. 清理注册表： 记下恶意网站的域名，以它为关键字搜索注册表或用注册表清理工具，因为恶意网站的名字会替换注册表中所有IE 默认起始页、默认搜索页、默认主页等键值。 一旦通过这种方式再次打开恶意网站，以上做的就白费了，所以清理完以前暂时不要打开IE，如需要访问某些网站，可以通过运行输入网址或收藏夹等方式访问。 根据恶意代码的内容，附上被修改的注册表键值，供参考： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\SearchURL HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Page HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Default_Search_URL HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Bar HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search\SearchAssistant HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page HKEY_LOCAL_MACHINE\S