第3章 計(jì)算機(jī)病毒及其防治

第3章計(jì)算機(jī)病毒及其防治

計(jì)算機(jī)病毒概述3.1計(jì)算機(jī)病毒的檢測(cè)與防治3.2計(jì)算機(jī)病毒防治中的常見(jiàn)問(wèn)題3.3計(jì)算機(jī)客戶端病毒的防范方法3.4病毒的清除3.53.1計(jì)算機(jī)病毒概述

3.1.1計(jì)算機(jī)病毒發(fā)展簡(jiǎn)史1．計(jì)算機(jī)病毒的概念對(duì)于病毒概念的起源可追溯到科幻小說(shuō)。在20世紀(jì)70年代，美國(guó)作家雷恩出版的《P1的青春》一書(shū)中構(gòu)思了一種能夠自我復(fù)制、利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。“病毒”一詞是借用生物學(xué)中的病毒。通過(guò)分析研究計(jì)算機(jī)病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。計(jì)算機(jī)病毒有很多種定義，從廣義上講，凡是能引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)中數(shù)據(jù)的程序都統(tǒng)稱為計(jì)算機(jī)病毒。依據(jù)此定義，諸如邏輯炸彈、蠕蟲(chóng)等均可稱為計(jì)算機(jī)病毒。現(xiàn)今國(guó)外流行的定義是：計(jì)算機(jī)病毒是一段依附在其他程序上，可以實(shí)現(xiàn)自我繁殖的程序代碼。在國(guó)內(nèi)，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對(duì)病毒的定義為：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。2．計(jì)算機(jī)病毒發(fā)展簡(jiǎn)史

（1）DOS病毒（2）Windows病毒

（3）計(jì)算機(jī)網(wǎng)絡(luò)病毒3.1.2計(jì)算機(jī)病毒的分類(lèi)

1．按傳染方式分類(lèi)（1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒2．按寄生方式分類(lèi)3．按危害程度分類(lèi)（1）良性病毒又稱表現(xiàn)型病毒（2）惡性病毒又稱破壞型病毒（3）中性病毒是指那些既不對(duì)計(jì)算機(jī)系統(tǒng)造成直接破壞，又沒(méi)有表現(xiàn)癥狀，只是瘋狂地復(fù)制自身的計(jì)算機(jī)病毒，也就是常說(shuō)的蠕蟲(chóng)型病毒4．按攻擊對(duì)象分類(lèi)

（1）攻擊DOS的病毒（2）攻擊Windows的病毒（3）攻擊網(wǎng)絡(luò)的病毒3.1.3計(jì)算機(jī)病毒的特征

1．傳染性2．破壞性3．潛伏性4．可觸發(fā)性5．演變性6．不可預(yù)見(jiàn)性3.2計(jì)算機(jī)病毒的檢測(cè)與防治

3.2.1計(jì)算機(jī)病毒的工作原理3.2.2計(jì)算機(jī)病毒的檢測(cè)1．病毒特征碼掃描法2．對(duì)比法3．行為監(jiān)測(cè)法4．軟件模擬法5．實(shí)時(shí)I/O掃描6．網(wǎng)絡(luò)監(jiān)測(cè)法3.2.3計(jì)算機(jī)病毒的防治

1．在思想和制度方面2．在技術(shù)措施方面3.2.4計(jì)算機(jī)病毒防治軟件的選購(gòu)

1．防、殺毒軟件的選購(gòu)指標(biāo)（1）掃描速度（2）識(shí)別率（3）病毒清除效果2．常用的防、殺毒軟件介紹3.2.5計(jì)算機(jī)病毒的防御步驟

1．用常識(shí)進(jìn)行判斷2．安裝防病毒產(chǎn)品并保證更新最新的病毒定義碼3．首次安裝防病毒軟件時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描4．插入軟盤(pán)、光盤(pán)和其他可插拔介質(zhì)前，一定對(duì)它們進(jìn)行病毒掃描5．不要從任何不可靠的渠道下載任何軟件6．警惕欺騙性的病毒7．使用其他形式的文檔，如.rtf（RichTextFormat）和.pdf（PortableDocumentFormat）8．不要用共享的軟盤(pán)安裝軟件，或者更為糟糕的是復(fù)制共享的軟盤(pán)9．禁用WindowsScriptingHost10．使用基于客戶端的防火墻或過(guò)濾措施3.3計(jì)算機(jī)病毒防治中的常見(jiàn)問(wèn)題3.3.1根據(jù)名稱識(shí)別計(jì)算機(jī)病毒下面是對(duì)一些常見(jiàn)病毒前綴的解釋。1．系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等，這些病毒的一般共有特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過(guò)這些文件進(jìn)行傳播。如CIH病毒。2．蠕蟲(chóng)病毒蠕蟲(chóng)病毒的前綴是：Worm。這種病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲(chóng)病毒都有向外發(fā)送帶毒郵件、阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。3．木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息；而黑客病毒則有一個(gè)可視的界面，能對(duì)用戶的計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的計(jì)算機(jī)，黑客病毒則會(huì)通過(guò)該木馬病毒來(lái)進(jìn)行控制?，F(xiàn)在這兩種類(lèi)型都越來(lái)越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有比較多見(jiàn)的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒，如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之類(lèi)的，一般都表示這個(gè)病毒有盜取密碼的功能（這些字母為“密碼”的英文“password”縮寫(xiě)）。一些黑客程序，如網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。4．腳本病毒腳本病毒的前綴是：Script。腳本病毒的共有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫(xiě)的），如歡樂(lè)時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5．宏病毒其實(shí)宏病毒也是腳本病毒的一種，由于它的特殊性，因此單獨(dú)算成一類(lèi)。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97。感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒，采用Word97作為第二前綴，格式是：Macro.Word97；感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒，采用Word作為第二前綴，格式是：Macro.Word；感染EXCEL97及以前版本EXCEL文檔的病毒，采用Excel97作為第二前綴，格式是：Macro.Excel97；感染EXCEL97以后版本EXCEL文檔的病毒，采用Excel作為第二前綴，格式是：Macro.Excel，依此類(lèi)推。該類(lèi)病毒的共有特性是能感染OFFICE系列文檔，然后通過(guò)OFFICE通用模板進(jìn)行傳播，如：美麗莎病毒（Macro.Melissa）。6．后門(mén)病毒后門(mén)病毒的前綴是：Backdoor。該類(lèi)病毒的共有特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后門(mén)，給用戶計(jì)算機(jī)埋下安全隱患。如很多用戶遇到過(guò)的IRC后門(mén)Backdoor.IRCBot。7．病毒種植程序病毒

這類(lèi)病毒的共有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來(lái)的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。8．破壞性程序病毒破壞性程序病毒的前綴是：Harm。這類(lèi)病毒的共有特性是以好看的圖標(biāo)來(lái)誘惑用戶單擊。當(dāng)用戶單擊這類(lèi)病毒時(shí)，病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤(pán)（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。9．玩笑病毒

玩笑病毒的前綴是：Joke，也稱惡作劇病毒。這類(lèi)病毒的共有特性也是以好看的圖標(biāo)來(lái)誘惑用戶單擊。當(dāng)用戶單擊這類(lèi)病毒時(shí)，病毒會(huì)做出各種破壞操作來(lái)嚇唬用戶，其實(shí)病毒并沒(méi)有對(duì)用戶計(jì)算機(jī)進(jìn)行任何破壞。如：女鬼（Joke.Girlghost）病毒。10．捆綁機(jī)病毒捆綁機(jī)病毒的前綴是：Binder。這類(lèi)病毒的共有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來(lái)，表面上看是一個(gè)正常的文件，當(dāng)用戶運(yùn)行這些捆綁病毒時(shí)，表面上是運(yùn)行這些應(yīng)用程序，實(shí)際上是隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。3.3.2區(qū)別計(jì)算機(jī)病毒與計(jì)算機(jī)故障1．計(jì)算機(jī)病毒的現(xiàn)象與查解方法

在一般情況下，計(jì)算機(jī)病毒總是依附某一系統(tǒng)軟件或用戶程序進(jìn)行繁殖和擴(kuò)散的，病毒發(fā)作時(shí)危及計(jì)算機(jī)的正常工作，破壞數(shù)據(jù)與程序，侵犯計(jì)算機(jī)資源。計(jì)算機(jī)在感染病毒后，總是有一定規(guī)律地出現(xiàn)異常現(xiàn)象，如下所列。（1）屏幕顯示異常，屏幕顯示出不是由正常程序產(chǎn)生的畫(huà)面，而是顯示混亂（2）程序裝入時(shí)間增長(zhǎng)，文件運(yùn)行速度下降（3）用戶沒(méi)有訪問(wèn)的設(shè)備卻出現(xiàn)工作信號(hào)（4）磁盤(pán)出現(xiàn)莫名其妙的文件和壞塊，卷標(biāo)發(fā)生變化（5）系統(tǒng)自行引導(dǎo)（6）丟失數(shù)據(jù)或程序，文件字節(jié)數(shù)發(fā)生變化（7）內(nèi)存空間、磁盤(pán)空間減?。?）異常死機(jī)（9）磁盤(pán)訪問(wèn)時(shí)間比平時(shí)增長(zhǎng)（10）系統(tǒng)引導(dǎo)時(shí)間增長(zhǎng)2．與病毒現(xiàn)象類(lèi)似的硬件故障

（1）系統(tǒng)的硬件配置（2）電源電壓不穩(wěn)定（3）插件接觸不良（4）軟驅(qū)故障（5）CMOS的問(wèn)題3．與病毒現(xiàn)象類(lèi)似的軟件故障

（1）出現(xiàn)“Invaliddrivespecification”（非法驅(qū)動(dòng)器號(hào)）（2）軟件程序已被破壞（非病毒）（3）DOS系統(tǒng)配置不當(dāng)（4）軟件與DOS版本的兼容性（5）引導(dǎo)過(guò)程故障（6）用不同的編輯軟件編寫(xiě)程序（7）有關(guān)FoxBASE問(wèn)題3.4計(jì)算機(jī)客戶端病毒的防范方法3.4.1客戶端的病毒防護(hù)步驟1．減小攻擊面2．應(yīng)用安全更新3．啟用基于主機(jī)的防火墻4．安裝防病毒軟件5．測(cè)試漏洞掃描程序6．使用最少特權(quán)策略7．限制未授權(quán)的應(yīng)用程序3.4.2客戶端應(yīng)用程序的防病毒設(shè)置1．電子郵件客戶端

2．桌面應(yīng)用程序3．即時(shí)消息應(yīng)用程序4．Web瀏覽器5．對(duì)等應(yīng)用程序3.5病毒的清除

3.5.1郵件病毒的清除1．?dāng)嚅_(kāi)網(wǎng)絡(luò)2．文件備份3．殺毒軟件4．安全處理5．預(yù)防郵件病毒3.5.2QQ病毒特征及清除方法

1．“QQ尾巴”病毒（1）病毒主要特征這種病毒并不是利用QQ本身的漏洞進(jìn)行傳播，而是在某個(gè)網(wǎng)站首頁(yè)上嵌入了一段惡意代碼，利用IE的iFrame系統(tǒng)漏洞自動(dòng)運(yùn)行惡意木馬程序，從而達(dá)到侵入用戶系統(tǒng)、進(jìn)而借助QQ進(jìn)行垃圾信息發(fā)送的目的。用戶系統(tǒng)如果沒(méi)安裝漏洞補(bǔ)丁或沒(méi)把IE升級(jí)到最高版本，那么訪問(wèn)這些網(wǎng)站的時(shí)候，所訪問(wèn)網(wǎng)頁(yè)中嵌入的惡意代碼即被運(yùn)行，并立即會(huì)通過(guò)IE的漏洞運(yùn)行一個(gè)木馬程序進(jìn)駐用戶機(jī)器。然后在用戶使用QQ向好友發(fā)送信息的時(shí)候，該木馬程序就自動(dòng)在發(fā)送的消息末尾插入一段廣告詞，通常都是以下類(lèi)型：“HoHo～～http://www.mm**.com剛才朋友給我發(fā)來(lái)的這個(gè)東東。你不看看就后悔哦，嘿嘿。也給你的朋友吧?！保?）清除方法

在運(yùn)行中輸入MSconfig，如果啟動(dòng)項(xiàng)中有“Sendmess.exe”和“wwwo.exe”這兩個(gè)選項(xiàng)，將其禁止。在C：\WINDOWS一個(gè)叫qq32.INI的文件，文件里是附在QQ后的那幾句廣告詞，將其刪除。轉(zhuǎn)到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個(gè)文件刪除。安裝系統(tǒng)漏洞補(bǔ)丁由病毒的播方式知道，“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的，即使不執(zhí)行病毒文件，病毒依然可以借由漏洞自動(dòng)執(zhí)行，達(dá)到感染的目的。因此應(yīng)該馬上下載IE的iFrame漏洞補(bǔ)丁。2．QQ“緣”病毒

（1）病毒特征該病毒用VB語(yǔ)言編寫(xiě)，采用ASPack壓縮，利用QQ消息傳播。運(yùn)行后會(huì)將IE默認(rèn)首頁(yè)改變?yōu)椋篐TTP://WWW.**115.COM/。如果發(fā)現(xiàn)自己的IE首頁(yè)被修改成以上網(wǎng)址，就表明是被該病毒感染了。病毒會(huì)利用QQ發(fā)送例如：“今天在網(wǎng)上下了本電子書(shū)，書(shū)名叫《緣》，寫(xiě)得不錯(cuò)，而且書(shū)的作者的名字很巧，點(diǎn)擊下面這個(gè)地址可以下載這本書(shū)”；“1937年12月13日，300000南京人民被侵華日軍集體大屠殺！所有的中國(guó)人都不應(yīng)忘記這個(gè)日子，從始至終日本人都沒(méi)有改變它們的野心，中華兒女要團(tuán)結(jié)自強(qiáng)牢記歷史，我們要時(shí)刻警惕日本人的野心，釣魚(yú)島是中國(guó)的領(lǐng)土，臺(tái)灣是中國(guó)不可分割的一部份，請(qǐng)你將此消息發(fā)給你QQ上的好友!”。消息里的鏈接是病毒網(wǎng)址。（2）清除方法使用下面的辦法可將其徹底刪除。找到下列文件并刪除：C:\Windows\system\noteped.exeC:\Windows\system\Taskmgr.exeC:\Windows\noteped.exeC:\Windwos\system32\noteped.exe其中，對(duì)于Taskmgr.exe要先打開(kāi)“window任務(wù)管理器”，選中進(jìn)程“Taskmgr.exe”，殺掉。其中，有兩個(gè)名字叫“Taskmgr.exe”的進(jìn)程，一個(gè)是QQ病毒，一個(gè)是剛才打開(kāi)的“Window任務(wù)管理器”。然后到注冊(cè)表中找到：“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”找到“Taskmgr”刪除。也可以通過(guò)下面的方式刪除病毒。在任務(wù)欄上單擊鼠標(biāo)右鍵，選擇任務(wù)管理器；選擇進(jìn)程里的Taskmgr.exe；單擊“開(kāi)始”、“運(yùn)行”，輸入Regedit進(jìn)入注冊(cè)表；在注冊(cè)表中找到“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”將Taskmgr項(xiàng)刪除。刪除后重啟計(jì)算機(jī)，“緣”QQ病毒徹底刪除。需要注意的是，應(yīng)該盡快更新IE到IE6SP1，這樣可以減少很多的IE被改機(jī)會(huì)。3．QQ“狩獵者”病毒（1）病毒特征在進(jìn)行QQ聊天時(shí)會(huì)在消息中加入如下信息：“向你介紹一個(gè)好看的動(dòng)畫(huà)網(wǎng)：”當(dāng)瀏覽帶毒網(wǎng)站時(shí)，會(huì)利用IE漏洞嘗試新增sys文件和tmp文件的執(zhí)行關(guān)聯(lián)，并下載執(zhí)行病毒文件b.sys。如果IE已經(jīng)打上補(bǔ)丁，則會(huì)彈出一個(gè)插件對(duì)話框，引誘用戶安裝，安裝后會(huì)將病毒安裝到Windows/DownloadedProgramFiles文件夾中，文件名為b.exe。如果用戶拒絕安裝該插件，會(huì)不斷彈出對(duì)話框要求用戶安裝。復(fù)制文件復(fù)制病毒體到SystemRoot文件夾中，文件名為Rundll32.exe；復(fù)制病毒體為“C:\cmd.exe”，試圖復(fù)制病毒體到共享目錄中，名為“病毒專(zhuān)殺.exe”和“周杰倫演唱會(huì).exe”。添加注冊(cè)表啟動(dòng)項(xiàng)，以隨機(jī)啟動(dòng)在注冊(cè)表的主鍵：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run處添加“LoadPowerProfile=/SystemRoot/Rundll32.exe”鍵值。修改和新增以下文件關(guān)聯(lián)修改.exe文件的關(guān)聯(lián)，每當(dāng)執(zhí)行exe文件時(shí)，首先執(zhí)行病毒預(yù)先復(fù)制的病毒文件，在注冊(cè)表的主鍵：HKEY_CLASS_ROOT\exefile\shell\open\command修改鍵值：默認(rèn)="C：\cmd.exe%1&*"新增.sys文件的執(zhí)行關(guān)聯(lián)，使得在瀏覽帶毒網(wǎng)站時(shí)執(zhí)行病毒文件b.sys在注冊(cè)表的主鍵:HKEY_CLASS_ROOT\sysfile\shell\open\command修改鍵值：默認(rèn)="%1"%*新增.tmp文件的執(zhí)行關(guān)聯(lián)在注冊(cè)表的主鍵：HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下鍵值：默認(rèn)="%1"%*試圖偷傳奇游戲的密碼，并通過(guò)自帶的郵件引擎以“mj25257758@263.”的名義發(fā)送到“scmsmj@”信箱中。在Win2000、WinXP、Win2003系統(tǒng)中，系統(tǒng)文件“Rundll32.exe”就在系統(tǒng)目錄中，因而病毒會(huì)嘗試將該文件覆蓋，但這幾個(gè)系統(tǒng)都能自動(dòng)保護(hù)并恢復(fù)受到破壞的系統(tǒng)文件，因而病毒不能正常加載，但仍可以通過(guò)EXE關(guān)聯(lián)被加載。（2）清除方法

關(guān)閉WindowsMe、WindowsXP、Windows2003的“系統(tǒng)還原”功能；重新啟動(dòng)到安全模式下；先將regedit.exe改名為，再用資源管理器結(jié)束cmd.exe進(jìn)程，然后運(yùn)行，將EXE關(guān)聯(lián)修改為“"%1"%*”，再刪除C:\cmd.exe、%Windows%\DownloadProgramFiles\b.exe文件，對(duì)于Windows9x系統(tǒng)，還要?jiǎng)h除%SystemRoot%\Rundll32.exe，再到共享目錄中看有沒(méi)有“病毒專(zhuān)殺.exe”和“周杰倫演唱會(huì).exe”這兩個(gè)文件，文件大小為11184字節(jié)，如果有，將其刪除；清理注冊(cè)表；打開(kāi)注冊(cè)表，刪除主鍵：HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open修改HKEY_CLASSES_ROOT\exefile\shell\open\command的鍵值為"%1"%*。（3）防范措施

不要輕易單擊QQ上的不明鏈接，不要安裝來(lái)歷不明的插件（如該病毒網(wǎng)站上所謂的“動(dòng)畫(huà)播放插件2.0”）。3.5.3惡意網(wǎng)頁(yè)病毒癥狀分析及修復(fù)方法1．默認(rèn)主頁(yè)被修改（1）破壞特性：默認(rèn)主頁(yè)被自動(dòng)改為某網(wǎng)站的網(wǎng)址。（2）表現(xiàn)形式：瀏覽器的默認(rèn)主頁(yè)被自動(dòng)設(shè)為如********.COM的網(wǎng)址。（3）清除方法：采用手動(dòng)修改注冊(cè)表法，單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具，按順序依次打開(kāi)：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL鍵值名（用來(lái)設(shè)置默認(rèn)主頁(yè)），在右窗口單擊右鍵進(jìn)行修改即可。按【F5】鍵后刷新生效。危害程度：一般2．默認(rèn)首頁(yè)被修改（1）破壞特性：默認(rèn)首頁(yè)被自動(dòng)改為某網(wǎng)站的網(wǎng)址。（2）表現(xiàn)形式：瀏覽器的默認(rèn)主頁(yè)被自動(dòng)設(shè)為如********.COM的網(wǎng)址。（3）清除方法：采用手動(dòng)修改注冊(cè)表法，單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具，按如下順序依次打開(kāi)：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到StartPage鍵值名（用來(lái)設(shè)置默認(rèn)首頁(yè)），在右窗口單擊右鍵進(jìn)行修改即可。按【F5】鍵后刷新生效。危害程度：一般3．默認(rèn)的微軟主頁(yè)被修改（1）破壞特性：默認(rèn)微軟主頁(yè)被自動(dòng)改為某網(wǎng)站的網(wǎng)址。（2）表現(xiàn)形式：默認(rèn)微軟主頁(yè)被篡改。（3）清除方法：手動(dòng)修改注冊(cè)表法單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具。按如下順序依次打開(kāi)：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL鍵值名（用來(lái)設(shè)置默認(rèn)微軟主頁(yè)），在右窗口單擊右鍵，將鍵值修改為http://www./windows/ie_intl/cn/start/即可。按【F5】鍵刷新生效。自動(dòng)文件導(dǎo)入注冊(cè)表法請(qǐng)把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴(kuò)展名為.reg的任意文件名存在C盤(pán)的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊(cè)表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"default_page_url/windows/ie_intl/cn/start/"危害程度：一般4．主頁(yè)設(shè)置被屏蔽鎖定，且設(shè)置選項(xiàng)無(wú)效不可更改（1）破壞特性：主頁(yè)設(shè)置被禁用。（2）表現(xiàn)形式：主頁(yè)地址欄變成灰色被屏蔽。（3）清除方法：手動(dòng)修改注冊(cè)表法單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具。按如下順序依次打開(kāi)：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主鍵，然后在此主鍵下新建鍵值名為“HomePage”的DWORD值，值為“00000000”。按【F5】鍵刷新生效。自動(dòng)文件導(dǎo)入注冊(cè)表法請(qǐng)把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴(kuò)展名為.reg的任意文件名存在C盤(pán)的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊(cè)表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]"HomePage"=dword:00000000危害程度：輕度5．默認(rèn)的IE搜索引擎被修改（1）破壞特性：將IE的默認(rèn)微軟搜索引擎更改。（2）表現(xiàn)形式：搜索引擎被篡改。（3）清除方法：手動(dòng)修改注冊(cè)表法單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具。按如下順序依次打開(kāi)：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search分支，找到“SearchAssistant”鍵值名，在右面窗口單擊“修改”，即可對(duì)其鍵值進(jìn)行輸入為：http://ie.search./{SUB_RFC1766}/srchasst/srchasst.htm，然后再找到“CustomizeSearch”鍵值名，將其鍵值修改為：/{SUB_RFC1766}/srchasst/srchasst.htm，按【F5】鍵刷新生效。自動(dòng)文件導(dǎo)入注冊(cè)表法請(qǐng)把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴(kuò)展名為.reg的任意文件名存在C盤(pán)的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊(cè)表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]"SearchAssistant"=/{SUB_RFC1766}/srchasst/srchasst.htm"CustomizeSearch"=/{SUB_RFC1766}/srchasst/srchasst.htm危害程度：一般6．IE標(biāo)題欄被添加非法信息（1）破壞特性：通過(guò)修改注冊(cè)表，使IE標(biāo)題欄被強(qiáng)行添加宣傳網(wǎng)站的廣告信息。（2）表現(xiàn)形式：在IE頂端藍(lán)色標(biāo)題欄上多出了類(lèi)似“正點(diǎn)網(wǎng)，”的信息。（3）清除方法：手動(dòng)修改注冊(cè)表法單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具。按如下順序依次打開(kāi)：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”鍵值名，輸入鍵值為MicrosoftInternetExplorer，按【F5】刷新生效。按如下順序依次打開(kāi)：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”鍵值名，輸入鍵值為MicrosoftInternetExplorer，按【F5】刷新生效。自動(dòng)文件導(dǎo)入注冊(cè)表法把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴(kuò)展名為.reg的任意文件名存在C盤(pán)的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊(cè)表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"危害程度：一般7．OE標(biāo)題欄被添加非法信息破壞特性（1）破壞特性：通過(guò)修改注冊(cè)表，在微軟的集成電子郵件程序MicrosoftOutlook頂端標(biāo)題欄添加宣傳網(wǎng)站的廣告信息。（2）表現(xiàn)形式：在頂端的OutlookExpress藍(lán)色標(biāo)題欄添加非法信息。（3）清除方法：手動(dòng)修改注冊(cè)表法單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具。按如下順序依次打開(kāi)：HKEY_LOCAL_USER\Software\Microsoft\OutlookExpress分支，找到WindowTitle以及StoreRoot鍵值名，將其鍵值均設(shè)為空。按【F5】鍵刷新生效。自動(dòng)文件導(dǎo)入注冊(cè)表法請(qǐng)把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴(kuò)展名為.reg的任意文件名存在C盤(pán)的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊(cè)表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\OutlookExpress]"WindowTitle"="""StoreRoot"=""危害程度：一般8．鼠標(biāo)右鍵菜單被添加非法網(wǎng)站鏈接（1）破壞特性：通過(guò)修改注冊(cè)表，在鼠標(biāo)右鍵彈出菜單里被添加非法站點(diǎn)的鏈接。（2）表現(xiàn)形式：添加“網(wǎng)址之家”等諸如此類(lèi)的鏈接信息。（3）清除方法：?jiǎn)螕簟伴_(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具。按如下順序依次打開(kāi)：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\MenuExt分支，在左邊窗口凡是屬于非法鏈接的主鍵一律刪除，按【F5】鍵刷新生效。危害程度：一般9．鼠標(biāo)右鍵彈出菜單功能被禁用失常（1）破壞特性：通過(guò)修改注冊(cè)表，鼠標(biāo)右鍵彈出菜單功能在IE瀏覽器中被完全禁止。（2）表現(xiàn)形式：在IE中單擊右鍵毫無(wú)反應(yīng)。（3）清除方法：手動(dòng)修改注冊(cè)表法單擊“開(kāi)始”菜單→“運(yùn)行”→“regedit”→“確定”，打開(kāi)注冊(cè)表編輯工具。按如下順序依次打開(kāi)：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支，找到“NoBrowserContextMenu”鍵值名，將其鍵值設(shè)為“00000000”，按【F5】鍵刷新生效。自動(dòng)文件導(dǎo)入注冊(cè)表法請(qǐng)把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴(kuò)展名為.reg的任意文件名存在C盤(pán)的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊(cè)表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet|Explorer\Restrictions]"NoBrowse