| 導購 | 订阅 | 在线投稿
分享
 
 
 

惡意網頁修改注冊表的十二種現象及解決辦法

來源:互聯網  2008-09-05 07:10:24  評論

惡意網頁修改注冊表的十二種現象及解決辦法

一、注冊表被修改的原因及解決辦法

其實,該惡意網頁是含有有害代碼的ActiveX網頁文件,這些廣告信息的出現是因爲浏覽者的注冊表被惡意更改的結果。

1、IE默認連接首頁被修改

IE浏覽器上方的標題欄被改成「歡迎訪問******網站」的樣式,這是最常見的篡改手段,受害者衆多。

受到更改的注冊表項目爲:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

通過修改「Start Page」的鍵值,來達到修改浏覽者IE默認連接首頁的目的,如浏覽「*****」就會將你的IE默認連接首頁修改爲 http://www.****.com 」,即便是出于給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。

解決辦法:

A. 注冊表法:

①在Windows啓動後,點擊「開始」→「運行」菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;

②展開注冊表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值「Start Page」雙擊 ,將Start Page的鍵值改爲「about:blank」即可;

③同理,展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分窗口中找到串值「Start Page」,然後按②中所述方法處理。

④退出注冊表編輯器,重新啓動計算機,一切OK了!

特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啓以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裏加了一個自運行程序,它會在系統啓動時將你的IE起始頁設成他們的網站。

解決辦法:

運行注冊表編輯器regedit.exe,然後依次展開

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自運行程序c:\Program Files\registry.exe,最後從IE選項中重新設置起始頁就好了。

2、篡改IE的默認頁

有些IE被改了起始頁後,即使設置了「使用默認頁」仍然無效,這是因爲IE起始頁的默認頁也被篡改啦。具體說來就是以下注冊表項被修改:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet ExplorerMain\Default_Page_URL「Default_Page_URL」這個子鍵的鍵值即起始頁的默認頁。

解決辦法:

A.運行注冊表編輯器,然後展開上述子鍵,將「Default_Page_UR」子鍵的鍵值中的那

些篡改網站的網址改掉就好了,或者設置爲IE的默認值。

B.msconfig 有的還是將程序寫入硬盤中,重啓計算機後首頁設置又被改了回去,這時可使用「系統配置實用程序」來解決。開始-運行,鍵入msconfig點擊「確定」,在彈出的窗口中切換到「啓動」選項卡,禁用可疑程序啓動項。

3、修改IE浏覽器缺省主頁,並且鎖定設置項,禁止用戶更改回來。

主要是修改了注冊表中IE設置的下面這些鍵值(DWORD值爲1時爲不可選):

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan

el]"Settings"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan

el]"Links"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan

el]"SecAddSites"=dword:1

解決辦法:

將上面這些DWORD值改爲「0」即可恢複功能。

4、IE的默認首頁灰色按扭不可選

這是由于注冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet E

xplorer\Control Panel下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值爲「0」,被修改爲「

1」(即爲灰色不可選狀態)。

解決辦法:

將「homepage」的鍵值改爲「0」即可。

5、IE標題欄被修改

在系統默認狀態下,是由應用程序本身來提供標題欄的信息,但也允許用戶自行在上述注冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改爲其網站名或更多的廣告信息,從而達到改變浏覽者IE標題欄的目的。

具體說來受到更改的注冊表項目爲:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

解決辦法:

①在Windows啓動後,點擊「開始」→「運行」菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;

②展開注冊表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值「Window Title」 ,將該串值刪除即可,或將Window Title的鍵值改爲「IE浏覽器」等你喜歡的名字;

③同理,展開注冊表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然後按②中所述方法處理。

④退出注冊表編輯器,重新啓動計算機,運行IE,你會發現困擾你的問題解決了!

6、IE右鍵菜單被修改

受到修改的注冊表項目爲:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了網頁的廣告信息,並由此在IE右鍵菜單中出現!

解決辦法:

打開注冊標編輯器,找到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊,這兩個可是「正常」的呀,除非你不想在IE的右鍵菜單中見到它們。

7、IE默認搜索引擎被修改

在IE浏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因是以下注冊表被修改:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

解決辦法:

運行注冊表編輯器,依次展開上述子鍵,將「CustomizeSearch」和「SearchAssis

tant」的鍵值改爲某個搜索引擎的網址即可。

8、系統啓動時彈出對話框

受到更改的注冊表項目爲:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

在其下被建立了字符串「LegalNoticeCaption」和「LegalNoticeText」,其中「L

egalNoticeCaption」是提示框的標題,「LegalNoticeText」是提示框的文本內容。由

于它們的存在,就使得我們每次登陸到Windwos桌面前都出現一個提示窗口,顯示那些網

頁的廣告信息!你瞧,多討厭啊!

解決辦法:

打開注冊表編輯器,找到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

這一個主鍵,然後在右邊窗口中找到「LegalNoticeCaption」和「LegalNoticeTex

t」這兩個字符串,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。

9、浏覽網頁注冊表被禁用

這是由于注冊表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

下的DWORD值「DisableRegistryTools」被修改爲「1」的緣故,將其鍵值恢複爲「

0」即可恢複注冊表的使用。

解決辦法

用記事本程序建立以REG爲後綴名的文件,將下面這些內容複制在其中就可以了:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

]「DisableRegistryTools」=dword:00000000

10、浏覽網頁開始菜單被修改

這是最「狠」的一種,讓浏覽者有生不如死的感覺。浏覽後不僅有類似上面所說的

那些症狀,還會有以下更悲慘的遭遇:

1)禁止「關閉系統」

2)禁止「運行」

3)禁止「注銷」

4)隱藏C盤——你的C盤找不到了!

5)禁止使用注冊表編輯器regedit

6)禁止使用DOS程序

7)使系統無法進入「實模式」

8)禁止運行任何程序

具體的原因和解決辦法請看天極網e企業之安全之路欄目的這篇文章:《浏覽網頁注冊表被修改之迷及解決辦法》。

以上是比較常見的修改浏覽者注冊表的現象,今天在浏覽網頁時,無意中來到某個

個人網站,又遇到了以前沒有碰到過的問題:

11、IE中鼠標右鍵失效

浏覽網頁後在IE中鼠標右鍵失效,點擊右鍵沒有任何反應!

12、查看「「源文件」菜單被禁用

在IE窗口中點擊「查看」→「源文件」,發現「源文件」菜單已經被禁用。

我在浏覽網頁時並沒有注意到上面這兩個問題,因爲當時正好朋友叫我有事,于是

我就退出電腦了,晚上吃完飯開啓電腦連線上網,就發現IE中鼠標右鍵失效,「查看」

菜單中的「源文件」被禁用。不能查看源文件也就罷了,但是無法使用鼠標右鍵真是太

不方便了。得想個辦法!

找出最新版的超級兔子魔法設置試試吧,呀!不能解決!看來是個新問題,不過自

己好歹也是「老革命」了,這點問題應該難不住我。于是到注冊表中一番搜尋,經過一

番查找終于弄明白了問題的所在。

原來,惡意網頁修改了我的注冊表,具體的位置爲:

在注冊表HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

下建立子鍵「Restrictions」,然後在「Restrictions」下面建立兩個DWORD值:「

NoViewSource」和「NoBrowserContextMenu」,並爲這兩個DWORD值賦值爲「1」。

在注冊表

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restric

tions下,將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改爲

了「1」。

通過上面這些鍵值的修改就達到了在IE中使鼠標右鍵失效,使「查看」菜單中的「

源文件」被禁用的目的。要向你說明的是第2點中提到的注冊表其實相當于第1點中提到

的注冊表的分支,修改第1點中所說的注冊表鍵值,第2點中注冊表鍵值隨之改變。

解決辦法:

明白了道理,問題解決起來就容易多了,具體解決辦法爲:將以下內容另存爲後綴

名爲reg的注冊表文件,比方說unlock.reg,雙擊unlock.reg導入注冊表,不用重啓電腦

,重新運行IE就會發現IE的功能恢複正常了。

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

\Restrictions]

「NoViewSource」=dword:00000000

"NoBrowserContextMenu"=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer

\Restrictions]

「NoViewSource」=dword:00000000

「NoBrowserContextMenu」=dword:00000000

要特別注意的是,在你編制的注冊表文件unlock.reg中,「REGEDIT4」一定要大寫

,並且它的後面一定要空一行,還有,「REGEDIT4」中的「4」和「T」之間一定不能有

空格,否則將前功盡棄!許多朋友寫注冊表文件之所以不成功,就是因爲沒有注意到上

面所說的內容,這回該注意點喽。請注意如果你是Win2000或WinXP用戶,請將「REGEDIT4」改爲Windows Registry Editor Version 5.00。

惡意網頁修改注冊表的十二種現象及解決辦法      一、注冊表被修改的原因及解決辦法   其實,該惡意網頁是含有有害代碼的ActiveX網頁文件,這些廣告信息的出現是因爲浏覽者的注冊表被惡意更改的結果。      1、IE默認連接首頁被修改    IE浏覽器上方的標題欄被改成「歡迎訪問******網站」的樣式,這是最常見的篡改手段,受害者衆多。   受到更改的注冊表項目爲:   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page   通過修改「Start Page」的鍵值,來達到修改浏覽者IE默認連接首頁的目的,如浏覽「*****」就會將你的IE默認連接首頁修改爲 [url=http://www.****.com]http://www.****.com[/url] 」,即便是出于給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。      解決辦法:   A. 注冊表法:   ①在Windows啓動後,點擊「開始」→「運行」菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;   ②展開注冊表到   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值「Start Page」雙擊 ,將Start Page的鍵值改爲「about:blank」即可;   ③同理,展開注冊表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main   在右半部分窗口中找到串值「Start Page」,然後按②中所述方法處理。   ④退出注冊表編輯器,重新啓動計算機,一切OK了!    特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啓以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裏加了一個自運行程序,它會在系統啓動時將你的IE起始頁設成他們的網站。      解決辦法:      運行注冊表編輯器regedit.exe,然後依次展開   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自運行程序c:\Program Files\registry.exe,最後從IE選項中重新設置起始頁就好了。       2、篡改IE的默認頁   有些IE被改了起始頁後,即使設置了「使用默認頁」仍然無效,這是因爲IE起始頁的默認頁也被篡改啦。具體說來就是以下注冊表項被修改:   HKEY_LOCAL_MACHINE\Software\Microsoft\Internet ExplorerMain\Default_Page_URL「Default_Page_URL」這個子鍵的鍵值即起始頁的默認頁。      解決辦法:      A.運行注冊表編輯器,然後展開上述子鍵,將「Default_Page_UR」子鍵的鍵值中的那   些篡改網站的網址改掉就好了,或者設置爲IE的默認值。      B.msconfig 有的還是將程序寫入硬盤中,重啓計算機後首頁設置又被改了回去,這時可使用「系統配置實用程序」來解決。開始-運行,鍵入msconfig點擊「確定」,在彈出的窗口中切換到「啓動」選項卡,禁用可疑程序啓動項。 3、修改IE浏覽器缺省主頁,並且鎖定設置項,禁止用戶更改回來。   主要是修改了注冊表中IE設置的下面這些鍵值(DWORD值爲1時爲不可選):   [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan   el]"Settings"=dword:1   [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan   el]"Links"=dword:1   [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan   el]"SecAddSites"=dword:1      解決辦法:   將上面這些DWORD值改爲「0」即可恢複功能。       4、IE的默認首頁灰色按扭不可選   這是由于注冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet E   xplorer\Control Panel下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值爲「0」,被修改爲「   1」(即爲灰色不可選狀態)。      解決辦法:      將「homepage」的鍵值改爲「0」即可。    5、IE標題欄被修改      在系統默認狀態下,是由應用程序本身來提供標題欄的信息,但也允許用戶自行在上述注冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改爲其網站名或更多的廣告信息,從而達到改變浏覽者IE標題欄的目的。      具體說來受到更改的注冊表項目爲:   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title      解決辦法:      ①在Windows啓動後,點擊「開始」→「運行」菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;   ②展開注冊表到   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值「Window Title」 ,將該串值刪除即可,或將Window Title的鍵值改爲「IE浏覽器」等你喜歡的名字;   ③同理,展開注冊表到   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然後按②中所述方法處理。   ④退出注冊表編輯器,重新啓動計算機,運行IE,你會發現困擾你的問題解決了!       6、IE右鍵菜單被修改   受到修改的注冊表項目爲:   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了網頁的廣告信息,並由此在IE右鍵菜單中出現!      解決辦法:      打開注冊標編輯器,找到   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt   刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊,這兩個可是「正常」的呀,除非你不想在IE的右鍵菜單中見到它們。    7、IE默認搜索引擎被修改      在IE浏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因是以下注冊表被修改:   HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch   HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant      解決辦法:      運行注冊表編輯器,依次展開上述子鍵,將「CustomizeSearch」和「SearchAssis   tant」的鍵值改爲某個搜索引擎的網址即可。       8、系統啓動時彈出對話框   受到更改的注冊表項目爲:   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon      在其下被建立了字符串「LegalNoticeCaption」和「LegalNoticeText」,其中「L   egalNoticeCaption」是提示框的標題,「LegalNoticeText」是提示框的文本內容。由   于它們的存在,就使得我們每次登陸到Windwos桌面前都出現一個提示窗口,顯示那些網   頁的廣告信息!你瞧,多討厭啊!      解決辦法:      打開注冊表編輯器,找到   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon   這一個主鍵,然後在右邊窗口中找到「LegalNoticeCaption」和「LegalNoticeTex   t」這兩個字符串,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。       9、浏覽網頁注冊表被禁用      這是由于注冊表   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System   下的DWORD值「DisableRegistryTools」被修改爲「1」的緣故,將其鍵值恢複爲「   0」即可恢複注冊表的使用。      解決辦法      用記事本程序建立以REG爲後綴名的文件,將下面這些內容複制在其中就可以了:   REGEDIT4   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System   ]「DisableRegistryTools」=dword:00000000       10、浏覽網頁開始菜單被修改   這是最「狠」的一種,讓浏覽者有生不如死的感覺。浏覽後不僅有類似上面所說的   那些症狀,還會有以下更悲慘的遭遇:      1)禁止「關閉系統」      2)禁止「運行」      3)禁止「注銷」      4)隱藏C盤——你的C盤找不到了!      5)禁止使用注冊表編輯器regedit      6)禁止使用DOS程序      7)使系統無法進入「實模式」      8)禁止運行任何程序      具體的原因和解決辦法請看天極網e企業之安全之路欄目的這篇文章:《浏覽網頁注冊表被修改之迷及解決辦法》。      以上是比較常見的修改浏覽者注冊表的現象,今天在浏覽網頁時,無意中來到某個   個人網站,又遇到了以前沒有碰到過的問題:       11、IE中鼠標右鍵失效   浏覽網頁後在IE中鼠標右鍵失效,點擊右鍵沒有任何反應!       12、查看「「源文件」菜單被禁用      在IE窗口中點擊「查看」→「源文件」,發現「源文件」菜單已經被禁用。   我在浏覽網頁時並沒有注意到上面這兩個問題,因爲當時正好朋友叫我有事,于是   我就退出電腦了,晚上吃完飯開啓電腦連線上網,就發現IE中鼠標右鍵失效,「查看」   菜單中的「源文件」被禁用。不能查看源文件也就罷了,但是無法使用鼠標右鍵真是太   不方便了。得想個辦法!      找出最新版的超級兔子魔法設置試試吧,呀!不能解決!看來是個新問題,不過自   己好歹也是「老革命」了,這點問題應該難不住我。于是到注冊表中一番搜尋,經過一   番查找終于弄明白了問題的所在。      原來,惡意網頁修改了我的注冊表,具體的位置爲:      在注冊表HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer  下建立子鍵「Restrictions」,然後在「Restrictions」下面建立兩個DWORD值:「   NoViewSource」和「NoBrowserContextMenu」,並爲這兩個DWORD值賦值爲「1」。   在注冊表   HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restric   tions下,將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改爲   了「1」。      通過上面這些鍵值的修改就達到了在IE中使鼠標右鍵失效,使「查看」菜單中的「   源文件」被禁用的目的。要向你說明的是第2點中提到的注冊表其實相當于第1點中提到   的注冊表的分支,修改第1點中所說的注冊表鍵值,第2點中注冊表鍵值隨之改變。      解決辦法:      明白了道理,問題解決起來就容易多了,具體解決辦法爲:將以下內容另存爲後綴   名爲reg的注冊表文件,比方說unlock.reg,雙擊unlock.reg導入注冊表,不用重啓電腦   ,重新運行IE就會發現IE的功能恢複正常了。   REGEDIT4   [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer   \Restrictions]   「NoViewSource」=dword:00000000   "NoBrowserContextMenu"=dword:00000000   [HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer   \Restrictions]   「NoViewSource」=dword:00000000   「NoBrowserContextMenu」=dword:00000000      要特別注意的是,在你編制的注冊表文件unlock.reg中,「REGEDIT4」一定要大寫   ,並且它的後面一定要空一行,還有,「REGEDIT4」中的「4」和「T」之間一定不能有   空格,否則將前功盡棄!許多朋友寫注冊表文件之所以不成功,就是因爲沒有注意到上   面所說的內容,這回該注意點喽。請注意如果你是Win2000或WinXP用戶,請將「REGEDIT4」改爲Windows Registry Editor Version 5.00。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有