第3章计算机病毒及其防治课件

第3章计算机病毒及其防治

计算机病毒概述3.1

计算机病毒的检测与防治3.2

计算机病毒防治中的常见问题3.3

计算机客户端病毒的防范方法3.4

病毒的清除3.56/9/202313.1计算机病毒概述

3.1.1计算机病毒发展简史1．计算机病毒的概念

对于病毒概念的起源可追溯到科幻小说。在20世纪70年代，美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制、利用通信进行传播的计算机程序，并称之为计算机病毒。“病毒”一词是借用生物学中的病毒。计算机病毒有很多种定义，从广义上讲，凡是能引起计算机故障，破坏计算机中数据的程序都统称为计算机病毒。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒。现今国外流行的定义是：计算机病毒是一段依附在其他程序上，可以实现自我繁殖的程序代码。6/9/20232在国内，《中华人民共和国计算机信息系统安全保护条例》对病毒的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。6/9/202332．计算机病毒发展简史1．计算机病毒发展简史世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。

1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。6/9/202342．计算机病毒在中国的发展情况在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代以后，计算机病毒在国内的泛滥更为严重。CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。6/9/202353．计算机病毒发展的10个阶段（1）DOS引导阶段（2）DOS可执行文件阶段（3）混合型阶段（4）伴随型阶段（5）多形型阶段（6）生成器，变体机阶段（7）网络，蠕虫阶段（8）Windows阶段（9）宏病毒阶段（10）Internet阶段

返回本节6/9/202363.1.2计算机病毒的分类

1．按传染方式分类（1）引导型病毒：可以传染计算机磁盘引导程序，先于操作系统而存在，依托的环境是BIOS中断服务程序。（2）文件型病毒：能够传染可执行文件。（3）复合型病毒：具有引导型病毒和文件型病毒寄生方式的计算机病毒称为复合型病毒。6/9/202372．按寄生方式分类（1）代替型病毒：病毒在传染病毒宿主后，用其自身代码的部分或全部代替正常程序的部分或全部，从而使宿主程序不能正常运行。（2）链接型病毒：将病毒程序代码链接到被传染的宿主程序代码的首部、中部或尾部，对原来的程序不做修改。6/9/20238（3）存储型病毒：病毒将原合法程序的代码转移到存储介质的其他部位，而病毒代码占据原合法程序的位置。（4）源码病毒：主要是利用java、vbs、ActiveX等网络编程语言编写的，放在电子邮件的附件或HTML网页中，从而进入到被感染的计算机中执行的病毒。6/9/202393．按危害程度分类（1）良性病毒又称表现型病毒，这类病毒对源程序不做修改，对系统的危害较小。（2）恶性病毒又称破坏型病毒，它的目的就是对计算机的软件和硬件进行恶意的攻击，使系统遭到严重的破坏。（3）中性病毒是指那些既不对计算机系统造成直接破坏，又没有表现症状，只是疯狂地复制自身的计算机病毒，也就是常说的蠕虫型病毒。6/9/2023104．按攻击对象分类

（1）攻击DOS的病毒（2）攻击Windows的病毒（3）攻击网络的病毒6/9/2023113.1.3计算机病毒的特征

1．传染性2．破坏性3．潜伏性4．可触发性5．演变性6．不可预见性6/9/2023123.2计算机病毒的检测与防治被感染的程序从病毒代码开始，进行如下工作：第一行代码是到主病毒程序的一个跳转，第二行是一个特殊标记，病毒用来确定潜在的受害者程序是否已经被这个病毒感染了。当这个程序被调用时，控制立刻传递给主病毒程序。病毒程序先找出没被感染的可执行文件并且感染它们。下一步，病毒可能进行某个动作，通常是对系统有害的动作。这个动作可能在每次调用程序时都会被执行，或有它可能是一个只在特定条件下触发的逻辑炸弹。最后，病毒将控制权传递给原来的程序。如果程序的感染阶段相当快，用户不可能注意到一个被感染的和一个没被感染的程序执行之间的差别。3.2.1计算机病毒的工作原理6/9/202313计算机病毒的工作步骤（a）引导型病毒（b）文件型病毒6/9/2023143.2.2计算机病毒的检测一异常情况判断计算机系统运行速度明显降低系统容易死机文件改变、破坏磁盘空间迅速减少内存不足系统异常频繁重启动频繁产生错误信息6/9/202315二使用病毒检测技术1．病毒特征码扫描法：病毒特征码是反病毒公司在分析病毒时，确定的只有该病毒才可能会有的一段独一无二的二进制程序码。2．对比法：将原始备份的正常无毒对象与被检测的可疑对象进行比较。3．行为监测法：是一种检测计算机行为的常驻式扫描技术，通过对病毒的深入分析和总结，发现病毒的一些共同行为。6/9/2023164．软件模拟法：专门用来对付多态性的病毒，此技术是在设计的虚拟机上模拟CPU的执行过程，让CPU假执行病毒的变体引擎解码程序，安全并确实地将多态性病毒解开，使其显露原本的面目。5．实时I/O扫描：即时地对计算机上的I/O数据做病毒特征码比对的工作。6．网络监测法：对查找局域网内感染网络病毒的计算机比较有效。6/9/2023173.2.3计算机病毒的防治

1．在思想和制度方面建立、健全法律和管理制度加强教育和宣传，打击盗版2．在技术措施方面系统安全软件过滤软件加密备份恢复建立严密的病毒监视体系在内部网络出口进行访问控制6/9/2023183.2.4计算机病毒防治软件的选购

1．防、杀毒软件的选购指标选购病毒防治软件时，需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。（1）检测速度：选择每30秒能够扫描1000个文件以上的病毒防治软件。（2）识别率：识别率越高，误报率和漏报率也就越低。（3）病毒清除效果2．常用的防、杀毒软件介绍6/9/2023193.2.5计算机病毒的防御步骤1．用常识进行判断2．安装防病毒产品并保证更新最新的病毒定义码3．首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描4．插入光盘和可插拔介质前，一定对它们进行病毒扫描5．不要从任何不可靠的渠道下载任何软件6/9/2023206．警惕欺骗性的病毒7．使用其他形式的文档，如.rtf（RichTextFormat）和.pdf（PortableDocumentFormat）8．不要用共享的u盘安装软件9．禁用WindowsScriptingHost（Windows脚本宿主，是内嵌于Windows操作系统中的脚本语言工作环境）10．使用基于客户端的防火墙或过滤措施6/9/2023213.3计算机病毒防治中的常见问题3.3.1根据名称识别计算机病毒下面是对一些常见病毒前缀的解释。1．系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等，这些病毒的一般共有特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。6/9/2023222．蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。6/9/202323蠕虫病毒与其他病毒的区别普通病毒蠕虫病毒

存在形式

寄存文件独立程序传染机制宿主程序运行主动攻击

传染目标本地文件网络计算机6/9/202324蠕虫病毒的特点破坏性强传染方式多一种是针对企业的局域网，主要通过系统漏洞；另外一种是针对个人用户的,主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。传播速度快清除难度大6/9/2023253．木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息；而黑客病毒则有一个可视的界面，能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的计算机，黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。6/9/202326

一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有比较多见的针对网络游戏的木马病毒，如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之类的，一般都表示这个病毒有盗取密码的功能（这些字母为“密码”的英文“password”缩写）。一些黑客程序，如网络枭雄（Hack.Nether.Client）等。6/9/2023274．脚本病毒脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。6/9/2023285．宏病毒其实宏病毒也是脚本病毒的一种，由于它的特殊性，因此单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97。宏病毒的主要特征如下：1）宏病毒会感染.DOC文档和.DOT模板文件。2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。6/9/2023293）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。4）宏病毒中总是含有对文档读写操作的宏命令。5）宏病毒在.DOC文档、.DOT模板中以BFF（BinaryFileFormat）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。6）宏病毒具有兼容性。返回本节6/9/2023306．后门病毒后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户计算机埋下安全隐患。如很多用户遇到过的IRC（全名为InternetRelayChat，是一款即时聊天工具，类似网络聊天室，但功能更强大）后门Backdoor.IRCBot。6/9/2023317．病毒种植程序病毒

这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。6/9/2023328．破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是以好看的图标来诱惑用户单击。当用户单击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。6/9/2023339．玩笑病毒

玩笑病毒的前缀是：Joke，也称恶作剧病毒。这类病毒的共有特性也是以好看的图标来诱惑用户单击。当用户单击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户计算机进行任何破坏。如：女鬼（Joke.Girlghost）病毒。6/9/20233410．捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，表面上是运行这些应用程序，实际上是隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。6/9/2023353.3.2区别计算机病毒与计算机故障1．计算机病毒的现象与查解方法

在一般情况下，计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散的，病毒发作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，总是有一定规律地出现异常现象，如下所列。6/9/202336（1）屏幕显示异常，屏幕显示出不是由正常程序产生的画面，而是显示混乱（2）程序装入时间增长，文件运行速度下降（3）用户没有访问的设备却出现工作信号（4）磁盘出现莫名其妙的文件和坏块，卷标发生变化（5）系统自行引导（6）丢失数据或程序，文件字节数发生变化（7）内存空间、磁盘空间减小（8）异常死机（9）磁盘访问时间比平时增长（10）系统引导时间增长6/9/2023372．与病毒现象类似的硬件故障

（1）系统的硬件配置（2）电源电压不稳定（3）插件接触不良（4）软驱故障（5）CMOS的问题6/9/2023383．与病毒现象类似的软件故障

（1）出现“Invaliddrivespecification”（非法驱动器号）（2）软件程序已被破坏（非病毒）（3）DOS系统配置不当（4）软件与DOS版本的兼容性（5）引导过程故障（6）用不同的编辑软件编写程序6/9/2023393.4计算机客户端病毒的防范方法3.4.1客户端的病毒防护步骤1．减小攻击面2．应用安全更新3．启用基于主机的防火墙4．安装防病毒软件5．测试漏洞扫描程序6．使用最少特权策略7．限制未授权的应用程序6/9/2023403.4.2客户端应用程序的防病毒设置1．电子邮件客户端

2．桌面应用程序3．即时消息应用程序4．Web浏览器5．对等应用程序6/9/2023413.5病毒的清除

3.5.1邮件病毒的清除1．断开网络2．文件备份3．杀毒软件4．安全处理5．预防邮件病毒6/9/2023423.5.2QQ病毒特征及清除方法

1．“QQ尾巴”病毒（1）病毒主要特征这种病毒并不是利用QQ本身的漏洞进行传播，而是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统、进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候，所访问网页中嵌入的恶意代码即被运行，并立即会通过IE的漏洞运行一个木马程序进驻用户机器。6/9/202343然后在用户使用QQ向好友发送信息的时候，该木马程序就自动在发送的消息末尾插入一段广告词，通常都是以下类型：“HoHo～～http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。”6/9/202344（2）清除方法

在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。安装系统漏洞补丁由病毒的播方式知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该马上下载IE的iFrame漏洞补丁。6/9/2023452．QQ“缘”病毒

（1）病毒特征该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/。如果发现自己的IE首页被修改成以上网址，就表明是被该病毒感染了。病毒会利用QQ发送例如：“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧，点击下面这个地址可以下载这本书”；6/9/202346“1937年12月13日，300000南京人民被侵华日军集体大屠杀！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心，中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土，台湾是中国不可分割的一部份，请你将此消息发给你QQ上的好友!”。消息里的链接是病毒网址。6/9/202347（2）清除方法使用下面的办法可将其彻底删除。找到下列文件并删除：

C:\Windows\system\noteped.exeC:\Windows\system\Taskmgr.exeC:\Windows\noteped.exeC:\Windwos\system32\noteped.exe6/9/202348其中，对于Taskmgr.exe要先打开“window任务管理器”，选中进程“Taskmgr.exe”，杀掉。其中，有两个名字叫“Taskmgr.exe”的进程，一个是QQ病毒，一个是刚才打开的“Window任务管理器”。然后到注册表中找到：“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”找到“Taskmgr”删除。6/9/202349也可以通过下面的方式删除病毒。在任务栏上单击鼠标右键，选择任务管理器；选择进程里的Taskmgr.exe；单击“开始”、“运行”，输入Regedit进入注册表；在注册表中找到6/9/202350“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”将Taskmgr项删除。删除后重启计算机，“缘”QQ病毒彻底删除。需要注意的是，应该尽快更新IE到其高级版本，这样可以减少很多的IE被改机会。6/9/2023513．QQ“狩猎者”病毒（1）病毒特征在进行QQ聊天时会在消息中加入如下信息：“向你介绍一个好看的动画网：”

当浏览带毒网站时，会利用IE漏洞尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件b.sys。如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将病毒安装到Windows/DownloadedProgramFiles文件夹中，文件名为b.exe。如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。6/9/202352复制文件复制病毒体到SystemRoot文件夹中，文件名为Rundll32.exe；复制病毒体为“C:\cmd.exe”，试图复制病毒体到共享目录中，名为“病毒专杀.exe”和“周杰伦演唱会.exe”。添加注册表启动项，以随机启动在注册表的主键：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run处添加“LoadPowerProfile=/SystemRoot/Rundll32.exe”键值。6/9/202353修改和新增以下文件关联修改.exe文件的关联，每当执行exe文件时，首先执行病毒预先复制的病毒文件，在注册表的主键：HKEY_CLASS_ROOT\exefile\shell\open\command修改键值：默认="C：\cmd.exe%1&*"新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件b.sys在注册表的主键:HKEY_CLASS_ROOT\sysfile\shell\open\command修改键值：默认="%1"%*新增.tmp文件的执行关联在注册表的主键：HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值：默认="%1"%*6/9/202354

试图偷传奇游戏的密码，并通过自带的邮件引擎以“mj25257758@263.”的名义发送到“scmsmj@”信箱中。在Win2000、WinXP、Win2003系统中，系统文件“Rundll32.exe”就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载。6/9/202355（2）清除方法

关闭WindowsMe、WindowsXP、Windows2003的“系统还原”功能；重新启动到安全模式下；先将regedit.exe改名为，再用资源管理器结束cmd.exe进程，然后运行，将EXE关联修改为“"%1"%*”，再删除C:\cmd.exe、%Windows%\DownloadProgramFiles\b.exe文件，对于Windows9x系统，还要删除%SystemRoot%\Rundll32.exe，再到共享目录中看有没有“病毒专杀.exe”和“周杰伦演唱会.exe”这两个文件，文件大小为11184字节，如果有，将其删除；打开注册表，删除主键：HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open修改HKEY_CLASSES_ROOT\exefile\shell\open\command的键值为"%1"%*。6/9/202356（3）防范措施

不要轻易单击QQ上的不明链接，不要安装来历不明的插件（如该病毒网站上所谓的“动画播放插件2.0”）。6/9/2023573.5.3恶意网页病毒症状分析及修复方法1．默认主页被修改（1）破坏特性：默认主页被自动改为某网站的网址。（2）表现形式：浏览器的默认主页被自动设为如********.COM的网址。（3）清除方法：采用手动修改注册表法，单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具，按顺序依次打开：HKEY_current_USER\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL键值名（用来设置默认主页），在右窗口单击右键进行修改即可。按【F5】键后刷新生效。危害程度：一般6/9/2023582．默认首页被修改（1）破坏特性：默认首页被自动改为某网站的网址。（2）表现形式：浏览器的默认主页被自动设为如********.COM的网址。（3）清除方法：采用手动修改注册表法，单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到StartPage键值名（用来设置默认首页），在右窗口单击右键进行修改即可。按【F5】键后刷新生效。危害程度：一般6/9/2023593．默认的微软主页被修改（1）破坏特性：默认微软主页被自动改为某网站的网址。（2）表现形式：默认微软主页被篡改。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL键值名（用来设置默认微软主页），在右窗口单击右键，将键值修改为http://www./windows/ie_intl/cn/start/即可。按【F5】键刷新生效。6/9/202360自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"default_page_url/windows/ie_intl/cn/start/"

危害程度：一般6/9/2023614．主页设置被屏蔽锁定，且设置选项无效不可更改（1）破坏特性：主页设置被禁用。（2）表现形式：主页地址栏变成灰色被屏蔽。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”。按【F5】键刷新生效。6/9/202362自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]"HomePage"=dword:00000000

危害程度：轻度6/9/2023635．默认的IE搜索引擎被修改（1）破坏特性：将IE的默认微软搜索引擎更改。（2）表现形式：搜索引擎被篡改。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。6/9/202364按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search分支，找到“SearchAssistant”键值名，在右面窗口单击“修改”，即可对其键值进行输入为：http://ie.search./{SUB_RFC1766}/srchasst/srchasst.htm，然后再找到“CustomizeSearch”键值名，将其键值修改为：/{SUB_RFC1766}/srchasst/srchasst.htm，按【F5】键刷新生效。6/9/202365自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]"SearchAssistant"=/{SUB_RFC1766}/srchasst/srchasst.htm"CustomizeSearch"=/{SUB_RFC1766}/srchasst/srchasst.htm

危害程度：一般6/9/2023666．IE标题栏被添加非法信息（1）破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。（2）表现形式：在IE顶端蓝色标题栏上多出了类似“正点网，http://”的信息。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。6/9/202367按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”键值名，输入键值为MicrosoftInternetExplorer，按【F5】刷新生效。按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”键值名，输入键值为MicrosoftInternetExplorer，按【F5】刷新生效。6/9/202368自动文件导入注册表法把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"危害程度：一般6/9/2023697．OE标题栏被添加非法信息破坏特性（1）破坏特性：通过修改注册表，在微软的集成电子邮件程序MicrosoftOutlook顶端标题栏添加宣传网站的广告信息。（2）表现形式：在顶端的OutlookExpress蓝色标题栏添加非法信息。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\OutlookExpress分支，找到WindowTitle以及StoreRoot键值名，将其键值均设为空。按【F5】键刷新生效。6/9/202370自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\OutlookExpress]"WindowTitle"="""StoreRoot"=""危害程度：一般6/9/2023718．鼠标右键菜单被添加非法网站链接（1）破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。（2）表现形式：添加“网址之家”等诸如此类的链接信息。（3）清除方法：单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按【F5】键刷新生效。危害程度：一般6/9/2023729．鼠标右键弹出菜单功能被禁用失常（1）破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。（2）表现形式：在IE中单击右键毫无反应。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支，找到“NoBrowserC