注册表被修改的原因及解决办法.docx
《注册表被修改的原因及解决办法.docx》由会员分享,可在线阅读,更多相关《注册表被修改的原因及解决办法.docx(76页珍藏版)》请在冰豆网上搜索。
注册表被修改的原因及解决办法
、注册表被修改的原因及解决办法
恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。
1、IE默认连接首页被修改
IE浏览器上方的标题栏被改成"欢迎访问……网站"的样式,受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\InternetExplorer\\Main\\StartPage
HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\\Main\\StartPage
通过修改"StartPage"的键值,达到修改IE默认连接首页的目的
①在Windows启动后,点击"开始"→"运行"菜单,在"打开"栏中键入regedit,然后按"确定"键;
②展开注册表到
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\InternetExplorer\\Main下,
在右半部分窗口中找到串值"StartPage",将键值改为"about:
blank"即可;
③同理,展开注册表到
HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\\Main
在右半部分窗口中找到串值"StartPage",然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:
当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。
其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:
\\ProgramFiles\\registry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了"使用默认页"仍然无效,这是因为IE起始页的默认页也被篡改啦。
就是以下注册表项被修改:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Main\\Default_Page_URL
"Default_Page_URL"这个子键的键值即起始页的默认页。
解决办法:
将"Default_Page_UR"键值中的那些篡改网站的网址改掉.
3、修改IE浏览器缺省主页,并锁定设置项,禁止用户更改回来。
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\InternetExplorer\\ControlPanel]
"Settings"=dword:
1
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\InternetExplorer\\ControlPanel]
"Links"=dword:
1
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\InternetExplorer\\ControlPanel]
"SecAddSites"=dword:
1
解决办法:
将上面这些DWORD值改为"0"即可恢复功能。
4、IE的默认首页灰色按扭不可选
由于HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\InternetExplorer\\ControlPanel下的DWORD值"homepage"的键值被修改的缘故。
原来的键值为"0",被修改为"1"(即为灰色不可选状态)。
解决办法:
将"homepage"的键值改为"0"即可。
5、IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:
它们将串值Windowtitle下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\InternetExplorer\\Main\\Windowtitle
HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\\Main\\Windowtitle
解决办法:
①在Windows启动后,点击"开始"→"运行"菜单项,在"打开"栏中键入regedit,然后按"确定"键;
②展开注册表到
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\InternetExplorer\\Main下,在右半部分窗口中找到串值"Windowtitle",将该串值删除即可,或将Windowtitle的键值改为"IE浏览器"等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\\Main,按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,即可
6、IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\\MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到
HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\\MenuExt,删除相关的广告条文,注意不要把下载软件FlashGet和Netants也删除掉,这两个是正常的。
7、IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。
出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Search\\CustomizeSearch
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Search\\SearchAssistant
解决办法:
运行注册表编辑器,展开上述子键,将"CustomizeSearch"和"SearchAssistant"的键值改为某个搜索引擎的网址即可。
8、系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon在其下被建立了字符串"LegalNoticeCaption"和"LegalNoticeText",其中"LegalNoticeCaption"是提示框的标题,"LegalNoticeText"是提示框的文本内容。
它们的存在,得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息。
解决办法:
打开注册表编辑器,找到
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon主键,在右边窗口中找到"LegalNoticeCaption"和"LegalNoticeText"这两个字符串,删除就可。
9、浏览网页注册表被禁用
这是由于注册表
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System下的DWORD值"DisableRegistryTools"被修改为"1"的缘故,将其键值恢复为"0"即可。
解决办法:
用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]
"DisableRegistryTools"=dword:
00000000
10、浏览网页开始菜单被修改
1)禁止"关闭系统"2)禁止"运行"
3)禁止"注销"4)隐藏C盘--你的C盘找不到了!
5)禁止使用注册表编辑器regedit6)禁止使用DOS程序
7)使系统无法进入"实模式"8)禁止运行任何程序
恶意网站大致可以分成以下几类:
一利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为
1。
轻度修改注册表:
比如标题拦,默认主页,搜索页,添加广告等,先来看看其中的一段原代码
//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");恶意网页就是通过这个ID修改注册表的。
//Shl.RegWrite("HKCU\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer\\\\NoRun",01,"REG_BINARY");这一句代码可以让你的运行菜单消失。
清除方法:
本文对一般的被修改浏览器的解决方案不作提供,因为现在网上关于如何通过修复注册表来恢复的文章很多,大家可以自己找来看看
我认为这一类的修改一般可以通过注册表修复工具来修复,不必手动去修改。
常用工具有:
超级兔子魔法,优化大师,3721魔宝石,杀毒王自带的IE修复器等
瑞星的注册表修复工具:
ful.htm
毒霸的注册表修复工具:
推荐一个很好的在线修复网站:
补丁:
WINDOWS2000:
WINDOWS9X用户:
2。
修改注册表禁止命令形式的修改,目的是不让用户通过注册表修复回去。
最通常的修改是锁住注册表,还有破坏关联:
比如.reg,.vbs,.inf等
关于解锁注册表,在前面已经介绍了方法,至于被修改关联,只要我前面说的注册表修改的方法里的关联还能用,就可以用其中的任意一个,但如果.reg,.vbs,.inf都被修改了,怎么办啊?
,也不用怕,把.exe后缀改为.com后缀,我一样可以编辑注册表,.com也被改了,怎么办?
没那么狠吧,行,我再改后缀为.scr。
嘿嘿,一样还可以修改。
最好的最简单的办法,马上重新启动,按F8进入DOS下,敲入SCANREG/RESTORE,选择以前的正常时的注册表还原就可以,注意了,一定要选择没被修改时的注册表!
如果发现连scanreg都被删除了(一些网站就是这么狠的,用A盘COPY一个scanreg.exe到COMMAN下即可
有必要在这里说说常见的文件关联的默认值
正常的exe关联为[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command]
默认的键值为:
"%1%*"将此关联改回去即可使用exe文件
3。
修改注册表后留后门,目的让你修改注册表好像成功,重新启动后又恢复到被修改的状态。
这主要是在启动项里留了后门,大家可以打开注册表到(也可以用一些工具比如优化大师等来察看)
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKCU\\Software\\Microsoft\\Windows\\CurrentVersionRun-
看看有没有可疑的启动项目,这一点最多朋友忽略,哪些启动可疑呢?
我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的,最好都去掉,还有有.vbs后缀的启动项也去掉,还有一个很重要的,如果有这一个启动项,出现有类似键值的,比如:
system键值是regedit-sc:
\\windows……请注意,这个regedit-s是注册表的一个后门参数,是用来导入注册表的,这样的选项一定要去掉
还有一类修改会在c:
\\windows\\产生.vbs后缀的文件,或是.dll文件,其实.dll文件实际是.reg文件
此时你要看看c:
\\windows\\win.ini文件,看看load=,run=,这两个选项后面应该是空的,如果有其他程序修改load=,run=,将=后面程序删除,删除前看看路径和文件名,删除后在到system下删除对应的文件
还有一种方法,大家如果屡次修改重启又恢复回去,可以搜索C盘下所有的.vbs文件,可能有隐藏的,用记事本打开,看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉,你可以按中恶意网页的病毒的时间来搜索文件:
)
下面的这个漏洞大家非常值得注意,很多朋友说,你说的方法我都试了,启动项里绝对没有什么可疑的,也没有什么vbs文件,呵呵,大家在启动IE时还有一个陷阱,就是IE主界面的工具的菜单里的广告,一定要去掉,因为这些会在你启动IE时启动,所以你修改完其他的先别着急打开IE窗口,否则白费力气,方法:
打开注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Extensions看到广告就删,别留情
一个很重要的问题,在中了恶意网页的陷阱后一定要先清空IE所有临时文件,切记!
说了那么多废话,那如何防御这类恶意网页呢?
一个一劳永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID删掉
在注册表的路径为HKEY_CLASSES_ROOT\\CLSID\\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
记住,看清楚了再删除,千万别删错其他。
删掉这个F935DC22-1CF0-11D0-ADB9-00C04FD58A0B对系统不会有影响的。
在IE的选单栏中选择“工具”→“Internet选项”,在弹出的对话框中切换到“安全”标签,选择“Internet”后点击“自定义级别”按钮,在“安全设置”对话框中,把“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”或“提示”即可。
但如果选择了“禁用”,一些正常使用ActiveX和脚本的网站可能无法完全显示。
建议选择:
提示。
遇到警告时,看看该网站的原代码,如果发现有出现Shl.RegWrite等的代码,就不要去了,如果是加密的原代码,不是自己熟悉的网站也不要去,如果连右键都用不了的,也要小心为好(看看原码有什么所谓啊,除非有什么好的JAVA或是恶意代码)
对于Windows98用户,请打开C:
\\WINDOWS\\JAVA\\Packages\\CVLV1NBB.ZIP,把其中的“ActiveXComponent.class删掉,对于WindowsMe用户,请打开C:
\\WINDOWS\\JAVA\\Packages\\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉,这些删掉不会影响正常浏览网页
在Windows2000/XP,可以通过禁用“远程注册表服务”来阻挡部分恶意脚本。
具体方法是:
在“控制面板”→“管理工具”→“服务”中右键单击“RemoteRegistryService”,在弹出选单中选择“属性”,打开属性对话框,在“General”内将“Startupype”设为“Disabled”。
这样也可以拦截部分恶意脚本程序。
嘿嘿,不用IE。
用其他浏览器也可以……
大家在中了恶意网页的陷阱后,先不要立即重新启动计算机,到启动项里看看,有没有什么危险的启动项,不如deltree之类的
二利用IE漏洞直接破坏Windows系统
如今利用浏览网页格式化硬盘已经不是什么新鲜事了,当某一天,你上网时突然跳出警告说当前页面包含不安全的页面,如果你选择“是”,很可能硬盘被格式化掉
看看它的部分原代码:
//wsh(……)
防御这一类网页,可以用下面的方法:
删掉F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID,因为这个ID可以用来生成命令格式,可以执行硬盘的可执行文件,具体路径
HKEY_CLASSES_ROOT\\CLSID\\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}再次提醒,别删错了。
建议大家都把和命令改掉,比如用优化大师后改为deltree.wom和format.wom
把C盘WINDOWS下的Wscript.exe改名也是一个办法。
也可以卸载WSH:
98/ME:
进入“控制面板”,选择“添加/删除程序”,选“Windows安装程序”,选择“附件”,再选择“详细资料”中的WindowsScriptingHost,确定卸载。
在Windows2000中禁用WSH的方法是,双击"我的电脑"图标,然后执行"工具/文件夹选项"命令,选择"
文件类型"选项卡,找到"VBSVBScriptScriptFile"选项,并单击[删除]按钮,最后单击[确定]即可
或者升级WSH到WSH5。
6
IE浏览器可以被恶意脚本修改,原因就是IE5.5以及以前版本中的WSH允许攻击者利用javascript中的Getobject函数以及htmlfilrActivex对象读取浏览者的注册表。
微软最新的MicrosoftWindowsScript5.6已经修正了这个问题。
WSH5.6ForWin9x/NT官方下载:
WSH5.6ForWin2000官方下载:
三安全性漏洞问题
现在通过注册表可以在硬盘生成文件,可以读取注册表
利用IE漏洞可以传播病毒,目前的浏览网页可以感染新欢乐时光等脚本病毒,很多是通过IE漏洞入侵的,还有目前的网页木马的问题,其实也是利用了IE的MIME头错误漏洞,让用户自动运行木马程序,这一类程序制作容易,很容易传播,这一类的MIME头错误对策:
打补丁或升级
1。
看看IE5.0的一个漏洞:
可以写一段错误的HTML代码使你的IE当掉,代码这里就不便贴出来了。
再来看看这个ID:
0D43FE01-F093-11CF-8940-00A0C9054228就是用来生成文件的
2。
IE现在还有IFRME漏洞,通过这个漏洞可以让IE浏览页面后自动执行.exe文件
防御对策:
最好升级IE到SP2上”,或者安装PATCHQ290108(谢谢飘飘斑竹指出这里的错误),如果你真的不想用高版本IE,怕占用资源大,就一定要记住把补丁打上。
因为目前很多病毒都是利用IE和OE的这个漏洞进行传播,爱情森林病毒是其中一个。
还有删除HKEY_CLASSES_ROOT\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228}这个ID
3。
在IE6(build2600)版本中,可以用一段javascript脚本代码让IE拒绝服务,98中能造成IE的不响应,当试图终止任务的时候,将造成操作系统的崩溃,2000中能造成50%的CPU被长时间利用,之后浏览器会询问是否让用。
防御对策:
把JAVA和脚本禁止掉,建议是升级IE或打补丁(看来不打补丁就是不行)
4。
IE中的框架(Frame)漏洞,IE5.01,5.5.6.0都受到影响,利用这个漏洞可以泄露用户的信息。
对策:
打补丁:
获取控制权限此类黑手会利用IE执行Actives时候发生,虽然说IE提供对于"下载已签名的ActiveX控件"进行提示的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻击者就会取得对系统的控制权限。
如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支:
解决方法是在注册表分支HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\InternetExplorer\\ActiveXCompatibility\\下为ActiveSetupcontrols创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00B6015C},然后在新键值下创建一个REG_DWORD类型的键Compatibility,并设定键值为0x00000400即可。
四无聊恶意网页
这一类网页是利用编写javascript代码,比如弹出无数关不完的窗口,只能让CPU资源耗尽重新启动,说句实话,现在国内的杀毒软件的网页监控对这类恶意网页根本没法拦截(国外的我没试过)
这一类网页编写并不难,都是通过写一些死循环来达到目的。
防御方法:
将JAVA禁用。
升级IE到高版本
还有是利用WIN98的漏洞让你掉线或者是死机的,防御对策,给98拼命打补丁(不要用98了,2000稳定)
大家上网时切记把网页监控或注册表监控打开,现在国内杀毒软件对写入注册表的行为的拦截的成功率都不错
通过上面的分析可以看出一个很重要的问题:
一定要时常给自己的系统打补丁,微软一般出了补丁,很快就有新的病毒代码来攻击的,所以切记时常打补丁!
WinXP注册表还原简单一法
WinXP提供了一个还原注册表的新方法,步骤如下:
l.重新启动计算机,在看到“选择启动操作
升级会员 