網蟲注意! 惡意網頁查殺防全攻略

　　近來，屢屢發生網友在瀏覽網頁時，造成注冊表被修改，使得IE默認連接首頁、標題欄及IE右鍵菜單被改為瀏覽網頁時的地址(多為廣告信息)，更有甚者使瀏覽者的電腦在啟動時出現一個提示窗口顯示自己的廣告，而且有愈演愈烈之勢，遇到這種情況我們該怎樣辦呢？

　　一、注冊表被修改的原因及解決辦法

　　其實，該惡意網頁是含有有害代碼的ActiveX網頁文件，這些廣告信息的出現是因為瀏覽者的注冊表被惡意更改的結果。

　　1、IE默認連接首頁被修改

　　IE瀏覽器上方的標題欄被改成『歡迎訪問……網站』的樣式，這是最常見的篡改手段，受害者眾多。受到更改的注冊表項目為：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page

　　通過修改『Start Page』的鍵值，來達到修改瀏覽者IE默認連接首頁的目的，如瀏覽『萬花谷』就會將你的IE默認連接首頁修改為『http://on888.home.chinaren.com』，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。

　　解決辦法：

　　①在Windows啟動後，點擊『開始』→『運行』菜單項，在『打開』欄中鍵入regedit，然後按『確定』鍵；

　　②展開注冊表到

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下，在右半部分窗口中找到串值『Start Page』雙擊，將Start Page的鍵值改為『about:blank』即可；

　　③同理，展開注冊表到

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

　　在右半部分窗口中找到串值『Start Page』，然後按②中所述方法處理。

　　④退出注冊表編輯器，重新啟動計算機，一切OK了！

　　特殊例子：當IE的起始頁變成了某些網址後，就算你通過選項設置修改好了，重啟以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器裡加了一個自運行程序，它會在系統啟動時將你的IE起始頁設成他們的網站。

　　解決辦法：

　　運行注冊表編輯器regedit.exe，然後依次展開

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun主鍵，然後將其下的registry.exe子鍵刪除，然後刪除自運行程序c:Program Filesregistry.exe，最後從IE選項中重新設置起始頁就好了。

　　2、篡改IE的默認頁

　　有些IE被改了起始頁後，即使設置了『使用默認頁』仍然無效，這是因為IE起始頁的默認頁也被篡改啦。具體說來就是以下注冊表項被修改：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL『Default_Page_URL』這個子鍵的鍵值即起始頁的默認頁。

　　解決辦法：

　　運行注冊表編輯器，然後展開上述子鍵，將『Default_Page_UR』子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設置為IE的默認值。

　　3、修改IE瀏覽器缺省主頁，並且鎖定設置項，禁止用戶更改回來。

　　　主要是修改了注冊表中IE設置的下面這些鍵值(DWORD值為1時為不可選)：

　　　[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]"Settings"=dword:1

　　　[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]"Links"=dword:1

　　　[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]"SecAddSites"=dword:1

　　解決辦法：

　　將上面這些DWORD值改為『0』即可恢復功能。

　　4、IE的默認首頁灰色按扭不可選

　　這是由於注冊表HKEY_USERS\.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下的DWORD值『homepage』的鍵值被修改的緣故。原來的鍵值為『0』，被修改為『1』(即為灰色不可選狀態)。

　　解決辦法：

　　將『homepage』的鍵值改為『0』即可。

　　5、IE標題欄被修改

　　在系統默認狀態下，是由應用程序本身來提供標題欄的信息，但也允許用戶自行在上述注冊表項目中填加信息，而一些惡意的網站正是利用了這一點來得逞的：它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息，從而達到改變瀏覽者IE標題欄的目的。

　　具體說來受到更改的注冊表項目為：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title

　　解決辦法：

　　①在Windows啟動後，點擊『開始』→『運行』菜單項，在『打開』欄中鍵入regedit，然後按『確定』鍵；

　　②展開注冊表到

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下，在右半部分窗口中找到串值『Window Title』，將該串值刪除即可，或將Window Title的鍵值改為『IE瀏覽器』等你喜歡的名字；

　　③同理，展開注冊表到

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain然後按②中所述方法處理。

　　④退出注冊表編輯器，重新啟動計算機，運行IE，你會發現困擾你的問題解決了！

　　6、IE右鍵菜單被修改

　　受到修改的注冊表項目為：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt下被新建了網頁的廣告信息，並由此在IE右鍵菜單中出現！

　　解決辦法：

　　打開注冊標編輯器，找到

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

　　刪除相關的廣告條文即可，注意不要把下載軟件FlashGet和Netants也刪除掉啊，這兩個可是『正常』的呀，除非你不想在IE的右鍵菜單中見到它們。

　　7、IE默認搜索引擎被修改

　　在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現網絡搜索，被篡改後只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因是以下注冊表被修改：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch

　　HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant

　　解決辦法：

　　運行注冊表編輯器，依次展開上述子鍵，將『CustomizeSearch』和『SearchAssistant』的鍵值改為某個搜索引擎的網址即可。

　　8、系統啟動時彈出對話框

　　受到更改的注冊表項目為：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

　　在其下被建立了字符串『LegalNoticeCaption』和『LegalNoticeText』，其中『LegalNoticeCaption』是提示框的標題，『LegalNoticeText』是提示框的文本內容。由於它們的存在，就使得我們每次登陸到Windwos桌面前都出現一個提示窗口，顯示那些網頁的廣告信息！你瞧，多討厭啊！

　　解決辦法：

　　打開注冊表編輯器，找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

　　這一個主鍵，然後在右邊窗口中找到『LegalNoticeCaption』和『LegalNoticeText』這兩個字符串，刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。

　　9、瀏覽網頁注冊表被禁用

　　這是由於注冊表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值『DisableRegistryTools』被修改為『1』的緣故，將其鍵值恢復為『0』即可恢復注冊表的使用。

　　解決辦法

　　用記事本程序建立以REG為後綴名的文件，將下面這些內容復制在其中就可以了：

　　REGEDIT4

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]『DisableRegistryTools』=dword:00000000

　　10、瀏覽網頁開始菜單被修改

　　這是最『狠』的一種，讓瀏覽者有生不如死的感覺。瀏覽後不僅有類似上面所說的那些癥狀，還會有以下更悲慘的遭遇：

　　1)禁止『關閉系統』

　　2)禁止『運行』

　　3)禁止『注銷』

　　4)隱藏C盤——你的C盤找不到了！

　　5)禁止使用注冊表編輯器regedit

　　6)禁止使用DOS程序

　　7)使系統無法進入『實模式』

　　8)禁止運行任何程序

　　具體的原因和解決辦法請看天極網e企業之安全之路欄目的這篇文章：《瀏覽網頁注冊表被修改之迷及解決辦法》。

　　以上是比較常見的修改瀏覽者注冊表的現象，今天在瀏覽網頁時，無意中來到某個個人網站，又遇到了以前沒有碰到過的問題：

　　11、IE中鼠標右鍵失效

　　瀏覽網頁後在IE中鼠標右鍵失效，點擊右鍵沒有任何反應！

　　12、查看『源文件』菜單被禁用

　　在IE窗口中點擊『查看』→『源文件』，發現『源文件』菜單已經被禁用。

　　我在瀏覽網頁時並沒有注意到上面這兩個問題，因為當時正好朋友叫我有事，於是我就退出電腦了，晚上吃完飯開啟電腦連線上網，就發現IE中鼠標右鍵失效，『查看』菜單中的『源文件』被禁用。不能查看源文件也就罷了，但是無法使用鼠標右鍵真是太不方便了。得想個辦法！

　　找出最新版的超級兔子魔法設置試試吧，呀！不能解決！看來是個新問題，不過自己好歹也是『老革命』了，這點問題應該難不住我。於是到注冊表中一番搜尋，經過一番查找終於弄明白了問題的所在。

　　原來，惡意網頁修改了我的注冊表，具體的位置為：

　　在注冊表HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer下建立子鍵『Restrictions』，然後在『Restrictions』下面建立兩個DWORD值：『NoViewSource』和『NoBrowserContextMenu』，並為這兩個DWORD值賦值為『1』。

　　在注冊表

　　HKEY_USERS\.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestrictions下，將兩個DWORD值：『NoViewSource』和『NoBrowserContextMenu』的鍵值都改為了『1』。

　　通過上面這些鍵值的修改就達到了在IE中使鼠標右鍵失效，使『查看』菜單中的『源文件』被禁用的目的。要向你說明的是第2點中提到的注冊表其實相當於第1點中提到的注冊表的分支，修改第1點中所說的注冊表鍵值，第2點中注冊表鍵值隨之改變。

　　解決辦法：

　　明白了道理，問題解決起來就容易多了，具體解決辦法為：將以下內容另存為後綴名為reg的注冊表文件，比方說unlock.reg，雙擊unlock.reg導入注冊表，不用重啟電腦，重新運行IE就會發現IE的功能恢復正常了。

　　REGEDIT4

　　[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer Restrictions]

　　『NoViewSource』=dword:00000000

　　"NoBrowserContextMenu"=dword:00000000

　　　[HKEY_USERS\.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]『NoViewSource』=dword:00000000

　　『NoBrowserContextMenu』=dword:00000000

　　要特別注意的是，在你編制的注冊表文件unlock.reg中，『REGEDIT4』一定要大寫，並且它的後面一定要空一行，還有，『REGEDIT4』中的『4』和『T』之間一定不能有空格，否則將前功盡棄！許多朋友寫注冊表文件之所以不成功，就是因為沒有注意到上面所說的內容，這回該注意點嘍。請注意如果你是Win2000或WinXP用戶，請將『REGEDIT4』改為Windows Registry Editor Version 5.00。