補充：恢複惡意網站對IE的篡改[ZT]

計算機係統安全和網絡安全在信息技術飛速發達的今天，應該得到應有的重視！然而很多人對此還沒有警覺，雖然時不時遭遇 @#!^&*$%：病毒，木馬，蠕蟲，
惡意小程式；操作係統漏洞，ie漏洞，iis漏洞，unicode漏洞；緩衝區溢出…………反正如此種種，亂！而近來，當大家上網浪得正歡酣的時候，惡意代碼又
闖進了大家的視線，（其實惡意代碼的曆史比電子郵件病毒還長）所謂的“網頁病毒”、“網頁黑手”到底是怎麽回事呢？

不知道您有沒有過這樣的經曆：當你上了一個網站之後，發現ie標題欄、ie起始主頁被修改了，或者變灰不讓修改ie、地址欄下多出了文字、每次開機出現莫
名其妙的提示框、修改輸入法、啟動項，啟動無關程序、菜單被加上了他的腳印、不定時彈出ie頁麵，彈出無數窗口耗盡係統資源死機、注冊表編輯器regedit
不能使用、dos程序不能運行，無法進入係統實模式………下載木馬安裝給你（ie 5.0以上沒有這個漏洞了），網頁內嵌病毒，甚至對你的硬盤del *.*,format，
deltree嗬嗬！總之，係統被改得一塌糊塗，慘不忍睹。（以前很出名的“混客絕情炸彈”相信大家還記得吧！）

造成ie被惡意修改的原因是什麽呢？怎麽防範呢？
罪魁禍首：當然是……microsoft，嗬嗬，主要是ie的執行腳本的一些漏洞啦，通過利用activex修改注冊表重要項達到破壞目的。至於applet、activex及X和vb
腳本語言，就請有興趣的朋友自己去了解了解了（主要是通過本地機上的wsh解析並在本地機上執行代碼或者激活應用程序）。幸好現在的殺毒軟件都增加了放
惡意代碼的功能。

阻止惡意代碼修改注冊表：
1、大部分的惡意代碼隻對ie5.0版本有效，所以將ie升級到6.0，並及時下載打上補丁！ 下載安裝微軟wsh最新版，好像是5.6版！
2、安裝最新的殺毒軟件，打開實時監控保護上網安全，因為可以阻擋此類大部分惡意代碼！
3、警惕性好一點，不要受不良誘惑，盡量不要上你不知道或者不熟悉的網站！（近來的“網頁賀卡”也可能是一種傳播途徑哦）！
4、設置ie安全級別，不推薦，因為這樣有點因噎廢食，鴕鳥政策的感覺！
5、禁止編輯注冊表，win2000用禁止遠程編輯注冊表！
6、下載優化大師、超級兔子魔法設置、金山注冊表恢複器、"魔法石"網頁（由3721提供，"魔法石"http://magic.3721.com/網頁可以在線清除惡意代碼、優化
網絡、方便地進行個性化設置等）等恢複ie設置！
7、屏蔽一些網站:ie瀏覽器，選擇選單欄裏的“工具”→“internet選項”→“內容”→“分級審查”，點擊“啟用”按鈕，在彈出的“分級審查”對話框中
切換到“許可站點”標簽，輸入您想屏蔽的網站網址，隨後點擊“從不”按鈕，再點“確定”即可!

注冊表被修改的原因及手工修改解決辦法：
1、ie默認連接首頁被修改
受到更改的注冊表項目為：
hkey_local_machinesoftwaremicrosoftinternet explorermainstart page
hkey_current_usersoftwaremicrosoftinternet explorermainstart page
通過修改“start page”的鍵值，來達到修改瀏覽者ie默認連接首頁的目的，如瀏覽“萬花穀”就會將你的ie默認連接首頁修改為
“http://on888.home.chinaren.com ”，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。
解決辦法：
在windows啟動後，點擊“開始”→“運行”菜單項，在“打開”欄中鍵入regedit，然後按“確定”鍵； 展開注冊表到
hkey_local_machinesoftwaremicrosoftinternet explorermain下，在右半部分窗口中找到串值“start page”雙擊 ，將start page的鍵值改為
“about :blank”即可；同理，展開注冊表到hkey_current_usersoftwaremicrosoftinternet explorermain
在右半部分窗口中找到串值“start page”，然後按②中所述方法處理。
退出注冊表編輯器，重新啟動計算機，一切ok了！
特殊例子：當ie的起始頁變成了某些網址後，就算你通過選項設置修改好了，重啟以後又會變成他們的網址。其實他們是在你機器裏加了一個自運行程序，
它會在係統啟動時將你的ie起始頁設成他們的網站。
解決辦法：
運行注冊表編輯器regedit.exe，然後依次展開
hkey_local_machinesoftwaremicrosoftwindowscurrent versionrun主鍵，然後將其下的registry.exe子鍵刪除，然後刪除自運行程序c:program files
egistry.exe，最後從ie選項中重新設置起始頁就好了。

2、篡改ie的默認頁
有些ie被改了起始頁後，即使設置了“使用默認頁”仍然無效，這是因為ie起始頁的默認頁也被篡改啦。具體說來就是以下注冊表項被修改：
hkey_local_machinesoftwaremicrosoftinternet explorermaindefault_page_url“default_page_url”這個子鍵的鍵值即起始頁的默認頁。
解決辦法：
運行注冊表編輯器，然後展開上述子鍵，將“default_page_ur”子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設置為ie的默認值。

3、修改ie瀏覽器缺省主頁，並且鎖定設置項，禁止用戶更改回來。
主要是修改了注冊表中ie設置的下麵這些鍵值(dword值為1時為不可選)：
[hkey_current_usersoftwarepoliciesmicrosoftinternet explorercontrol pan
el]"settings"=dword:1
[hkey_current_usersoftwarepoliciesmicrosoftinternetexplorercontrol panel]"links"=dword:1
[hkey_current_usersoftwarepoliciesmicrosoftinternetexplorercontrol panel]"secaddsites"=dword:1
解決辦法：
將上麵這些dword值改為“0”即可恢複功能。

4、ie的默認首頁灰色按扭不可選
這是由於注冊表hkey_users.defaultsoftwarepoliciesmicrosoftinternet explorercontrol panel下的dword值“homepage”的鍵值被修改的緣故。原來的
鍵值為“0”，被修改為“ 1”（即為灰色不可選狀態）。
解決辦法：
將“homepage”的鍵值改為“0”或者刪除這個項即可。

5、ie標題欄被修改
在係統默認狀態下，是由應用程序本身來提供標題欄的信息，但也允許用戶自行在上述注冊表項目中填加信息，而一些惡意的網站正是利用了這一點來得逞的：
它們將串值window title下的鍵值改為其網站名或更多的廣告信息，從而達到改變瀏覽者ie標題欄的目的。
具體說來受到更改的注冊表項目為：hkey_local_machinesoftwaremicrosoftinternet explorermainwindow title
hkey_current_usersoftwaremicrosoftinternet explorermainwindow title
解決辦法：
在windows啟動後，點擊“開始”→“運行”菜單項，在“打開”欄中鍵入regedit，然後按“確定”鍵；展開注冊表到
hkey_local_machinesoftwaremicrosoftinternet explorermain下，在右半部分窗口中找到串值“window title“，將該串值刪除即可，或將window title的
鍵值改為“ie瀏覽器”等你喜歡的名字； 同理，展開注冊表到
hkey_current_usersoftwaremicrosoftinternet explorermain然後按②中所述方法處理。
退出注冊表編輯器，重新啟動計算機，運行ie，你會發現困擾你的問題解決了！

6、ie右鍵菜單被修改
受到修改的注冊表項目為：
hkey_current_usersoftwaremicrosoftinternet explorermenuext下被新建了網頁的廣告信息，並由此在ie右鍵菜單中出現！
解決辦法：打開注冊標編輯器，找到
hkey_current_usersoftwaremicrosoftinternet explorermenuext
刪除相關的廣告條文即可，注意不要把下載軟件flashget和netants也刪除掉啊，這兩個可是“正常”的呀，除非你不想在ie的右鍵菜單中見到它們。

7、ie默認搜索引擎被修改
在ie瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現網絡搜索，被篡改後隻要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因
是以下注冊表被修改：
hkey_local_machinesoftwaremicrosoftinternet explorersearchcustomizesearch
hkey_local_machinesoftwaremicrosoftinternet explorersearchsearchassistant
解決辦法：
運行注冊表編輯器，依次展開上述子鍵，將“customizesearch”和“searchassis
tant”的鍵值改為某個搜索引擎的網址即可。

8、係統啟動時彈出對話框
受到更改的注冊表項目為：
hkey_local_machinesoftwaremicrosoftwindowscurrentversionwinlogon 在其下被建立了字符串“legalnoticecaption”和“legalnoticetext”，其中
“legalnoticecaption”是提示框的標題，“legalnoticetext”是提示框的文本內容。由於它們的存在，就使得我們每次登陸到windwos桌麵前都出現一個提
示窗口，顯示那些網頁的廣告信息！
解決辦法：
打開注冊表編輯器，找到hkey_local_machinesoftwaremicrosoftwindowscurrentversionwinlogon 這一個主鍵，然後在右邊窗口中找到
“legalnoticecaption”和“legalnoticetex t”這兩個字符串，刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。

9、瀏覽網頁注冊表被禁用
這是由於注冊表
hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciessystem
下的dword值“disableregistrytools”被修改為“1”的緣故，將其鍵值恢複為“ 0”即可恢複注冊表的使用。 當運行regedit時，警告框顯示：注冊表編輯
器已被管理鎖定
解決方法：打開記事本，嚴格按照以下格式編輯：
regedit4 (xp或者2000用戶這裏改為：windows registry editor version 5.00)
（這裏一定空行）
[hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciessystem
]
“disableregistrytools”=dword:00000000

10、鼠標右鍵失效
瀏覽網頁後在ie中鼠標右鍵失效，點擊右鍵沒有任何反應！不能在桌麵，驅動器，文件夾，瀏覽器等地方使用鼠標右鍵
解決方案：
hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer下
在右邊的窗口中刪除“noviewcontextmenu”或者改成把1改成0

11、查看““源文件”菜單被禁用
在ie窗口中點擊“查看”→“源文件”，發現“源文件”菜單已經被禁用。
具體的位置為：
在注冊表hkey_current_usersoftwarepoliciesmicrosoftinternet explorer
下建立子鍵“restrictions”，然後在“restrictions”下麵建立兩個dword值：“
noviewsource”和“nobrowsercontextmenu”，並為這兩個dword值賦值為“1”。
在注冊表
hkey_users.defaultsoftwarepoliciesmicrosoftinternet explorerrestric
tions下，將兩個dword值：“noviewsource”和“nobrowsercontextmenu”的鍵值都改為了“1”第2點中提到的注冊表其實相當於第1點中提到的注冊表的分
支，修改第1點中所說的注冊表鍵值，第2點中注冊表鍵值隨之改變。
解決辦法：
刪掉以上鍵或者改dword值為0

12、解開ie工具internet選項
症狀:ie瀏覽器上的工具-internet選項"變成灰色,不能點擊
注冊表鍵值:
hkey_current_usersoftwarepoliciesmicrosoftinternet explorerrestrictionsnobrowseroptions
hkey_local_machinesoftwarepoliciesmicrosoftinternet explorerrestrictionsnobrowseroptions
nobrowseroptions為1即禁用,為0為開啟

13、刪除文件屬性中日期後的網址
文件屬性裏麵的創建時間，修改日期，訪問時間都被添加廣告
[hkey_current_usercontrol panelinternational]
"slongdate"="yyyy''年''m''月''d''日''
上麵是係統默認的鍵值,如果廣告一般是在日後麵加字

14、定時彈出網頁的解決方法
定時彈出網頁的解決方法
解決方法：（這兩種方法都是可行的）
1、 開始-運行-(輸入)msconfig-啟動-把裏麵有*.hta,的去掉。tha的特性就是隱藏掉窗體,然後一段時間就彈出網頁
2、 開始-運行-(輸入)regedit找到下麵的鍵值：[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunservices]
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunservicesonce]
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun] （這裏是最關鍵的地方）
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunonce]
[hkey_current_usersoftwaremicrosoftwindowscurrentversionrun]
[hkey_current_usersoftwaremicrosoftwindowscurrentversionrunonce]
[hkey_current_usersoftwaremicrosoftwindowscurrentversionrunservices找到後刪除方法一中所述內容。對於winodws98或winme的用戶以上兩種方法均可，
推薦用第一種。對於win2000用戶， 可使用方法二。

15、開機彈出網頁的解決方法
開機彈出網頁的解決方法
解決方法：（這兩種方法都是可行的）
1、 開始-運行-(輸入)msconfig-啟動-把裏麵有網址類的（比如：www.cnoicq.com）,後綴為url的,html的,htm的都勾掉。如果有類似regedit /s ***的也去
掉，它的作用是每次都改注冊表。
2、 開始-運行-(輸入)regedit找到下麵的鍵值：[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunservices]
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunservicesonce]
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun] （這裏是最關鍵的地方）
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunonce]
[hkey_current_usersoftwaremicrosoftwindowscurrentversionrun]
[hkey_current_usersoftwaremicrosoftwindowscurrentversionrunonce]
[hkey_current_usersoftwaremicrosoftwindowscurrentversionrunservices找到後刪除方法一中所述內容。
1
6、刪除工具菜單中的網址
刪除ie工具欄裏麵的圖標廣告,還有上麵工具下拉菜單的廣告
刪除：hkey_local_machinesoftwaremicrosoftinternet explorerextensions下的鍵值即可。

17、時間前麵被加上站點廣告
時間前麵被加上站點廣告。
恢複方法：改為係統默認值
[hkey_current_usercontrol panelinternational]
"stimeformat"="hh:mm"

18、ie瀏覽器裏麵的鏈接被改成站點廣告
ie瀏覽器裏麵的鏈接被改成站點廣告.
修改方法：
注冊表鍵值:[hkey_current_usersoftwaremicrosoftinternet explorertoolbar]
"linksfoldername"="鏈接"

19、ie右下角那個地球的旁邊被添加廣告（時間的上麵）這個很特別！很難遇到，但遇到了你找都找不到！
找到[hkey_current_usersoftwaremicrosoftwindowscurrentversioninternet settingszones]下"displayname"="喜歡什麽就改什麽!"

20、禁止下載
注冊表:hkey_users\.default\software\microsoft\windows\currentversion\internet settings\zones\3\1803
鍵值為3即禁止下載,為0是允許下載

21、瀏覽網頁開始菜單被修改
這是最“狠”的一種，讓瀏覽者有生不如死的感覺。瀏覽後不僅有類似上麵所說的
那些症狀，還會有以下更悲慘的遭遇：
1)禁止“關閉係統”
2)禁止“運行”
3)禁止“注銷”
4)隱藏c盤??你的c盤找不到了！
5)禁止使用注冊表編輯器regedit
6)禁止使用dos程序
7)使係統無法進入“實模式”
8)禁止運行任何程序
恢複隱藏的硬盤hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorernodrives 鍵值刪除即可
由於hkey_current_usersoftwaremicrosoftwindows currentversionpoliciesexplorer 中新建三個 "dword" 值，名稱分別為 "norun"(屏蔽"運行")、
"nofind"(屏蔽"查找")、"noclose"(屏蔽"關閉係統")，其值均為 "1" ，重啟係統後執行 "運行" 與 "關閉係統" 命令時提示操作受限製而取消，同時你會發
現 "開始" 菜單中的 "查找" 選項沒有了，要重新恢複其設置，可將對應的鍵刪除或將鍵值置 "0" 即可。 這裏實在修改得太多了，如果你不熟悉注冊表，我
希望你還是重裝係統或者找注冊表高手。

ps：其實一般修改這個就是注意找到網站名字，在注冊表中查找，然後根據注冊表常識，手動進行修改，一般就可以搞定了

• 頂！ -smm- ♀ (0 bytes) () 03/02/2004 postreply 15:10:27

• 廢文一篇。 -écho- ♀ (62 bytes) () 03/02/2004 postreply 21:29:05

• 廢文?NO! -廢文章來源:éch- ♀ (0 bytes) () 03/05/2004 postreply 19:48:38