荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: gordonlot (新的一天), 信区: Virus
标  题: 杜绝恶意网页代码 解除注册表连环套
发信站: 荔园晨风BBS站 (Tue Mar 19 16:46:10 2002), 转信

  一天,朋友打电话求援,计算机启动后自动打开一连串的网页,并限制对主页属
性窗口的修改等,让他很是苦恼。笔者快速地赶到,修复了机器。若问是如何妙手
回春,请听我细细道来。

亡羊补牢

1、解开被禁用的注册表

执行软盘中的“unlockreg.reg”文件,此文件是用记事本建立一个以REG为后
缀名的文件,文件名可自定义,内容如下:

REGEDIT4

空一行[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System] "DisableRegistryTools"=dword:
00000000

要注意的是,在“REGEDIT4”一定要大写(如果你是Windows 2000或Windows
XP用户,请将“REGEDIT4”写为“Windows Registry Editor Version 5.00)”,
且后面要空一行,并且“REGEDIT4”中“T”和“4”之间一定不能有空格,否则…


注册表解开了,下面就要对症下药,对注册表进行修改了。

2、解决IE属性主页不能修改

打开注册表,展开注册表到

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet
Explorer\Control Panel下,将“homepage”的键值由原来的“1”修改为“0”
即可,或干脆将“Control Panel”删除就可以了!

3、修改IE的标题栏

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在注册表中找到以上两处主键,将其下的“Window Title”主键值更改为“
Microsoft Internet Explorer”即可。

4、IE默认连接首页被修改

被更改的注册表项目为:HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\Start Page将键值修改为自己喜欢的网址即可。

5、删除自运行程序

打开“HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\
CurrentVesion\”及“\HKEY_LOCALMA CHINE\Software\Microsoft\
Windows\CurrentVersion\”,在其下的RUN文件夹中,有许多Windows启动时便
开始运行的程序,但是在菜单“开始/程序/启动”中却找不到。把自运行程序删除
就可以了。

6、右键菜单中的网页广告

将注册表展开到HKEY_CURRENT_ USER\Software\Microsoft\Internet
Explorer\MenuExt,在IE中显示的附加右键菜单都在这里设置,常见的“网络蚂
蚁”和“网际快车”点击右键下载的信息也存放在这里,只需找到显示广告的主键
条目删除即可。

7、启动时的提示窗口

这个设置其实与IE无关,而是Windows的登录提示窗口,不过最近有些网页对
它动上了脑筋,在这个窗口里做广告。

受到更改的注册表项目为:HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Winlogon在其下被建立了字符串“
LegalNotice-Caption”和“LegalNoticeText”,其中“LegalNoticeCaption”是
提示框的标题,“LegalNoticeText”是提示框的文本内容。这就使得我们每次登
录到Windows桌面前都出现一个提示窗口,显示那些网页的广告信息。

8、恢复“运行”选项

在注册表中展开至HKEY_USERS/.
DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer,在
右侧栏中将“NoRun”的键值由“1”修改为“0”即可,或者将“NoRun”删除也可


经过一番辛苦的修改,完全解除了某些网站上的恶意程序对系统的限制,可是
如果不小心又访问了该网站,岂不是又重蹈覆辙,其实,你可以在IE中做一些设置
以便永远不进入该站点:打开IE,点击“工具→Internet选项→内容→分级审查”
,点击[启用]按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输
入不想去的网站网址,按[从不]按钮,再点击[确定]即大功告成!

防患未然

上面的解决方法乃下策,要想不发生类似的情况,上策是加强预防,对于预防
的方法笔者提如下几点建议:

1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看
上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。

2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将
ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是:在IE窗
口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击
[自定义级别]按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和
控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中
可能会造成一些正常使用ActiveX的网站无法浏览。有利就有弊,你还是自己看着
办吧。

3、建议安装Norton AntiVirus 2002 V8.0杀毒软件,此软件已经把通过IE修
改注册表的代码定义为Trojan.Offensive ,增加了Script Blocking功能,它将对
此类恶作剧进行监控,并予以拦截。

4、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把
注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注
册表编辑器Regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”
,以便打开这把“锁”!

加锁方法如下:

展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System下,新建一个名为DisableRegistryTools的
DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器Regedit.exe。

5、对Windows 2000用户,还可以通过在Windows 2000下把服务里面的远程注
册表操作服务“Remote Registry Service”禁用,来对付该类网页。具体方法是
:点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,
将这一项禁用即可。

6、升级你的IE为6.0版本,可以有效防范上面这些症状。

7、下载微软最新的Microsoft Windows Script 5.6,可以预防上面所说的现
象,更可预防目前流行的、可恶的混客绝情炸弹。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店