还我IE自由

作者：孤剑
Copyright 2004© AloneSword


今天早上来，准备好好的做作东西，刚刚打开IE，就出现了http://7mao.com(该网址大家最好不好进入)。纳闷了，我的机器时重来不设置主页的，白白的东西多么清爽阿！怎么能这样了！立马感觉不对经，果不然，IE被劫持了！

所有IE启动页面都被倒入到该网站去了，虽然没有什么大妨碍，但是自己还是喜欢IE清爽的界面，不喜欢被谁安排（这个可能和个人性格有关），所以翻出hijackthis扫描一下IE,果然发现一个不明进程
C:/windows/hws.exe
这个东西是什么啊！好像没有见过哦！
于是google一下，果然发现是不良分子。
（毒霸发布的关于该病毒的公告：http://db.kingsoft.com/c/2004/04/05/110530.shtml）
嘿嘿！这下可好，还在担心今天工作无味了，现在又有了可干的了！在全机通缉hws.exe,杀毒！

症状：
1。天网防火墙进程被hws.exe杀害（这个在后面的可以看到）；
2。IE主页被修改，而且正常情况下是不让你改回来的；
3。当你编辑主页表时，提示：“注册表已经被管理员锁定”
我目前发现这些症状，可能还有其他，由于有工作在手没有认真研究，谁可以认真研究一下。

没说的:

1。用procexp（推荐工具，作用：查看当前运行程序的相关进程，虽然有系统进程查看器，但是个人感觉还是这个东西的功能强大，可查到任何运行的进程，并看到与此进程关联的一些数据，居家必备武器）先查查hws.exe的在本地的老家是：%systemroot%/system32/,没有什么说的。kill hws processing and delete %systemroot%/system32/hws.exe

2。解锁注册表。这个方法比较多，可以自己写一个注册表文件倒入注册表解锁，也可以找一个工具，由于今天比较特殊，所以就用了Duba_RegSolve工具解锁注册表（使用此工具，可使IE属性状态全部正常化）；
（ps：编辑一个注册表文件倒入到注册表也可,内容如下：
REGEDIT4

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
）

3。开始-〉运行-〉regedit
注册表内通缉hws.exe和捆绑的IE主页内容（http://7mao.com），杀无赦！

4。再用hijackthis 1.98扫描一下IE,嘿嘿！一切恢复正常！

嘿嘿！看来今天又增添了些自信心了！


总结：
1。不能完全相信杀毒软件。这期间我用norton antivirus 2004 对系统下的hws.exe扫描，居然没有发现病毒！晕！明明它在没有通知我得情况下修改了我的IE阿！
所以，不能完全相信杀毒软件，但是上网时这个东西和防火墙是不能或却得两个安全保障；对于杀毒软件，就像对待书本一样：不能无书，又不可尽信书。
2。系统出现异常时，要随时检查系统，防止黑手；
3。本着学习的态度，我把hws.exe拷贝了一份用uedit32.exe看了看，发现一些常用的杀毒软件进程是会被它给干掉的，看看下图就知道了！

4。注册表还是windows的核心，有什么东西还是在里面多瞧瞧！这次hws.exe也是在里面该得一些东西，可以对照刚才在注册表里面的东西看一些，学习学习。

4。推荐一些常用软件：

软件名称	程序名称	作用
Hijackthis 1.98	Hijackthis.exe	检查IE必备工具（强烈推荐）
Process Explorer	Procexp.exe	查看进程及相关信息（GUI界面）
Duba_RegSolve	Resolve.exe	修复IE工具及查看启动项目