對付惡意網站的辦法 - Delphi K.Top 討論區

發表時間：2003-11-30 00:56:57

IP:61.64.xxx.xxx 未訂閱

近來，屢屢發生網友在瀏覽網頁時，造成註冊表被修改，使得IE默認連接首頁、標題欄及IE右鍵功能表被改爲瀏覽網頁時的地址（多爲廣告資訊），更有甚者使瀏覽者的電腦在啓動時出現一個提示視窗顯示自己的廣告，而且有愈演愈烈之勢，遇到這種情況我們該怎樣辦呢？一、註冊表被修改的原因及解決辦法其實，該惡意網頁是含有有害代碼的ActiveX網頁文件，這些廣告資訊的出現是因爲瀏覽者的註冊表被惡意更改的結果。 1、IE默認連接首頁被修改IE瀏覽器上方的標題欄被改成“歡迎訪問……網站”的樣式，這是最常見的篡改手段，受害者衆多。受到更改的註冊表專案爲： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 通過修改“Start Page”的鍵值，來達到修改瀏覽者IE默認連接首頁的目的，如瀏覽“萬花穀”就會將你的IE默認連接首頁修改爲“http://on888.home.chinaren.com ”，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。解決辦法： ①在Windows啓動後，點擊“開始”→“運行”功能表項，在“打開”欄中鍵入regedit，然後按“確定”鍵； ②展開註冊表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 下，在右半部分視窗中找到串值“Start Page”雙擊，將Start Page的鍵值改爲“about:blank”即可； ③同理，展開註冊表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 在右半部分視窗中找到串值“Start Page”，然後按②中所述方法處理。 ④退出註冊表編輯器，重新啓動電腦，一切OK了！特殊例子：當IE的起始頁變成了某些網址後，就算你通過選項設置修改好了，重啓以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器里加了一個自運行程式，它會在系統啓動時將你的IE起始頁設成他們的網站。解決辦法：運行註冊表編輯器regedit.exe，然後依次展開 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 主鍵，然後將其下的registry.exe子鍵刪除，然後刪除自運行程式c:\Program Files\registry.exe，最後從IE選項中重新設置起始頁就好了。 2、篡改IE的默認頁有些IE被改了起始頁後，即使設置了“使用默認頁”仍然無效，這是因爲IE起始頁的默認頁也被篡改啦。具體說來就是以下註冊表項被修改： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet ExplorerMain\Default_Page_URL “Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁。解決辦法：運行註冊表編輯器，然後展開上述子鍵，將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設置爲IE的預設值。 3、修改IE瀏覽器缺省主頁，並且鎖定設置項，禁止用戶更改回來。主要是修改了註冊表中IE設置的下面這些鍵值(DWORD值爲1時爲不可選)： [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Settings"=dword:1 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Links"=dword:1 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "SecAddSites"=dword:1 解決辦法：將上面這些DWORD值改爲“0”即可恢復功能。 4、IE的默認首頁灰色按扭不可選這是由於註冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值爲“0”，被修改爲“1”（即爲灰色不可選狀態）。解決辦法：將“homepage”的鍵值改爲“0”即可。 5、IE標題欄被修改在系統默認狀態下，是由應用程式本身來提供標題欄的資訊，但也允許用戶自行在上述註冊表專案中填加資訊，而一些惡意的網站正是利用了這一點來得逞的：它們將串值Window Title下的鍵值改爲其網站名或更多的廣告資訊，從而達到改變瀏覽者IE標題欄的目的。具體說來受到更改的註冊表專案爲： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title 解決辦法： ①在Windows啓動後，點擊“開始”→“運行”功能表項，在“打開”欄中鍵入regedit，然後按“確定”鍵； ②展開註冊表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 下，在右半部分視窗中找到串值“Window Title” ，將該串值刪除即可，或將Window Title的鍵值改爲“IE瀏覽器”等你喜歡的名字； ③同理，展開註冊表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 然後按②中所述方法處理。 ④退出註冊表編輯器，重新啓動電腦，運行IE，你會發現困擾你的問題解決了！ 6、IE右鍵功能表被修改受到修改的註冊表專案爲： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 下被新建了網頁的廣告資訊，並由此在IE右鍵功能表中出現！解決辦法：打開註冊標編輯器，找到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 刪除相關的廣告條文即可，注意不要把下載軟體FlashGet和Netants也刪除掉啊，這兩個可是“正常”的呀，除非你不想在IE的右鍵功能表中見到它們。 7、IE默認搜索引擎被修改在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現網路搜索，被篡改後只要點擊那個搜索工具按鈕就會鏈結到那個篡改網站。出現這種現象的原因是以下註冊表被修改： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant 解決辦法：運行註冊表編輯器，依次展開上述子鍵，將“CustomizeSearch”和“SearchAssistant” 的鍵值改爲某個搜索引擎的網址即可。 8、系統啓動時彈出對話方塊受到更改的註冊表專案爲： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 在其下被建立了字串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的標題， “LegalNoticeText”是提示框的文本內容。由於它們的存在，就使得我們每次登陸到Windwos桌面前都出現一個提示窗口，顯示那些網頁的廣告資訊！你瞧，多討厭啊！解決辦法：打開註冊表編輯器，找到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 這一個主鍵，然後在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字串，刪除這兩個字串就可以解決在登陸時出現提示框的現象了。 9、瀏覽網頁註冊表被禁用這是由於註冊表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值“DisableRegistryTools”被修改爲“1”的緣故，將其鍵值恢復爲“0”即可恢復註冊表的使用。解決辦法用記事本程式建立以REG爲尾碼名的文件，將下面這些內容複製在其中就可以了： REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=dword:00000000 10、瀏覽網頁開始功能表被修改這是最“狠”的一種，讓瀏覽者有生不如死的感覺。瀏覽後不僅有類似上面所說的那些症狀，還會有以下更悲慘的遭遇： 1)禁止“關閉系統” 2)禁止“運行” 3)禁止“登出” 4)隱藏C盤——你的C盤找不到了！ 5)禁止使用註冊表編輯器regedit 6)禁止使用DOS程式 7)使系統無法進入“實模式” 8)禁止運行任何程式具體的原因和解決辦法請看天極網e企業之安全之路欄目的這篇文章：《瀏覽網頁註冊表被修改之迷及解決辦法》。以上是比較常見的修改瀏覽者註冊表的現象，今天在瀏覽網頁時，無意中來到某個個人網站，又遇到了以前沒有碰到過的問題： 11、IE中滑鼠右鍵失效瀏覽網頁後在IE中滑鼠右鍵失效，點擊右鍵沒有任何反應！ 12、查看““原始檔案”功能表被禁用在IE視窗中點擊“查看”→“原始檔案”，發現“原始檔案”功能表已經被禁用。我在瀏覽網頁時並沒有注意到上面這兩個問題，因爲當時正好朋友叫我有事，於是我就退出電腦了，晚上吃完飯開啓電腦連線上網，就發現IE中滑鼠右鍵失效，“查看”功能表中的“原始檔案”被禁用。不能查看原始檔案也就罷了，但是無法使用滑鼠右鍵真是太不方便了。得想個辦法！找出最新版的超級兔子魔法設置試試吧，呀！不能解決！看來是個新問題，不過自己好歹也是“老革命”了，這點問題應該難不住我。於是到註冊表中一番搜尋，經過一番查找終於弄明白了問題的所在。原來，惡意網頁修改了我的註冊表，具體的位置爲：在註冊表 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer 下建立子鍵“Restrictions”，然後在“Restrictions” 下面建立兩個DWORD值：“NoViewSource”和“NoBrowserContextMenu”，並爲這兩個DWORD值賦值爲“1”。在註冊表 HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions 下，將兩個DWORD值：“NoViewSource”和“NoBrowserContextMenu”的鍵值都改爲了“1”。通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效，使“查看”功能表中的“原始檔案”被禁用的目的。要向你說明的是第2點中提到的註冊表其實相當於第1點中提到的註冊表的分支，修改第1點中所說的註冊表鍵值，第2點中註冊表鍵值隨之改變。解決辦法：明白了道理，問題解決起來就容易多了，具體解決辦法爲：將以下內容另存爲尾碼名爲reg的註冊表文件，比方說unlock.reg，雙擊unlock.reg導入註冊表，不用重啓電腦，重新運行IE就會發現IE的功能恢復正常了。 REGEDIT4 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] “NoViewSource”=dword:00000000 "NoBrowserContextMenu"=dword:00000000 [HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions] “NoViewSource”=dword:00000000 “NoBrowserContextMenu”=dword:00000000 要特別注意的是，在你編制的註冊表文件unlock.reg中，“REGEDIT4”一定要大寫，並且它的後面一定要空一行，還有，“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則將前功盡棄！許多朋友寫註冊表文件之所以不成功，就是因爲沒有注意到上面所說的內容，這回該注意點嘍。請注意如果你是Win2000或WinXP用戶，請將“REGEDIT4”改爲Windows Registry Editor Version 5.00。二、預防辦法 1、要避免中招，關鍵是不要輕易去一些自己並不瞭解的站點，特別是那些看上去美麗誘人的網址更不要貿然前往，否則吃虧的往往是你。 2、由於該類網頁是含有有害代碼的ActiveX網頁文件，因此在IE設置中將ActiveX插件和控制項、Java腳本等全部禁止就可以避免中招。具體方法是：在IE視窗中點擊“工具→Internet選項，在彈出的對話方塊中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話方塊，把其中所有ActiveX插件和控制項以及Java相關全部選擇“禁用”即可。不過，這樣做在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。唉，有利就有弊，你還是自己看著辦吧。 3、對於Windows98用戶，請打開C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉；對於WindowsMe用戶，請打開 C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。請放心，刪除這個元件不會影響到你正常瀏覽網頁的。 4、對於所有用戶，都建議安裝Norton AntiVirus 2002 v8.0殺毒軟體，此軟體已經把通過IE修改註冊表的代碼定義爲Trojan.Offensive ，增加了Script Blocking功能，它將對此類惡作劇進行監控，並予以攔截。另外，下載超級兔子魔法設置軟體後安裝，如果出現問題，可以用它來恢復。不過，“兔子”對於我們在上面所說的惡意網頁使得IE中滑鼠右鍵失效，“查看”功能表中的“原始檔案” 被禁用這兩種現象無法恢復。 5、既然這類網頁是通過修改註冊表來破壞我們的系統，那麽我們可以事先把註冊表加鎖：禁止修改註冊表，這樣就可以達到預防的目的。不過，自己要使用註冊表編輯器regedit.exe該怎麽辦呢？因此我們還要在此前事先準備一把 “鑰匙”，以便打開這把“鎖”！加鎖方法如下： (1)運行註冊表編輯器regedit.exe； (2)展開註冊表到 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下，新建一個名爲DisableRegistryTools的DWORD值，並將其值改爲“1”，即可禁止使用註冊表編輯器regedit.exe。解鎖方法如下：用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內容如下： REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=dword:00000000 存檔，你就有了一把解鎖的鑰匙了！如果要使用註冊表編輯器，則雙擊unlock.reg即可。請注意如果你是Win2000或WinXP用戶，請將“REGEDIT4”寫爲Windows Registry Editor Version 5.00。 6、對Win2000用戶，還可以通過在Win2000下把服務裏面的遠端註冊表操作服務“Remote Registry Service”禁用，來對付該類網頁。具體方法是：點擊“管理工具→服務→Remote Registry Service(允許遠端註冊表操作)”，將這一項禁用即可。 7、如果覺得手動修改註冊表太危險，可以下載如下reg文件，雙擊之可恢復被修改的註冊表。 8、雖然經過一番辛苦的勞動修改回了標題和默認連接首頁，但如果以後又不小心進入該站就又得麻煩一次。其實，你可以在IE中做一些設置以便永遠不進該站點：打開IE，點擊“工具”→“Internet選項”→“內容”→“分級審查”，點“啓用”按鈕，會調出“分級審查”對話方塊，然後點擊“許可站點”標簽，輸入不想去的網站網址，如輸入： http://on888.home.chinaren.com，按“從不”按鈕，再點擊“確定”即大功告成！ 9、升級你的IE爲6.0版本，可以有效防範上面這些症狀。 10、下載微軟最新的Microsoft Windows Script 5.6，可以預防上面所說的現象，更可預防目前流行的、可惡的混客絕情炸彈。終於搞定了，原來：自動下載了一個名爲：win3dm.exe的文件放在windows目錄下，並且修改了autoexec.bat文件，電腦一啓動就會自動運行駐留記憶體監控註冊表和autoexec.bat文件，如果你把註冊表裏的相關項修改的話，它會自己改回來，怪不得我修改註冊表後再查找又有了（好可惡），用進程管理軟體關閉這個程式後竟然還刪除不了它，我就重啓電腦到DOS下，把win3dm.exe文件刪除，再啓動電腦後立即運行regedit.exe修改相關項（千萬不能運行IE），之後重啓電腦，搞定了。呵呵~~~~~~~~~~ 7、如果覺得手動修改註冊表太危險，可以下載如下reg文件，雙擊之可恢復被修改的註冊表。 8、雖然經過一番辛苦的勞動修改回了標題和默認連接首頁，但如果以後又不小心進入該站就又得麻煩一次。其實，你可以在IE中做一些設置以便永遠不進該站點：打開IE，點擊“工具”→“Internet選項”→“內容”→“分級審查”，點“啓用”按鈕，會調出“分級審查”對話方塊，然後點擊“許可站點”標簽，輸入不想去的網站網址，如輸入： http://on888.home.chinaren.com，按“從不”按鈕，再點擊“確定”即大功告成！這樣不行的，還要在“常規”裏把“用戶可以查看未分級站點”打上勾，要不每進個站點都會提示的。