谁能帮我

h1404 · 发表于 2002-12-28 10:15:42

现在只要一打开IE就进到www.ok9.net这个该死的网站改成"使用空白页"无效也尝试修改注册表也解决不了

谁能帮我!!!!???

h1404 · 发表于 2002-12-28 10:45:27

我是这么做过把注册表中的“www.ok9.net"字符串全删了但无效哦

freebell · 发表于 2002-12-28 12:41:08

如果你使用的是Windows 2000，那么从注册表中全部搜索有关这个URL的项，将这些项改写的时候，要加以分析，看看是注册表中的些什么键，还有有没有一开机就给你注册的一个.dll什么的，注意这些，如果有，找到这个文件的位置，删除之，如果没有的话，手工修改注册表中的相应项，当然修改之前一是要备份，另一方面要理解所查找出的那个注册表键是什么意思，之后再修改为合适的值。

我以前给别人恢复过一个Windows 98下的类似情况，写出过程来供参考：

首先，按照常规，当时候我先在注册表中，鼠标先点击“我的电脑”，以确认接下来的搜索在所有的注册表键中进行，然后当然是查找这个讨厌的URL了，找到一处，判断，然后修改为“about:blank”（即空白页），然后按F3（查找下一处），知道对注册表遍历完毕。然后，打开IE，发现已经默认是空白页了，就算点击使用默认页，出来的也是我在注册表中设定的那个页面了；
然后，为了保险起见，我重新启动了机器，结果发现刚才的改动又回来了，也就是说，还是讨厌的那个东西做了默认Web页。这时候，已经很明确，一定是启动的时候加载了某种设置，于是，在“开始—>运行”中，输入“MSCONFIG”，然后选择“启动”选项卡,检查其中的加载项目，然后，终于发现有个不正常的加载，像这样：“regedit /s xxxxx.dll ”。查找这个文件，位于Windows系统目录下，日期为一个与Windows系统文件日期差异很大的一个日期，再在注册表中搜索这个文件名，发现了它和那个URL的关联性，OK，现在可以肯定是这个DLL文件在作怪。
接下来的工作就很明显了，先重复第一步对注册表的操作，即搜索那个URL，修改相应的键值，然后regsvr32 /u /i dll文件名来卸掉这个DLL文件的注册。或者搜索注册表，删除此DLL有关的键。然后，不要忘了，启用MSCONFIG命令，在“启动”中将这个DLL有关的项（如果还有的话）前面的对勾去掉。最后将这个DLL文件彻底从硬盘中删除。
OK，作完了这些之后，一切回复正常，重启动，正常。已经恢复。

一点考虑，如果在Windows 2000的环境中，是否可以通过在注册表中搜索启动时候的加载项来发现这些问题呢？可以试试。

事后的注意事项：可以找一个注册表保护和回复工具（不过大部分不好用）装上，以防止下一次感染；另外，尽量避免访问一些充满某种诱惑力或者某种情色的网站，以及一些没有什么特色的个人网站，可以避免感染这些东西。

以上是一些简单的总结，希望能对楼主有所启发，另外，我也碰到过一个比较惨的例子，注册表都给锁死了，那些所谓的注册表工具根本没有任何作用，当时候也没有再深入的考虑怎么解决，因为那台机器公用，也没有什么恢复的价值，故重装系统了事。如果楼主碰到的也是这种锁了注册表的情况，还需要进一步的讨论如何来解决。

h1404 · 发表于 2002-12-28 13:19:57

照方抓药

h1404 · 发表于 2002-12-28 13:34:06

我是WIN ME，试过只发现regedit -s c:\windows\win.dll

没有动它

freebell · 发表于 2002-12-28 14:09:31

看看还有没有像“regsvr /s xxxxx.dll ”这样的东西，我记不清了，但上边的那种写法是不对的，刚刚发现，很抱歉。

或者建议再检查一下启动的时候所执行的可执行文件是不是都是你需要的，看看能不能发现一些蛛丝马迹，总之用这个思路试试能否解决。

加州旅馆 · 发表于 2002-12-28 15:08:33

The keys of the problem have two points.
One is amending the Register,the other is amending the startup file.
If you only amend the Register,the IE will be amend again after you restart the computer.
Under Win98,we can use "msconfig.exe" to amend the startup file.

Win98下，使用“msconfig.exe”打开“系统配置实用程序”，选择“启动”项，然后边可以看到计算机启动时加载的程序，其中你会发现“www.ok9.net”，去除它前面的选择即可。
现在，很多"JS.Exception.Exploit"病毒一方面会修改注册表，另一方面也会修改计算机的启动文件，所以单纯修改注册表解决不了问题。

gambler · 发表于 2002-12-28 15:30:27

先确保“开始－程序－启动”里没有可疑的项目

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
下面是开机执行的程序，删除可疑的项目（先备份注册表）

前两天刚刚帮人解决了一个这样的问题，它是在C盘下建一个文件夹，每次开机执行里面的一个可执行文件。

h1404 · 发表于 2002-12-28 18:30:23

谢谢大家了

加州旅馆 · 发表于 2002-12-28 19:50:56

最初由 gambler 发布
[B]先确保“开始－程序－启动”里没有可疑的项目

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
下面是开机执行的程序，删除可疑的项目（先备份注册表）

前两天刚刚帮人解决了一个这样的问题，它是在C盘下建一个文件夹，每次开机执行里面的一个可执行文件。 [/B]

没必要这么麻烦的修改注册表，通过“msconfig.exe”即可方便的实现对启动文件的修改！

		自动登录	找回密码
密码			立即注册

谁能帮我

About Virus-JS.Exception.Exploit

浏览过的版块