還我IE自由

作者：孤劍
Copyright 2004  AloneSword

       今天早上來，準備好好的做作東西，剛剛開啟IE，就出現了http://7mao.com(該網址大家最好不好進入)。納悶了，我的機器時重來不設定首頁的，白白的東西多麼清爽阿！怎麼能這樣了！立馬感覺不對經，果不然，IE被劫持了！

        所有IE啟動頁面都被倒入到該網站去了，雖然沒有什麼大妨礙，但是自己還是喜歡IE清爽的介面，不喜歡被誰安排（這個可能和個人性格有關），所以翻出hijackthis掃描一下IE,果然發現一個不明進程
C:/windows/hws.exe
這個東西是什麼啊！好像沒有見過哦！
於是google一下，果然發現是不良分子。
（毒霸發布的關於該病毒的公告：http://db.kingsoft.com/c/2004/04/05/110530.shtml）
嘿嘿！這下可好，還在擔心今天工作無味了，現在又有了可乾的了！在全機通緝hws.exe,殺毒！

癥狀：
1。天網防火牆進程被hws.exe殺害（這個在後面的可以看到）；
2。IE首頁被修改，而且正常情況下是不讓你改回來的；
3。當你編輯首頁表時，提示：“註冊表已經被管理員鎖定”
我目前發現這些癥狀，可能還有其他，由於有工作在手沒有認真研究，誰可以認真研究一下。

沒說的:

1。用procexp（推薦工具，作用：查看當前運行程式的相關進程，雖然有系統進程查看器，但是個人感覺還是這個東西的功能強大，可查到任何啟動並執行進程，並看到與此進程關聯的一些資料，居家必備武器）先查查hws.exe的在本地的老家是：%systemroot%/system32/,沒有什麼說的。kill hws processing and delete %systemroot%/system32/hws.exe

2。解鎖註冊表。這個方法比較多，可以自己寫一個註冊表檔案倒入註冊表解鎖，也可以找一個工具，由於今天比較特殊，所以就用了Duba_RegSolve工具解鎖註冊表（使用此工具，可使IE屬性狀態全部正常化）；
（ps：編輯一個註冊表檔案倒入到註冊表也可,內容如下：
REGEDIT4

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
）

3。開始-〉運行-〉regedit
註冊表內通緝hws.exe和捆綁的IE首頁內容（http://7mao.com），殺無赦！

4。再用hijackthis 1.98掃描一下IE,嘿嘿！一切恢複正常！

嘿嘿！看來今天又增添了些自信心了！

總結：
1。不能完全相信殺毒軟體。這期間我用norton antivirus 2004 對系統下的hws.exe掃描，居然沒有發現病毒！暈！明明它在沒有通知我得情況下修改了我的IE阿！
所以，不能完全相信殺毒軟體，但是上網時這個東西和防火牆是不能或卻得兩個安全保障；對於殺毒軟體，就像對待書本一樣：不能無書，又不可盡信書。
2。系統出現異常時，要隨時檢查系統，防止黑手；
3。本著學習的態度，我把hws.exe拷貝了一份用uedit32.exe看了看，發現一些常用的殺毒軟體進程是會被它給幹掉的，看看就知道了！

4。註冊表還是windows的核心，有什麼東西還是在裡面多瞧瞧！這次hws.exe也是在裡面該得一些東西，可以對照剛才在註冊表裡面的東西看一些，學習學習。

4。推薦一些常用軟體：

軟體名稱	程式名稱	作用
Hijackthis 1.98	Hijackthis.exe	檢查IE必備工具（強烈推薦）
Process Explorer	Procexp.exe	查看進程及相關資訊（GUI介面）
Duba_RegSolve	Resolve.exe	修複IE工具及查看啟動項目