处理恶意修改网页的一些经验96444.doc

1、处理恶意修改网页的一些经验 96444天阶夜色凉如水，卧看牵牛织女星。小楼一夜听风雨，深巷明朝卖杏花。仰天大笑出门去，我辈岂是蓬蒿人。万里赴戎机，关山度若飞。处理恶意修改网页的一些经验无意间在天涯看到的，发现很有用，可以帮助解决电脑上网带来的一些常见毛病，遂转之。恶意网页大多是通过浏览网页中利用 IE 的 AcriveX 控间漏洞使用Script 语句对注册表进行修改 1、普通修改：因为这种修改可以通过手动在 IE 选项里修改回来，就不在详述 2、复杂的修改：这种修改在对 IE 主页修改的同时还修改的注册表的启动项，造成的现象是无法通过手动修改来修复，在系统重新启动以后会自动重新修改成恶意网站

2、的地址。对于这种修改的处理我通常采用以下几 个方法： A、利用网络上的一些软件比如:3721 上网助手、IE 修复器等软件修改。如果失败请再往下看 B、有些会在开机时自动打开 IE 的: B-1.查看“启动”菜单里有没有可疑的程序（很多人现在都只在注册表的 RUN 里面找，而忽略的这里。B-2.如果没有再从注表 “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”查找 C、如果还是没有找到，记住自动连接的网站地址，打开文件夹选项-显示所有文件，用搜索功能查找，在包含文字中填入恶意网站的地址，如果找到了记住该文件名，同时在注册表

3、里搜索刚才查到的文件名，将找 到的字段删除就可以了。 D.有些网站是修改了启动调用文件，在上述的方法仍然无效的情况下，请用 msconfig?indows 自带的工具，或者下载SysMechanic 这个工具（我一直都用它，不过是英文界面，而且是共享软件，但时间的破解很容易 哦，这个软件对系统的管理很好）查看启动项，要看仔细了，很多程序和 windows 的程序名只有一点点的差别，如果你不能确定可以和其他正常的电脑比较一下。如果发现了你知道该怎么做。 E.如果还没有发现看看启动程序调用的 DLL 文件用写字板打开看到恶意网站的地址修改过来或者直接删除这个 DLL 文件。 F.如果还没有发现，也

4、不要灰心，先关闭 windows 下所有的自启动程序（像防火墙之类的）用 SysMechanic 查看启动项目，逐个禁止自启动程序，直到发现为止。 （Internat.exe 和 SysTray.exe可以不用禁止）记住 Explorer.exe 是不在自启动项目里面的，如果它在自启动项目里面从其他电脑里面 copy 后覆盖掉。 其他的处理 如果右键中有网站连接。打开注册表,查找有关该连接名的键值删除。 位置：“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt” 如果工具菜单和工具栏中有网站连接，位置： “HKEY_LOCAL

5、_MACHINESoftwareMicrosoftInternetExplorerHKEY_LOCAL_MACHINESoftware MicrosoftInternet ExplorerExtensions”点击文件夹的“”号，找到删除或造成 IE 被恶意修改的原因是什么呢？怎么防范呢？ 罪魁祸首：当然是Microsoft，呵呵，主要是 ie 的执行脚本的一些漏洞啦，通过利用 ActiveX 修改注册表重要项达到破坏目的。至于 Applet、ActiveX 及 java 和 vb 脚本语言，就请有兴趣的朋友自己去了解了解了（主要是通过本地机上的 WSH 解析并在本地机上执行代码或者激活应用程

6、序） 。幸好现在的杀毒软件都增加了放恶意代码的功能。 阻止恶意代码修改注册表： 1、大部分的恶意代码只对 IE5.0 版本有效，所以将 IE 升级到6.0，并及时下载打上补丁！ 下载安装微软 WSH 最新版，好像是5.6 版！ 2、安装最新的杀毒软件，打开实时监控保护上网安全，因为可以阻挡此类大部分恶意代码！ 3、警惕性好一点，不要受不良诱惑，尽量不要上你不知道或者不熟悉的网站！（近来的“网页贺卡”也可能是一种传播途径哦）！4、设置 ie 安全级别，不推荐，因为这样有点因噎废食，鸵鸟政策的感觉！ 5、禁止编辑注册表，win2000 用禁止远程编辑注册表！ 6、下载优化大师、超级兔子魔法设置、金

7、山注册表恢复器、“魔法石“网页（由 3721 提供， “魔法石“http:/ IE 设置！ 7、屏蔽一些网站:IE 浏览器，选择选单栏里的“工具”“Internet 选项”“内容”“分级审查” ，点击“启用”按钮，在弹出的“分级审查”对话框中切换到“许可站点”标签，输入您想屏蔽的网站网址，随后点击“从不”按钮，再点“确定”即可! 注册表被修改的原因及手工修改解决办法： 1、IE 默认连接首页被修改 受到更改的注册表项目为： HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page HKEY_CURRENT_USERS

8、oftwareMicrosoftInternet ExplorerMainStart Page 通过修改“Start Page”的键值，来达到修改浏览者 IE 默认连接首页的目的，如浏览“万花谷”就会将你的 IE 默认连接首页修改为“http:/ ” ，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。 解决办法： 在 Windows 启动后，点击“开始”“运行”菜单项，在“打开”栏中键入 regedit，然后按“确定”键； 展开注册表到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain 下，在

9、右半部分窗口中找到串值“Start Page”双击 ，将 Start Page 的键值改为“about:blank”即可；同理，展开注册表到 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 在右半部分窗口中找到串值“Start Page” ，然后按中所述方法处理。 退出注册表编辑器，重新启动计算机，一切 OK 了！特殊例子：当 IE 的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址。 其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的 IE 起始页设成他们的网站。 解决办法： 运行注册表

10、编辑器 regedit.exe，然后依次展开 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun 主键，然后将其下的 registry.exe 子键删除，然后删除自运行程序 c:Program Filesregistry.exe，最后从 IE 选项中重新设置起始页就好了。 2、篡改 IE 的默认页 有些 IE 被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为 IE 起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改： HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Ex

11、plorerMainDefault_Page_URL“Default_Page_URL” 这个子键的键值即起始页的默认页。 解决办法： 运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为 IE 的默认值。 3、修改 IE 浏览器缺省主页，并且锁定设置项，禁止用户更改回来。 主要是修改了注册表中 IE 设置的下面这些键值(DWORD 值为 1时为不可选)： HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel“Settings“=

12、dword:1 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerControl Panel“Links“=dword:1 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerControl Panel“SecAddSites“=dword:1 解决办法： 将上面这些 DWORD 值改为“0”即可恢复功能。4、IE 的默认首页灰色按扭不可选 这是由于注册表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet Expl

13、orerControl Panel 下 的 DWORD 值“homepage”的键值被修改的缘故。原来的键值为“0” ，被修改为“ 1” （即为灰色不可选状态） 。 解决办法： 将“homepage”的键值改为“0”或者删除这个项即可。 5、IE 标题栏被修改 在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值 Window Title 下的键值改为其网站名或更多的广告信息，从而达到改变浏览者 IE 标题栏的目的。 具体说来受到更改的注册表项目为： HKEY_LOCAL_MACHINESOFTW

14、AREMicrosoftInternet ExplorerMainWindow Title HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title 解决办法： 在 Windows 启动后，点击“开始”“运行”菜单项，在“打开”栏中键入 regedit，然后按“确定”键；展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain 下，在右半部分窗口中找到串值“Window Title“，将该串值删除即可，或将 Window Title 的键值改为“IE

15、浏览器”等你喜欢的名字； 同理，展开注册表到 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 然后按中所述方法处理。 退出注册表编辑器，重新启动计算机，运行 IE，你会发现困扰你的问题解决了！ 6、IE 右键菜单被修改 受到修改的注册表项目为： HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt 下被新建了网页的广告信息，并由此在 IE 右键菜单中出现！ 解决办法：打开注册标编辑器，找到HKEY_CURRENT_USERSoftwareMicrosoftIntern

16、et ExplorerMenuExt ，删除相关的广告条文即可。注意不要把下载软件 FlashGet 和 Netants 也删除掉啊，这两个可是“正常”的呀，除非你不想在 IE 的右键菜单中见到它们。 7、IE 默认搜索引擎被修改 在 IE 浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改： HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch HKEY_LOCAL_MACHINESoftwareM

17、icrosoftInternet ExplorerSearchSearchAssistant 解决办法： 运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。 8、系统启动时弹出对话框 受到更改的注册表项目为： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题， “Leg

18、alNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到 Windwos 桌面前都出现一个提示窗口，显示那些网页的广告信息！ 解决办法： 打开注册表编辑器，找到 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon 这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeTex t”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。9、浏览网页注册表被禁用 这是由于注册表 HKEY_CURRENT_USERSoftwareMicros

19、oftWindowsCurrentVersionPoliciesSystem 下的 DWORD 值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“ 0”即可恢复注册表的使用。 当运行 regedit 时，警告框显示：注册表编辑器已被管理锁定 解决方法：打开记事本，严格按照以下格式编辑： REGEDIT4 (XP 或者 2000 用户这里改为：Windows Registry Editor Version 5.00) （这里一定空行） HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesS

20、ystem “DisableRegistryTools”=dword:00000000 10、鼠标右键失效 浏览网页后在 IE 中鼠标右键失效，点击右键没有任何反应！不能在桌面，驱动器，文件夹，浏览器等地方使用鼠标右键 解决方案： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer 下在右边的窗口中删除“NoViewContextMenu”或者改成把 1 改成 0 11、查看“源文件”菜单被禁用 在 IE 窗口中点击“查看”“源文件” ，发现“源文件”菜单已经被禁用。 具体的位置为： 在注册表HKEY_

21、CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer 下建立子键“Restrictions” ，然后在“Restrictions”下面建立两个 DWORD 值：“NoViewSource”和“NoBrowserContextMenu”，并为这两个 DWORD 值赋值为“1” 。 在注册表 HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestrictions 下，将两个 DWORD 值：“NoViewSource”和“NoBrowserContextMenu”的键值

22、都改为了“1”第 2 点中提到的注册表其实相当于第 1 点中提到的注册表的分支，修改第 1 点中所说的注册表键值，第 2 点中注册表键值随之改变。 解决办法： 删掉以上键或者改 dword 值为 0 12、解开 IE 工具 internet 选项 症状:IE 浏览器上的工具-internet 选项“变成灰色,不能点击 注册表键值: HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerRestrictionsNoBrowserOptions HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInt

23、ernetExplorerRestrictionsNoBrowserOptions NoBrowserOptions 为 1 即禁用,为 0 为开启 13、删除文件属性中日期后的网址 文件属性里面的创建时间，修改日期，访问时间都被添加广告 HKEY_CURRENT_USERControl PanelInternational “sLongDate“=“yyyy年M月d日 上面是系统默认的键值,如果广告一般是在日后面加字 14、定时弹出网页的解决方法 解决方法：（这两种方法都是可行的） 1、 开始-运行-(输入)msconfig-启动-把里面有*.hta,的去掉。hta 的特性就是隐藏掉窗体,然

24、后一段时间就弹出网页 2、 开始-运行-(输入)regedit 找到下面的键值： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun （这里是最关键的地方） HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurre

25、ntVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices找到后删除方法一中所述 内容。对于 WINODWS98 或 WINME 的用户以上两种方法均可，推荐用第一种。对于 WIN2000 用户， 可使用方法二。 15、开机弹出网页的解决方法 解决

26、方法：（这两种方法都是可行的） 1、 开始-运行-(输入)msconfig-启动-把里面有网址类的（比如：）,后缀为 url 的,html 的, htm 的都勾掉。如果有类似 regedit /s *的也去掉，它的作用是每次都改注册表。 2、 开始-运行-(输入)regedit 找到下面的键值： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_LOCAL_

27、MACHINESoftwareMicrosoftWindowsCurrentVersionRun （这里是最关键的地方） HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersi

28、onRunServices找到后删除方法一中所述内容。 16、删除工具菜单中的网址 删除 IE 工具栏里面的图标广告,还有上面工具下拉菜单的广告 删除：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 下的键值即可。 17、时间前面被加上站点广告 恢复方法：改为系统默认值 HKEY_CURRENT_USERControl PanelInternational “StimeFormat“=“hh:mm“ 18、IE 浏览器里面的链接被改成站点广告 修改方法： 注册表键值:HKEY_CURRENT_USERSoftware

29、MicrosoftInternet ExplorerToolbar “LinksFolderName“=“链接“ 19、IE 右下角那个地球的旁边被添加广告（时间的上面）这个很特别！很难遇到，但遇到了你找都找不到！ 找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3下 “DisplayName“=“喜欢什么就改什么!“ 20、禁止下载 注册表:HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Setting

30、s Zones31803 键值为 3 即禁止下载,为 0 是允许下载 21、浏览网页开始菜单被修改 这是最“狠”的一种，让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的那些症状，还会有以下更悲惨的遭遇： 1)禁止“关闭系统” 2)禁止“运行” 3)禁止“注销” 4)隐藏 C 盘你的 C 盘找不到了！ 5)禁止使用注册表编辑器 regedit 6)禁止使用 DOS 程序 7)使系统无法进入“实模式” 8)禁止运行任何程序 恢复隐藏的硬盘HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer NoDrive

31、s 键值删除即可 由于 HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer 中新建三个 “DWORD“ 值，名称分别为 “NoRun“(屏蔽“运行“、“NoFind“(屏蔽“查找“、“NoClose“(屏蔽“关闭系统“，其值均为 “1“ ，重启系统后执行 “运行“ 与 “关闭系统“ 命令时提示操作受限制而取消，同时你会发现 “开始“ 菜单中的 “查找“ 选项没有了，要重新恢复其设置，可将对应的键删除或将键值置 “0“ 即可。 这里实在修改得太多了，如果你不熟悉注册表，我希望你还是重装系统或者找注册表高手。 PS：其实一般修改这个就是注意找到网站名字，在注册表中查找，然后根据注册表常识，手动进行修改，一般就可以搞定了！文章本天成，妙手偶得之。祸兮福之所倚，福兮祸之所伏。欲把西湖比西子，淡妆浓抹总相宜。其身正，不令而行；其身不正，虽令不从。