今天周六睡了一个懒觉起来,和老婆在QQ聊天。她说她的IE一启动,就报崩溃,要给微软发一个错误报告,其实一定用都没有!
就像以前听的一个讲座,讲一个关于windows的笑话。故事里面讲一个飞机在西雅图突然和地面失去了联系,不知道如何才能找到西雅图的机场来降落,飞机一直在天上盘旋来、盘旋去,突然看到一栋大楼还在灯火通明,机长就向那栋楼上喊话:"请问,我们在哪里?",那里的人回答道:“你们在飞机上”!机长听到后,立马明白,这是到了微软的办公大楼了,就像微软的常用帮助一样,常常等于废话,但是,这次却明确告诉他了方位。先讲一个笑话,轻松一下 :)
最开始想一定是中毒了,但是老婆用的机器装的是正版的金山毒霸,而且有360安全卫士的护航,且用360已经修复了IE,问题依旧!当时,想要快速解决问题的话,就是不用IE,遂向老婆建议了傲游浏览器,她下载安装后能够正常使用,然后我就在研究如何修复IE。
既然360不行,那么就用别的修复吧,首先想到的是超级兔子,呵呵!在下载了超级兔子后,发现超级兔子有一个非常好用的功能,就是升级驱动程序,发现自己的驱动程序好多都两三年都没有升级了。心里面痒痒的就决定升级,但是,超级兔子在这方面做的有问题,升级后发现显卡被升错了,或者至少是不能用的,只能区区显示4位色。当时,顾不得埋怨超级兔子,先搞定这个丑陋的显示再说,没想到在手工下载显卡驱动的过程中,机器竟然中招,最大的可能性就是装一个什么果果桌面工具条的东东,然后一打开Ie就是固定会向yy2000.net上发请求。虽然yy2000.net也不是什么“很黄、很暴力”的网站,但是,毕竟没有经过我的同意,就擅自修改了我的主页,我觉得还是不可容忍的,特别是我还算一个比较高级的电脑使用者,先自我吹嘘一把,呵呵!遂决定向它开战!在此补充一句,特别对于显卡的驱动,更新之后显示还是有很大的不同。大家不要一个驱动用到底,那样机器比较炫的功能就用不了了!
首先还是使用360的IE修复,发现作用不是很大。后来用关键字进行网上搜索,毕竟你所遇到的问题,是网友遇到问题的子集而已。网上就有人说,360有时会“包庇”一些流氓软件的,呵呵,原来还很信任360的,那时对他真有点坏印象!看来好印象的建立,往往需要很长时间,而坏印象的建立,只需要一刻就行了!但是,别的没有什么可用的工具,就还是将就地使用360吧,木马云查杀、系统全面诊断,最后将目光定位在360的”系统全面诊断“上,发现那里还是看出了yy2000的一些印迹,虽然360有包庇之嫌,但是还算良心未泯,至少给你一个缝隙让你看到流氓的尾巴。
360”系统全面诊断“发现两个地方有影响,*.LNK和注册表中均有:
具有格式是"/Program Files/Internet Explorer/IEXPLORE.EXE" http://www.yy2000.net/?32_0
流氓软件的流氓就在于”无耻“,往往把自己隐藏的很难找或者跟正常的差不多,再加上即使你找到了,也未必能够删除它!
流氓软件利用了电脑知识不对称性,来欺负普通的电脑使用者,不过好在网上的雷锋比较多,特别是在Windows这样的开放性系统里面,其实流氓软件的存身的地方一般就那几个地方和几种方法,只不过普通用户不知道而已!但是,道高一尺魔高一丈,有人知道,所以就找了unlock去做删除不掉文件的删除工作。这次yy2000相关的IE流氓事件,LNK文件发现有些删除不掉,不是因为有其他程序占用,而是因为权限地问题,所以用unlock,可以轻松地战胜它!但是,别忘了unlock的另一个用处,就是可以发现是谁锁定了文件哦 :)
战胜完文件系统,继续杀向注册表吧!但是,在搜索与yy2000相关的注册表时,却发现有几项关于yy2000的项删除不掉或者修改不了,特别是关于
HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/IEXPLORE.EXE/shell/open/command这里的注册表项,报”“写该值的新内容时出错”和“写入注册表时出错”。对于这个问题在网上继续搜索,各有各的说法,有病毒说,有杀毒软件控制说,建议回到安全模式修改!更有人说的奇特,就是注册表中有些项可以修改或删除,但是有些项不能删除或修改,不知道流氓软件是怎么实现的,确实神啊,以前只听说可以锁定整个注册表的,现在都进化成这样了!自己测试了一下确实如此,除了 HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/IEXPLORE.EXE/shell/open/command这项,试的很多项都没有问题!先放弃兴趣验证,回安全模式看看吧,回到多年未进去的“安全模式”,在注册表中照样解决不了问题!遂怀疑,可能是类似文件占用或目录占用时,不能被修改或删除之类的,就想到了以前一个工具“RegMon”,这个工具可以看出到底哪些程序在使用注册表!不过,在搜索这个软件的时间,发现了更为强悍的ProcessMonitor和ProcessExplorer,这两个升级版的强悍工具,及其他相关工具,都可以在http://technet.microsoft.com/上面找到,而且绿色免费,直接下载运行即可,国外的雷锋不比国内的少啊!
新版的ProcessExplorer更强,可以使用反查技术来定位文件或注册表项被谁使用,通过这个办法,基本上去除了程序或杀毒软件对 HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/IEXPLORE.EXE/shell/open/command注册表项的锁定,后来正在无计可施的时间,继续在网上搜索,发现有人说到继承权限的说法,就随手点开了 HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/IEXPLORE.EXE/shell/open/command注册表项的右键菜单,发现里面含有“权限”,就遂点击进去看看,发现这个注册表项的权限是赋予“EveryOne”,但是,拥有权限是
完全控制 否
读取 否
特别的权限 有
后来,开通“EveryOne”完全控制权限,就发现这项变得可以修改可以删除了,呵呵!爽,爽,没有“神”在里面控制,有些项能修改,有些项不可以!流氓软件欺骗人的手段其实非常简单的,就是因为windows太大了,流氓软件利用了知识的不对称性!
由此,总结出了今天奋战yy2000的战斗经验:
总的原则:windows系统是一个开发性的系统,流氓软件能干的事情,你一般也能干(借助工具),不过,一般是反着干,呵呵!经过今天的奋斗,个人觉得流氓软件欺负人,是利用对windows知识了解的不对称性,其实流氓没有多少文化的,特别,当你掌握知识后,呵呵!
1.在网上先搜索,看有无相关方面的介绍
2.利用杀毒软件和360工具先排查排查,发现一些可以情况,例如这次主要的功绩在于“系统全面诊断”就可以看出IE被修改的一些蛛丝马迹!系统自启动、系统当前进程都是很有用的。不过,一般可以断定就是磁盘引导区、配置文件、注册表这些地方被人动过了。不过,由于浩若烟海,还是利用工具瞅瞅吧,先发现点蛛丝马迹再说
3.手动修改或者利用工具修改。如果在这个过程中遇到麻烦,利用工具来解开或找到那些肇事者对文件、注册表删除、修改的限制
4.一般来讲修改完磁盘引导区、文件系统配置文件、注册表,流氓软件在IE上做的手脚都可以被斩断!这也是因为windows的开放性,我们只不过在做减法而已!再特殊的就是,有些软件可能会替换你真实的文件,你可以从创建日期、修改日期、访问日期看出来点门道
特别地:
5.注册表有权限控制,报”“写该值的新内容时出错”和“写入注册表时出错”,可以看下这项的右键菜单,看当前用户的权限是否足够有能力删除和修改 :) 抑或这个项被某个程序一直持有,可以通过ProcessExplorer发现之,ctrl+f搞定之
扫一扫
03-22
24万+
24万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
