|
2003-05-04, 03:35 AM
|
#1 |
|
榮譽會員
 
|
IE修改全功略和惡意修改IE的恢復方法
*********************IE修改全功略**************************
1、改變IE視窗的動感效果 ``如果我們希望在開啟或者關閉IE視窗時,被開啟的視窗有動感效果,可以按照下面的步驟來修改註冊表:首先開啟註冊表編輯器操作視窗,在該視窗中用滑鼠依次單擊鍵值HKEY_ CURRENT_USER / Control Panel/ desktop / WindowMetrics鍵值,並在右邊的視窗中新增串值"Minanimat"與"Maxanimat"並設值為"0",為"1",這樣在IE視窗最大最小化切換時有遞變的效果。 2、更改IE瀏覽器中的安全密碼 我們可以在 IE瀏覽器的「 Internet 選項」對話視窗的「內容」選項頁的「分級審查」框中設置密碼,這樣,在顯示有 ActiveX 的頁面時,總會出現「分級審查不允許檢視」的提示信息,然後彈出密碼對話視窗,要求您輸入監護人密碼。如果密碼不對,則將停止瀏覽。但是,如果此密碼遺忘了,則無法瀏覽這些特徵的頁面。在密碼遺忘後,重裝 IE瀏覽器也無法去掉安全密碼。這時只有求助於註冊表了:開啟HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 分支,在 Policies 子鍵下選擇「 Ratings 」子鍵,按 Del 鍵將其刪除,由於 Ratings 子鍵下的 Key 鍵值資料就是經過加密後的密碼,刪除了這一項, IE瀏覽器自然就認為我們沒有設置密碼了。 3、更改IE的預設下載目錄 大家如果經常用IE在網上下載文件就會知道,瀏覽器程序預設地會將下載內容存放到"C:\WINDOWS\Desktop"目錄中,也就是放到Windows桌面上,時間一長就會將桌面搞得亂七八糟!有的用戶為了保持桌面的整潔,同時希望能夠有效地管理下載下來的文件,他們需要更改IE的預設下載目錄,將其改為某個專門的下載資料夾,例如"C:\download"目錄中。為此,我們只需啟動Windows 98的註冊表編輯器,並在編輯器視窗中用滑鼠依次展開HKEY_CURRENT_USER @Software@Microsoft@Internet Explorer鍵值,此時我們就可以在Internet Explorer鍵值下發現一個名為"DownLoad Directory"的字串串值,其預設值為"C:\WINDOWS\Desktop"。它就是用於定義IE預設文件下載路徑的,我們只需對其進行適當修改,例如將其改為"C:\download",此後再使用IE直接下載文件時,系統就會將文件直接儲存到"C:\download"目錄中了。 4、修改IE5.0的搜尋引擎 在註冊表中依次展開「HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search」,在右側視窗中把「CustomizeSearch」、「SearchAssistant」改為我們定義的搜尋引擎,如 「http://www.chinayancheng.net/",以後當我們每次點IE5.0的搜尋引擎時,即可自動調出我們定義的搜尋引擎,如上面設定的中國鹽城。 5、刪除IE頁面下的下劃線 當我們開啟一個IE頁面時,會發現在超級連接下方有一劃線,這主要是讓用戶更加容易分清超級連接與普通文本的區別。但有時我們為了達到某個版面效果,不希望看到在這些超級連接下有劃線,而希望取消它們,這也是非常容易辦到的!事實上,IE同時為下劃線提供了三種不同的顯示狀態,它們分別是"始終顯示下劃線"、"始終不顯示下劃線"和"將滑鼠放到超級連接上面的時候顯示下劃線",廣大用戶完全可根據自己的需要對其加以調整。具體來說,我們若擬對IE是否顯示超級連接的下劃線進行設置,則應啟動Windows 98的註冊表編輯器並依次展開HKEY_CURRENT_USER@Software@Microsoft@Internet Explorer@Main分支,然後就可以看到一個名為"Ancher Underline"的字串串值,它就是用於設置是否顯示超級連接的下劃線的。當其值為NO時表示始終不顯示下劃線、為YES時表示始終顯示下劃線、為HOVER則表示通常不顯示下劃線,而將滑鼠放到相應超級連接下面之後顯示下劃線,廣大用戶只需根據自己的需要加以更改即可。 需要注意的是,採用上面的方法修改的是系統預設值,也就是說只有當我們瀏覽的網站本身沒有設置是否顯示下劃線時,系統才會按上述設置進行顯示,若用戶瀏覽的網站自己已經設置了是否顯示下劃線,IE將會按照相應網站自己的設置進行顯示。 6、定制IE瀏覽器的地址 用過IE的人都遇到過「取消操作」提示,還有「Web頁不可離線使用」,「警告:網頁已經過期」等情況,但是我們有沒有注意到出現提示頁時地址欄中顯示的是什麼,URL為「about :xxxxxxx」。about是除了「http」、「ftp」、「mailto」、「gopher」外的特殊協議,利用它可以使用別名調閱特定的網頁,比如IE的空白頁,則的URL欄中打入about :blank即可,blank即為空白頁的別名。 利用這可通過新增類似的別名,指向我們指定的網頁地址,在註冊表中依次展開「HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AboutURLs」,在右側視窗中單擊滑鼠右鍵,從彈出的快捷表單中,選擇「新增」、「串值」,然後將「新值#1」更名為我們要給指向的網頁(網址)取的名字,右擊該名字,再將其值設置為我們想要指向的網址,注意不能省了「http://」 。 我們也可以用此法給硬碟上常用網頁取個別名,填上路徑即可方便開啟了。 7、讓IE顯示超級連接的完整地址 我們知道,在使用IE瀏覽某個網頁時,只需將滑鼠放到某個超級連接的下面,系統就會在狀態欄中顯示出該超級連接的地址,不過系統預設顯示的是相對地址(跟我們在DOS中使用的相對路徑差不多),這在某些情況下可能並不能滿足廣大用戶的需要。別著急,我們只需啟動Windows 98的註冊表編輯器,然後在註冊表編輯器視窗中用滑鼠依次展開HKEY_CURRENT_USER@ Software@Microsoft@ Internet Explorer鍵值,此時我們會在右邊的視窗中發現一個名為"Show_FullURL"的Dword值,它就是用於設置是否在IE狀態欄上顯示超級連接地址的,我們只需將其由0改為1,IE就會在狀態欄上顯示出相應超級連接的絕對地址,從而滿足了廣大用戶的需要。 8、增加IE的自動識別功能 經常上網的朋友知道,我們要訪問形如www.aaa.com這樣的網站時,只要在地址框中直接鍵入aaa,IE就會自動加上.com的後綴進行訪問,省去了很多麻煩。但是如果我們想訪問形如www.aaa.com.cn這樣的網站就沒那麼方便了,因為IE未包含.cn後綴的自動連接功能。那麼我們能不能對IE的自動匹配功能進行擴充,使之能自動匹配".gov"、".net"、".com.cn"之類的後綴呢?回答是肯定的,我們只需啟動Windows 98的註冊表編輯器,並依次展開HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Internet Explorer@Main@UrlTemplate分支,然後就可以在UrlTemplate分支下看到6個分別名為"1"、"2"……"6"字串串值,其鍵值分別為"www.%s.com"、"%s.com"、"www.%s.edu"、"%s.edu"……等,它們就是用於指定IE自動匹配範圍的。廣大用戶若擬為IE增加新的自動匹配功能,只需在UrlTemplate分支下再新增兩個字串串(如"7"和"8"),並將其值分別設置為"www.%s.com.cn"和"%s.com.cn",然後就能讓IE對".com.cn"後綴進行自動識別。當然我們還可採用此方法增加IE對".gov"、".net"等後綴的自動識別。 9、防止他人獲取對Web頁面的訪問信息 大家都知道,Windows 98具有歷史記錄功能,它能將用戶從事過的各種操作(如搜尋的內容、執行的程序、瀏覽的網站)一一記錄下來,而後我們再次從是相同操作時就能直接從歷史記錄中進行檢索,從而方便了廣大用戶的使用。不過任何事情都有兩個方面,歷史記錄儘管可以方便用戶的使用,但它也帶來了洩密的可能,有些不法用戶就會利用這些記錄來獲取我們已經訪問過的Web頁面信息。為保證絕對安全,我們就需要採取適當的方法對這些歷史記錄進行清除。對於我們使用IE上網所留下的歷史記錄而言,我們該如何進行清除呢?很簡單,啟動Windows 98的註冊表編輯器並展開HKEY_CURRENT_USER@Software@Microsoft@Inertnet Explorer@TypedURLs鍵值,該鍵值就是專門用於儲存IE歷史記錄的,它一共有25條記錄,儲存了用戶最近瀏覽過的25個網站,我們根據需要對有關記錄進行選擇性刪除即可。 10、為IE的工具欄增加背景 為了愉悅網友的視線,IE5提供了對系統工具欄中的背景圖片進行更換的功能,我們可以利用該功能將自己喜愛的圖片設置為IE工具欄的背景,從而使系統變得"個性"十足!不過令人遺憾的時,儘管IE5提供了更換背景圖片的功能,但它並沒有將該功能公開,我們無法直接對工具欄的背景進行替換,而只能通過對註冊表資料庫進行修改才能達到目的,具體操作步驟為:首先準備一張適合作為背景的BMP格式文件,並且該圖像的顏色不能太深,否則可能影響工具欄的顯示效果;接著開啟註冊表編輯器操作視窗,並在該視窗中依次展開HKEY_Current_User@ Software@Microsoft@Internet Explorer@Toolbar鍵值;隨後在Explorer主鍵下新增一個名為"BackBitmap"的字串串值,並將其值修改為事先準備的BMP圖片的完整路徑及檔案名;這樣我們就完成了為IE的工具欄增加背景圖片的步驟,重新啟動電腦之後,其程序視窗的表單欄及工具欄中就會出現用戶選定的圖像。 11、更改Outlook Express 信箱存放路徑 如果我們想修改Outlook Express 信箱存放路徑,可以在HKEY_CURRENT_USER\Identities\{4C44D002-7BCF-11D3-9957-AB53DA238B0C}\Software\Microsoft\Outlook Express\5.0下修改「Store Root」字串串值為要修改的路徑。 12、讓 IE 使用多線程下載 1. Registry內到 HKEY_current_user\Software\Microsoft\Windows\CurrentVersion\Internet Settings, 加入2個DWORD機碼。 首先加入名為MaxConnectionsPerServer的DWORD機碼值, 這一項的作用是決定最大同步下載的連線數目,一般來說,5-8個連線數目足夠了. 2. 另外,對於HTTP 1.0 Server,可以加入名為MaxConnectionsPer1_0Server的DWORD機碼值, 其預設值也是改為最大同步下載的數目. **************惡意修改IE的恢復方法(再修改篇) **************** 一、修改IE的標題欄 即在IE瀏覽器最上方的藍色橫條裡做廣告,而不是顯示預設的「Microsoft Internet Explorer」。這種修改非常常見,有人也特意針對它編製了反修改的程序。 1.註冊表法 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main在註冊表中找到以上兩處主鍵,將其下的「Window Title」主鍵刪除,並關閉所有開啟的IE瀏覽器視窗再重新開啟就能看到效果。 2.MagicSet法 點擊「IE 4/5」,點擊與「IE 標題」字體平行的「復原」按鈕即可。 二、修改IE的首頁 這個改回來很方便,在IE的設置裡就有。比較麻煩的是某些網頁在瀏覽者的硬碟裡寫入程序,使重啟電腦後首頁設置又被改了回去,這時可使用「系統配置實用程序」來解決。開始—執行,鍵入msconfig點擊「確定」,在彈出的視窗中切換到「啟動」選擇項,禁用可疑程序啟動項。 三、在Windows啟動時顯示一個視窗,點確定才能進去 這個設置其實與IE無關,而是Windows的登錄提示視窗,不過最近有些網頁對它動上了腦筋,在這個視窗裡做廣告。 1.註冊表法 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在註冊表中找到此主鍵,將其下的「LegalNoticeCaption」和「LegalNoticeText」主鍵刪除即可。 2.MagicSet法 點擊「安全與多用戶」,再點擊左上角的「+」切換視窗後,清除「啟動時要顯示的標題」和「啟動時要顯示的信息」兩項內容即可。 四、在IE裡點擊滑鼠右鍵。在彈出的表單裡顯示網頁廣告 這種情況很少見,我還沒碰到過,不過解決方法也不複雜。 1.註冊表法 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt在IE中顯示的附加右鍵表單都在這裡設置,常見的網路螞蟻和網際快車點擊右鍵下載的信息也存放在這裡,只需找到顯示廣告的主鍵條目刪除即可。 2.MagicSet法 點擊「IE 4/5」,再點擊左上角的「+」切換視窗後,在上方的列表視窗中即可修改、刪除IE的附加右鍵表單項。 五、禁止或允許用戶修改IE首頁: 執行註冊表編輯器(開始表單-執行-regedit-確定), 開啟[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel], 其實一般此鍵是不存在的, 只存在[HKEY_CURRENT_USER\Software\Policies\Microsoft], 所以後面一截你要自己建立, 主鍵建立完後在Control Panel鍵下新增一個DWORD值資料, 鍵名為HOMEPAGE(不分大小寫), 鍵值為1. 此時你開啟IE屬性時可以發現它改首頁設置的部分已經不可用了. 當然如果你想先指定主頁的話可以把HOMEPAGE的值改為0或刪除它, 然後修改主頁設置, 再把HOMEPAGE改回來即可 六、去掉註冊表編輯器被鎖定問題 win2000系統 Windows Registry Editor Version 5.00 [Hkey_current_user\Software\microsoft\windows\currentversion\Policies\system] "DisableRegistryTools"=dword:00000000 win98/me系統 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 將以上代碼copy到記事本中,然後將這個文件的名字改為*.reg雙擊執行可以解除你的鎖定狀態. 七、防範 1.因為修改註冊表設置都是用的JavaScript指令碼語言,所以只需禁用它即可。但這種指令碼語言套用廣泛,所以建議在IE的設置中將指令碼設為「提示」。 2.建議使用一些單視窗多頁面的瀏覽器如NetCaptor,myie等,因為它們往往能更方便地切換指令碼設置,像我常用的NetCaptor,用工具欄中的「安全」按鈕能很方便地設置指令碼、ActiveX和Cookie的啟用情況。 3.使用IE6.0,雖然遲遲看不到這個瀏覽器的正式版本,而且測試版問題很多,但據用過的人說使用它瀏覽網頁,將無法再隨意修改你的註冊表。 4.使用Win2000的朋友,只需在「控制台」—「管理工具」—「服務」中禁用Remote Registry Service服務,也無法通過瀏覽網頁來修改你的註冊表了。 5.使用Norton AntiVirus 2002 v8.0殺毒軟體,這個版本新增Script Blocking功能,將通過IE修改註冊表的代碼定義為Trojan.Offensive並予以攔截。 6.安裝ms script hsot v:5.0也能避免被改.................. 7.使用魔法超級兔子的工具來恢複 其實如果不懂註冊表的人,可以用一個不是那麼技術性的方法:可以到以下這個網站恢復! 請多指教,這些個網站有activeX,一個選項,幫你恢復ie所有的設置的選項: www.cnoicq.com http://assistant.3721.com/uninstall.htm |
|
送花文章: 3,
|
|
向 psac 送花的會員:
|
|
2003-05-04, 03:42 AM
|
#2 (permalink) |
|
榮譽會員
|
Q:
IE的預設主頁怎麼也改不了了。!!!! A:這個軟體能修改IE裡幾乎所有的設置 Q: 我也出現類似問題,就是廣告網站為預設主頁並且不能修改(即設置主頁下面的三個按鈕都變為灰色了),同時謝謝這位兄台提供的修復軟體, 我已經修復成功,不過修復成主頁為空白頁,有點遺憾的是設置主頁下面的三個按鈕都仍然為灰色,不知哪為兄台能告知如何修改註冊表,實現能夠設置主頁,謝謝了。 A: 1. Internet Explorer 控制項限制 (所有版本) ie pro setup v1.2.2 or: 去下傳此軟體... 這軟體.IE醫生2.5能幫助下列表功能... ============= IE醫生能輕鬆清除惡意網頁在您的瀏覽器上留下的記錄,包括: 1.修復被惡意修改的網頁 1).註冊表被鎖住,無法進行編輯 2).預設網頁的設置被更改的徹底清除 3).IE右鍵表單上的惡意連接 4).IE「連接」欄上的文字被更改 5).IE「搜尋」引擎被修改,即點擊「搜尋」時,連接到惡意網站 6).IE標題欄上的文字被更改 7).IE預設頁設置呈灰色不可用狀態 8).系統「執行」、「註銷」、「關閉系統」選項不可用 9).WINDOWS啟動時總是出現提示視窗 10).IE右鍵被鎖 11).總是定時彈出IE視窗 12).實現對IE標題欄文字、IE預設網頁等的個性設置 13).清理上網記錄(包括網路實名) 14).註冊表的制作備份與還原 2.設置IE常用選項,包括某些設置呈灰色不可用或無法看到設置項的修復 3.對IE設置進行實時監視,及時報告並修復惡意網頁對註冊表的修改 4.項目清理,包括右鍵表單、開機程序、當前工作、當前應用程式、網址記錄、cookie的清理 5.系統註冊表的恢復和制作備份 or: 你也上此網站,它幫你以activeX....改過! http://assistant.3721.com/index.htm or: 看看註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下面有沒有 「regedit -s win.dll" 刪掉∼∼ 參照本辦法可單獨管理和取消Internet選項 (工具 -> Internet選項)中的功能 鍵: [HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/ Control Panel] 資料類型: REG_DWORD (DWORD 值) 資料值: (0 = 取消限制, 1 = 實施限制) 註:如果在[HKEY_CURRENT_USER/Software/Policies/Microsoft/下沒有Internet Explorer主鍵,可在右邊框中按滑鼠右鍵,新增主鍵,將其名稱輸入即可,然後新 建Control Panel主鍵。為下列每個限制新增一個DWORD 值,然後修改其賦值,1為 實施限制(即在開啟Internet選項時該頁面消失),0為取消限制(即在開啟Internet 選項時該頁面出現)。 ·GeneralTab - 取消"一般"頁o 快取 - 取消"一般"頁臨時資料夾中的臨時資料夾設置功能 Colors - 取消"一般"頁顏色設定中的"使用Windows顏色"選項 Fonts - 取消"一般"頁中字體的設置 History - 取消"一般"頁中"清除歷史記錄"選項 HomePage - 取消"一般"頁中對"主頁"的設置功能 Languages - 取消"一般"頁中對語言的設置功能 Links - 取消"一般"頁顏色設定中對連接顏色的設定功能 Settings - 防止修改"Internet臨時文件"選項 ·SecurityTab - 取消"安全"頁 SecChangeSettings - 在"安全"頁中防止更改安全級別 SecAddSites -防止增加站點(在"安全"頁中) ·ContentTab - 取消"內容"頁 Certificates - 取消"內容"頁中的證書設定功能 CertifPers - 防止更改"證書"選項(在"內容"頁 CertifSite - 在證書管理頁面中取消"個人"頁 FormSuggest - 取消自動填表功能 (在"內容"頁中) FormSuggest Passwords - 取消"提示我儲存密碼"選項。 Profiles - 取消"內容"頁"個人信息"中的"配置文件"按鈕 Ratings - 取消"內容"頁"分級審查"按鈕 ·ConnectionsTab - 取消"連接"頁 Autoconfig - 取消"連接"頁區域網路設置中的自動配置選項 Connection Settings - 取消"連接"頁中除了"建立連接"以外的所有設定 功能 Connwiz Admin Lock - 取消"建立連接"按鈕(在"連接"頁中) Proxy - 取消"連接"頁"撥號設置"的"設置"中的代理伺服器設定功能 ·ProgramsTab - 取消"程序"頁 CalendarContact - 取消"程序"頁中的"日曆"功能 Check_If_Default - 取消"程序"頁中的"檢查Internet Explorer是否為默 認的瀏覽器"選項 Messaging - 取消"程序"頁中的"電子郵件"、"新聞組"、"Internet呼叫"選項 ResetWebSettings - 取消"重置web設置"按鈕(在"程序"頁) ·AdvancedTab - 取消"進階"頁 Advanced - 不允許更改"進階"頁中的選項 2. 限制 IE的"幫助"表單中的項目 (所有版本) 參照本辦法可單獨管理或取消IE的"幫助"表單中的選項。 鍵: [HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions] 資料類型: REG_DWORD (DWORD 值) 資料值: (0 = 取消限制, 1 = 實施限制) 註:如果在[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/ 下沒有Restrictions主鍵,可在右邊框中按滑鼠右鍵,新增主鍵,將其名稱輸入即可。 為下列每個限制新增一個DWORD 值,然後修改其賦值,1為實施限制(即在開啟"幫助" 表單時該選項消失),0為取消限制(即在開啟"幫助"表單時該選項出現)。 ·NoHelpMenu - 取消整個"幫助"表單 ·NoHelpItemNetscapeHelp - 取消"Netscape用戶"選項 ·NoHelpItemSendFeedback - 取消"發送反饋意見"選項 ·NoHelpItemTipOfTheDay - 取消"每日提示"選項 ·NoHelpItemTutorial - 取消"教程"選項 對上面內容的補充: 很多網站修改主頁手段越來越新。不止修改主頁,禁用註冊表,禁用REG文件,禁用INTER控件,甚止把activeX騙你點擊 或 把修改註冊表項做成DLL文件放在啟動項裡。等你辛辛苦苦改回來,重新啟動以後,你會發現一切又恢復了。至今我還不知道有什麼軟體可以解決這個問題。這就是為什麼要先進行第一步的原因。 1、如果是WIN98,開啟MSCONFIG,在啟動項發現有REG *.*DLL後綴的把它刪掉。2、重啟後開啟REGEDIT,搜尋網站網址,發現的全刪除。 如果是WINNT,開啟註冊表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下搜尋進行第一步再進去去行第二步即可。 重新開啟之前要把IE的主頁改回來(在控制台裡改)。 篡改IE標題欄 症狀:IE瀏覽器上方的標題欄被改成「歡迎訪問……網站」的樣式,這是最常見的篡改手段,受害者眾多。 涉及子鍵: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window Title 說明:這兩個「Window Title」子鍵的鍵值就是IE標題欄中的標題。 修復方法:執行註冊表編輯器regedit.exe,展開上述兩個子鍵,將這兩個子鍵的鍵值修改為「Microsoft Internet Explorer」(IE預設值),或者你也可以將鍵值改為像「我的專用瀏覽器」這樣體現個性的標題,重新執行IE就可以看到效果了。怎麼樣?是不是感到很親切? 篡改IE起始頁 症狀:這裡所說的IE起始頁就是一執行IE就會自動開啟的網頁,也就是說起始頁被改成了篡改網站的網址。 涉及子鍵: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 說明:這個子鍵的鍵值就是IE起始頁的網址。 修復方法:執行註冊表編輯器,展開上述子鍵,將「Start Page」子鍵的鍵值修改為某個網址即可。如果你不想一執行IE就自動開啟某網頁的話,你可以將IE起始頁設為空白頁,即將「Start Page」子鍵的鍵值修改為「about呆lank」,重新執行IE就可以看到效果了。其實也可以通過IE的選項設置來更改IE的起始頁,設置方法:點擊「工具/Internet選項」,在「主頁」中輸入起始頁。 特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啟以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裡加了一個自執行程序,它會在系統啟動時將你的IE起始頁設成他們的網站。 修復方法:執行註冊表編輯器regedit.exe,然後依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自執行程序c:\Program Files\registry.exe,最後從IE選項中重新設置起始頁就好了。 篡改IE起始頁的預設頁 症狀:有些IE被改了起始頁後,即使設置了「使用預設頁」仍然無效,這是因為IE起始頁的預設頁也被篡改啦。 涉及子鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL 說明:該子鍵的鍵值即起始頁的預設頁。 修復方法:執行註冊表編輯器,然後展開上述子鍵,將「Default_Page_UR」子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的預設值。 篡改IE預設的搜尋引擎 症狀:在IE瀏覽器的工作列中有一個搜尋引擎的工具按鈕,可以實現網路搜尋,被篡改後只要點擊那個搜尋工具按鈕就會連接到那個篡改網站。 涉及子鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant 修復方法:執行註冊表編輯器,依次展開上述子鍵,將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可。 篡改IE右鍵表單 症狀:當你在瀏覽網頁的時候右擊滑鼠的時候在彈出表單中有一項「歡迎訪問……網站」的話你會怎樣?是不是有一種惡魔纏身的感覺? 涉及子鍵: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\歡迎訪問……網站 說明:「MenuExt」主鍵是IE擴展表單項的控制主鍵,如果你機器裡安裝了網際快車或者網路螞蟻的話,在這個子鍵下面就能看到「使用網際快車下載」這樣的子鍵啦。 修復方法:執行註冊表編輯器,開上述主鍵,在「MenuExt」主鍵下面就會有「歡迎訪問……網站」相似內容的主鍵,將其刪除,但是在刪除之前你可以展開這個主鍵看一下,在這裡面有一個連接開啟一個HTML文件的子鍵,看看這個文件路徑,然後根據路徑將這個文件也刪除(注意,這個HTML文件被設置了隱藏屬性內容,從表單選項「檢視/資料夾選項/檢視頁/顯示所有文件」即可看見它啦!)。這樣才徹底清楚乾淨,是不是有種如釋重負的感覺?呵呵! 系統啟動時彈出對話視窗 症狀:開機時,會彈出推薦網站「歡迎訪問[url]http://www……」樣式的視窗。進入系統後,愴/url]|自動開啟IE瀏覽器,自動訪問預設主頁http://www…… 並且無法更改。 涉及子鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Winlogon\LegalNoticeCaption HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Winlogon\LegalNoticeText 說明:其實這個主鍵與IE並不相關,而是Windows登錄提示對話視窗的控制項。 修復方法:執行註冊表編輯器,然後依次展開上述主鍵,將「LegalNoticeCaption」和「LegalNoticeText」主鍵刪除就萬事大吉啦。 小結 上面介紹了幾種篡改手段所涉及到的子鍵以及恢復方法,但是有些篡改網站所涉及的子鍵以及放置自啟動程序的路徑會不盡相同或者還有新的篡改「技術」出現,那怎麼辦?不要緊,我們還有一招,可以以不變應萬變。當你不清楚它們修改了註冊表哪個子鍵的時候,你可以「透過現象看本質」,進入註冊表編輯器,然後按「F3」鍵開啟「搜尋」,搜尋內容就是那個篡改網站的網站名或者網址,當找到後你可以對相應鍵值或刪除或修改,然後再按「F3」鍵「搜尋下一個」,直到將它們清理乾淨了才罷休。對於設置了自執行程序或者設置了文件連接的情況,你還要根據文件路徑順籐摸瓜直搗黃龍得而誅之以圖後快,呵呵! |
|
|
送花文章: 3,
|
|
2003-05-04, 03:44 AM
|
#3 (permalink) |
|
榮譽會員
|
ALAM 非典蠕蟲(Worm.Coronex)出現!
該病毒是一個Windows下的PE文件,由彙編語言寫成,大小約為12K. 當病毒執行時,它會把自己複製到windows目錄下,檔案名為"corona.exe",並在註冊表中增加一項: HKLM\Software\Microsoft\Windows\CurrentVersion\Run PC-Config32 = %WinDir%\corona.exe 以達到下次重啟時會被自動執行。但因病毒有bug,並不能達到它的這一目的。 病毒第一次執行時,會修改IE的首頁為http://www.who.int/csr/don/2003_04_19/en,並 顯示一個「corona virus」的信息框並退出。 當中毒系統,重啟後,病毒將被自動啟動,駐留記憶體。每當系統時間的分鐘數為1及秒數為1的時。從windows的地址薄裡搜尋email地址,通過SMTP server(ip: 199.166.6.2),每小時發一次。郵件的發件地址、標題、正文件、附件為以下情況中的一種: sars@hotmail.com SARS Severe Acute Respiratory Syndrome sars.exe sars2@hotmail.com I need your help Severe Acute Respiratory Syndrome corona.exe corona@hotmail.com Virus Alert! SARS Virus virus.exe virus@yahoo.com Corona Virus honk kong hongkong.exe deaths@china.com bye deaths virus deaths.exe virus@china.com SARS SEE Ya sars2.exe virus2@china.com SARS Virus SARS Corona Virus cv.exe 為了增加被執行的機會,病毒還將它自己copy到"C:\My Downloads",並把文件長度增長到幾兆字元。如果目錄"C:\My Downloads"不存在,病毒就將自己在當前目錄複製一份。檔案名為以下情況的一種: Cossacks Full Version.exe Battlefield 1942 (full).exe Warcraft III Full.exe Jedi Knight II.exe Quake 3 Full Version.exe Starcraft full.exe Doom 3.exe Tribes 2 (full).exe Rainbow 6 Full.exe Oni full.exe White and Black.exe Return to Castle Wolfenstien (Full).exe Command & Conquer: Generals.exe Black Hawk Down (full).exe The Sims: Unleashed.exe Age Of Mythology.exe Dark Age of Camelot.exe Ultima Online.exe The Lord of the Rings.exe Medel Of Honor: Allied Assault.exe Grand Theft Auto 3 (full).exe Unreal 2: The Awakening (full).exe Unreal.exe Master Of Orion 3.exe 瑞星緊急昇級15.32.01版可查殺! ============================================ 解剖惡意網站程式碼:開機後彈出IE頁面 《為什麼IE預設標題被修改了?》一文剖析了偷偷篡改IE標題欄的網頁程式碼,然而許多網友紛紛指出有的網站更是不擇手段,當用戶訪問過它們的網頁後,不僅IE預設首頁被篡改了,而且每次開機後IE都會自動彈出訪問該網站。我們通過對下面這段JavaScript程序的解剖,希望讀者能明白其究竟,並掌握修復的方法。網站應該用豐富精彩的欄目來吸引訪問者,希望通過對用戶註冊表的惡意篡改來達到提高訪問量的目的不僅會事得其反,更是一種不道德的行為。本程式碼由子昂軒編輯製作,僅供學習研究之用。 首先,我們來分析一下這句程式碼,程序中使用: Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://JavaHouse.126.com/");//修改用戶InternetExplorer瀏覽器的預設主頁 其實就是修改用戶註冊表中 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main\資料夾下Start Page的鍵值, 這裡面的值就是存放的IE瀏覽器的預設主頁,如果你想改回來,把上面的相應程式碼改為: Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "about:blank"); 就可以實現開啟IE是空白頁了;當然你也不用動註冊表,直接開啟IE修改Internet選項中的主頁更方便些。 再來看看上述程序最卑鄙的一句程式碼: Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "http://JavaHouse.126.com/");//建立預設啟動頁面程序,保證用戶每次啟動電腦首先開啟該頁面 通過在註冊表中 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ 資料夾下建立Windows預設啟動程序,當Windows啟動後,我們會發現這個網頁會自動開啟,但是在「開始」-「程序」-「啟動」中卻找不到,這是為什麼呢?哦,原來都放到Run這個資料夾下面了。怎麼來修改呢?兩種方法,一是搜尋源頭,進入註冊表,刪除Run下面的相應項就可以了;二是在「開始」-「執行」處輸入"msconfig",把啟動下面相應的那個網站前面的"√"去掉,重新啟動電腦就可以了。 避免此類惡意修改註冊表的再次發生,你可以在IE的安全屬性內容設置中禁掉ActiveX,當然在以後的網頁瀏覽程序中可能會造成一些正常使用ActiveX的網站無法瀏覽。還有一種辦法就是對於Windows98開啟C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把ActiveXComponent.class刪掉;對於WindowsMe開啟C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把ActiveXComponent.class刪掉。放心,刪除這個組件不會影響你正常瀏覽網頁的。 最後說說在首頁使用這類程式碼的網站的目的,像在啟動電腦直接開啟網頁的做法我認為主要是針對寬帶和專線上網的用戶,這樣只要你不修改註冊表禁掉它,你的IE主頁每次進入系統都會自動被修改成那個網站;對於撥號上網的用戶每次進入系統都開一個找不到的主頁,也無所謂,至少你不改註冊表,直接修改IE主頁屬性內容後可以避免被那種網站再次修改(前提是不再進去那個網站),可是每次開機後都彈出個網頁也真是讓人討厭。 以上程式碼適用於Windows9x/Me,InternetExplorer5.X瀏覽器,據說對IE6.0無效(因為它裡面沒有ActiveXComponent.class這個組件).。 IE惡意修改防護大法 一、IE 標題欄被修改 根據網友們的來信與及自己遭遇的情況(有的網友寫得清楚明白,有的只提供網址,作者根據網址自己去測試),惡作劇的手法多數是修改註冊表中「IE」的兩個鍵值,一個是:「Windows Title」,另一個是:「StartPage」,儘管只是修改此兩個鍵值,但這兩個鍵值可以存放於三個位置,分別是: 1.[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 2.[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] 3.[HKEY_USERs\.DEFAULT\Software\Microsoft\Internet Explorer\Main] 也就是說,只要修改此三個位置的任何一個都可使得IE瀏覽器標題欄發生改變。 在早期,惡作劇的人一般只是修改第二個位置的鍵值,所以筆者之前做的註冊表文件也只適用於這種修改的情況。(下載網址) http://www.pconline.com.cn/pcedu/sof...c/iechange.reg 現在,修改任意位置的都有,有些每個位置只修改一個鍵值,有的更是絕,全部鍵值都被修改了,於是,當我們只是恢復單個位置的註冊表鍵值時,並沒有完全恢復 IE的標題欄。 所以,針對目前的情況,作者做了三個位置的註冊表,先把內容提供給網友,讓大家瞭解瞭解它的原理,內容如下: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Window Title"="Microsoft Internet Explorer" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Window Title"="Microsoft Internet Explorer" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERs\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Window Title"="Microsoft Internet Explorer" [HKEY_USER\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" 喜歡研究註冊表的網友自己通過「開始 -> 執行 -> regedit」進入註冊表相應位置,直接修改。 不過還是提醒對註冊表沒有一定瞭解的網友不要按照此種方式去操作,一個誤操作,可能會引起整個系統的崩潰。儘管可以恢復,但無疑會耽誤了對您的時間,影響了您的工作。 windows 啟動時彈出一個視窗 這種個修改方法並不是修改了IE,但都是利用了 IE 的漏洞,執行 Script 指令碼,修改了註冊表。當 windows 啟動時,彈出一個視窗,必須點擊確定才能進入操作系統,與此同時,自動執行 IE 並訪問某個網站。實質上,它修改了下面的註冊表鍵值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 在此仍然提供兩種解決方法。 1.註冊表法 選項「開始 -> 執行 -> regedit」,進入註冊表,來到: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 在此項右欄找到「LegalNoticeCaption」和「LegalNoticeText」主鍵,把它們刪除即可。 注意,在非 winNT 系列中,就是在上面的分支中尋找需要刪除的主鍵,但在 winNT 系統中,Winlogon在下面的分支中: 「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon」 另外筆者注意到,惡作劇的程式碼對於 windows 2000 server 無效,其它的 windows NT 版本筆者沒有測試過。因為讀者來信寫到他的 windows 98 系統遭到了修改,當筆者訪問來信提供的網址時,沒有發生任何變化。如果有網友被修改了,可以按類似的方法來修復。 預防方法 1.到IE裡禁止javascript指令碼的執行。由於現在的網頁多數插入了指令碼,以達到一定的功能和實現相應的效果,因此,這種喝鳩解渴的方法並實用,建議在IE的設置中將指令碼設為「提示」。 2.使用 Windows 2000 系列操作系統,可在一定的程度上遏制惡作劇,比如禁止啟動時彈出視窗。 3.在 Win2000 操作系列中,為了增強安全性能,設置有管理工具,我們進入「控制台」 ->「管理工具」 -> 「服務」,把 Remote Registry Service 服務禁止(如下圖所示),瀏覽網頁時惡作劇無法修改註冊表了。 註:此法對於某些情況可能無效。 4.建議安裝 Norton AntiVirus 2002 v8.0 殺毒軟體,此軟體已經把通過IE修改註冊表的程式碼定義為 Trojan.Offensive ,增加了 Script Blocking 功能,它將對此類惡作劇進行監控,並予以攔截。它也是目前最好的解決方法。 5.下載這個文件至桌面,當IE被修改時請雙按。 終於一口氣把這篇教程寫完,網友們再遇到類似的情況,筆者相信大家可以輕鬆地解決了。如果其它網友有其它的好辦法,也希望提供出來,與網友們分享。如果網友再遇到其它的問題,也可以向筆者來信,我們共同探訪解決方案。 修改IE右鍵功能表,把自己網站的網址加到右鍵功能表上。 它主要是修改了註冊表中 IE 設置的下面這個鍵值: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt] 修改 IE 右鍵功能表 這種情況很少見,沒有看到網友來信,筆者也沒碰到過。也許眾多的惡作劇的人還不會這種方法,我們也有理由相信,真正的高手不會整廣大訪問他們網站的網友,另外,如果網站做得好,根本不需要在網頁中加入個性別人電腦來增加訪問量,網友們自動就會把它加入收藏夾!!! 這是通過修改註冊表的「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt」,在此位置增加鍵值來實現的,在IE中顯示的附加右鍵功能表都在這裡設置,認識了原理,解決問題就簡單多了。 1.註冊表法 通過「開始 -> 執行 -> regedit」進入註冊表,來到「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt」位置,點擊資料夾的「+」號,我們可以看到常見的下載軟體網際快車右鍵下載和「增加QQ網路收藏夾」等等的信息 選不需要的主鍵,右擊滑鼠,選項刪除指令,重新啟動 IE 瀏覽器即可看到效果。筆者不是 QQ 會員,「QQ網路收藏夾」也用不上,就按圖中的方法,把它刪除了。讓我們來作個修改前後的對比:補是成功修改恢復了! 修改IE瀏覽器預設主頁,並且鎖定設置項,禁止用戶更改回來。 它主要是修改了註冊表中 IE 設置的下面這些鍵值(dword:1時為不可選): [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Settings"=dword:0 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Links"=dword:0 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "SecAddSites"=dword:0 鎖定註冊表編輯器 有一些站點更為可惡,在修改 IE 標題、主頁的同時,把整個註冊表給鎖定了,讓我們不能對註冊表作任何的修改與操作。 |
|
|
送花文章: 3,
|
|
2003-05-04, 03:58 AM
|
#4 (permalink) |
|
榮譽會員
|
Q:
常惡意的網站.用了很多工具解決不了.請教了.. http://www.7758520.com 自從訪問了這個網站,我的瀏覽器就不行了. 請教解除方法. 情高手給出解決方案 A: 好狡猾的網頁,把惡意代碼放在1234.jpg文件中,不過諾頓可以成功攔截的 根據1234.jpg文件裡的內容,它主要是在機器啟動時在註冊表裡寫東西,所以一定要先把這個解決掉 用Regedit刪除註冊表中以下項: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start Pagewin HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\win1 把以下項的「預設」鍵值內容清除: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run 刪除以下兩個文件: C:\Windows\System\systel.dll C:\Windows\System\system.dll 再來解決IE的問題 首頁雖然被改,但能在IE的設置裡自己改回,它在歷史記錄裡加入了一些網站,所以最好在IE設置裡把歷史記錄清除 用Regedit刪除註冊表中以下項: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\☆♀精彩網站♀☆ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\╰☆頂級DJ舞曲☆╯ 這個惡意網站還修改了IE的搜尋功能,改回方法: 用Regedit編輯註冊表的以下項: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\CustomizeSearch 將CustomizeSearch鍵值改為http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search 將CustomizeSearch鍵值改為http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm 將SearchAssistant鍵值改為http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm 至此修復完畢 or: norton 就可檔住... or: 用IE超級裝甲..執行一次,去什麼網站都沒事了.. www.skycn.com 有下載 ★★★★IE超級裝甲二代★★★★ 「IE超級裝甲二代」是惡意網頁的終極解決方案。 網上的修改IE標題欄、預設首頁的惡意網頁出現有好多日子了,由於對註冊表具有完全的讀寫權限,「超級兔子」等對系統所能做的修改它們都可以實現,也就是說您整個系統的安危完全掌握在不知名的網頁手中,其危害之大難以估計。反修改軟體雖然層出不窮,但它們或是治標不治本,修復後下次去類似網頁又被修改;或是需要在執行時才能有效,使用麻煩而且佔用系統資源。「IE超級裝甲二代」的出現將改變這一切,只需使用一次就可以終身免疫,同時還使系統對「歡樂時光」、「愛蟲」等一些指令碼語言病毒產生免疫力。 與同類軟體相比,它具有以下特點: ● 一次使用,終身免疫。一旦啟動「超級裝甲」後,系統再也不受惡意網頁的影響。使用簡單,不佔用系統資源。 ● 使用安全。關閉「超級裝甲」即可恢復到使用之前的狀態,不對系統產生任何影響 ● 100%修復各種已知的修改。考慮到許多用戶使用前系統已經被修改,「超級裝甲二代」中增加了修復模塊,有效解決各種惡性修改。 ● 軟體體積小。僅292KB,56K貓下載不用1分鐘。 ● 綠色軟體,無需安裝。即下即用,快捷方便。 ● 完全免費,沒有任何功能限制。 Q: 這網站太惡毒了,從REGEDIT修改首頁及DEFAULT PAGE仍然無效! http://adult.slotch.com 過一會兒又會自動重回該網頁。 還會跑出一堆東西!POP UP 連在GOOGLE BAR上搜尋也會被指向http://search.xrenoder.com/。 利用AD-AWARE6也無效(已上網更新REG)! C:\WINDOWS\Downloaded Program Files\BDSrHook.DLL 砍不掉.............. A: 深表同情!假如你裝個防火牆吧,可以攔住的: 系統是98嗎? 說Windows Script Host 5.6好像可以搞定這個缺陷 給下載地: http://download.microsoft.com/downlo...5/scr56cht.exe Q: 我是! operation system: xp pro 真傷腦筋! A: 就你的最好辦法就是今後不要再讓自己或別人瀏覽色情網站! 嘗試............ BDSrHook.DLL以可於在dos下刪除 或這軟體............ try this one Spybot - Search & Destroy 1.2 http://security.kolla.de/news.php?lang=en 一般DLL文件被用後不能刪,但可以Rename. 先Rename, 重新啟動系統應該能解決問題.另外..................... 到Register找看有沒有地方出現那個DLL, 把相關Entry砍掉. 不過!這個好像應是 BaiDu 百度插件(IE)哦~ 到下面看看解決辦法... http://bbs.yesky.com/disp.asp?lanp_id=3380&bbsid=51 「百度插件病毒」深度分析【轉貼】 文章作者: sakulamu 文章內容: 最近發現在瀏覽一些網站時,會不知不覺的被安裝上一個來自百度公司名為「IE搜尋伴侶」的IE插件。 這個插件極為怪異,有時的簽名是baidu.com,有時的簽名是Gaoling Interactive Information Technology Corporation limited,不僅偷偷摸摸還極為霸道,3721一類的IE插件還幾天彈一次,百度的這個插件卻每分每秒無時不刻的在瘋狂彈出,讓人防不勝防。 百度插件開機自動執行「BIE」工作,拖慢上網速度,使系統執行極不穩定,在有的殺毒軟體論壇裡用戶在聲討這個插件,很多網友發現百度插件安裝後不經用戶許可就刪除用戶硬碟資料和註冊表項,致使一些軟體無法正常執行,更可怕的是百度這個叫「BIE」的後台程序隱藏執行,在系統配置程序裡刪不掉,其對應的註冊表項刪除後又自動恢復,與病毒的特徵完全一樣。在金山毒霸的論壇裡還有用戶反應百度插件與中國遊戲中心在線客戶端、影音衛士等軟體衝突,關機時經常會致使IE出錯。 通過分析這個軟體的源碼可以看出,這是個一個寫得很粗糙的Windows套用程式 #include "windows.h" #include "winbase.h" void main() { char buf[MAX_PATH]; ::ZeroMemory(buf, MAX_PATH); ::GetWindowsDirectory(buf, MAX_PATH); char filename[MAX_PATH]; ::ZeroMemory(filename, MAX_PATH); strcpy(filename, buf); strcat(filename, "\\Downloaded Program Files\\BDPlugin.dll"); ::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); ::ZeroMemory(filename, MAX_PATH); strcpy(filename, buf); strcat(filename, "\\Downloaded Program Files\\BDHelper.dll"); ::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); ::ZeroMemory(filename, MAX_PATH); strcpy(filename, buf); strcat(filename, "\\Downloaded Program Files\\BDSrHook.dll"); ::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); ::ZeroMemory(filename, MAX_PATH); strcpy(filename, buf); strcat(filename, "\\Downloaded Program Files\\BDEx.dll"); ::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); } 但這個百度IE插件用正常的卸載方法根本不能完全卸載,下面給大家介紹完全卸載這個插件的詳細方法。 由於這個百度IE插件是使用Rundll32.exe使用連接庫的,系統無法終止Rundll32.exe工作,所以我們必須先重新啟動電腦,按 F8 進入安全模式(F8 只能按一次)之後,按下 開始 -> 執行 regedit開啟註冊表,進入: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除鍵:BIE 其鍵值為:Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32(如果是win98,這裡的 C:\WINNT\DOWNLO~1\ 為 C:\WINDOWS\DOWNLO~1\) HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\ACCESSIBILITY 刪除鍵:BDSEARCH,此鍵在 Internet 選項 -> 進階 中加入了百度IE搜尋伴侶的選項。 HKEY_CLASSES_ROOT 刪除鍵:BDHlprObj.BDHlprObj 刪除鍵:BDHlprObj.BDHlprObj.1 刪除鍵:BDHook.BDSrchHook 刪除鍵:BDHook.BDSrchHook.1 刪除鍵:BDHook.URLBDHook 刪除鍵:BDHook.URLBDHook.1 刪除鍵:BDPlugins.Interceptor 刪除鍵:BDPlugins.Interceptor.1 HKEY_CLASSES_ROOT\CLSID 刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C} 刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0} HKEY_CLASSES_ROOT\TypeLib 刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000} HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID 刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C} 刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0} HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib 刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000} HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units 刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C} 刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0} 刪除完註冊表中的項之後,還需要刪除存儲在硬碟中IE搜尋伴侶的文件。 刪除如下文件:C:\WINNT\DOWNLO~1 目錄下(98下為 C:\WINDOWS\DOWNLO~1\ 下同) BDEX.DLL 24576 12-25-02 11:43 BDPLUGIN.DLL 49152 12-25-02 11:44 BDSRHOOK.DLL 32768 12-25-02 11:45 BDHELPER.DLL 36864 12-25-02 11:52 BDSEARCH.INF 1507 12-28-02 9:48 以上文件全部刪除,這樣百度IE插件就基本上從你的電腦中全部清除了。最後,重新啟動電腦,進入正常模式就不再有百度插件的侵害了。 下面是完全禁止百度插件的方法: 完全刪除百度插件之後,用Windows自帶的記事本開啟hosts文件(hosts文件是Windows裡面自帶的將主機名稱映射到 IP 位址的一個文本格式的文件,hosts表位置,Win9x系列在C:\Windows,NT、win2000平台在\winnt\system32\drivers\etc,Winxp平台在\windows\system32\drivers\etc,如果找不到就搜尋一下hosts) 加入以下字串(IP和域名之間用一個空格間隔開): 127.0.0.1 bar.baidu.com 127.0.0.1 www.baidu.com 127.0.0.1 baidu.com 儲存的檔案名為hosts(注意不要加任何副檔名),怎麼樣?再也看不到百度插件的對話視窗了吧? 同理,用Hosts文件還可以對付網頁中的廣告。現在很多大型網站,都有專門存放廣告的主機,檢視網頁的來源碼,就可以知道廣告文件存放在哪台主機上,然後用Hosts文件解析這台主機的IP,就可以把這些廣告拒之門外了。 這個方法不足的地方就是無法訪問百度網站,不過我們都使用Google(www.google.com),百度網站也沒有訪問的價值。 另外如果有用NetCaptor、MYIE、QQ瀏覽器等多頁面瀏覽器的網友也可以把: www.baidu.com 202.108.250.228 bar.baidu.com 202.108.250.204 這些增加到黑名單, 把C段封殺 202.108.250.* --------------------------- 附件附上Hosts: # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 127.0.0.1 bar.baidu.com #百度IE插件 127.0.0.1 www.baidu.com #百度IE插件 127.0.0.1 baidu.com #百度IE插件 |
|
|
送花文章: 3,
|
|
2003-05-04, 05:24 AM
|
#5 (permalink) |
|
榮譽會員
|
IE 視窗標題列與首頁被設成廣告頁該如何清除?
些網站,在沒有通知使用者的情況下,會自動修改 IE 首頁,將它網站設成你的 IE 首頁,同時修改 IE 視窗標題 bar 中的文字,以達到廣告的目的,遇上這種情況,該如何做才能恢復 IE 的原狀? 我們可以經由修改登錄值,把廣告文字去除,不過也不要期望太高,因為如果廣告程式仍然存在於你電腦內的話,登錄又會被廣告程式改回來的。( 註一) 按「開始」,到「執行」,輸入 regedit 按 enter。 到以下幾處去尋找 Start Page、Window Title 這兩個字串值,將 Start Page、Window Title 整個刪除。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main 因為 Window Title 裡面放什麼字串,IE 的視窗標題列就會顯示什麼字,所以我們要把它刪除,刪除之後,所顯示的文字就是 ie 預設的「Microsoft Internet Explorer」字樣。當然,你也可以不刪除,把 Window Title 內容改成空的也可以,那麼ie 視窗標題列就是空的。 同樣道理,Start Page 就是指定 IE 開啟時的首頁,如果把它刪除,IE 就是用預設的網站做首頁(通常就是 MSN),若改成 about:blank 就是空白頁。若不輸入任何文字,保持空白,也是空白頁。(註二) 若你希望將你慣用的網站設為 IE 首頁,請在修改過登錄之後,再到 internet 選項(網際網路選項)中的「一般」頁,將首頁網址設成你原本慣用的網址。 註一: 請注意,本例中所指導的方法,並不能適用於所有的狀況,也就是說,在某些情況下,仍然是沒有辦法透過這個方式徹底清除廣告 的。如果網站並沒有在你的電腦上另外安裝廣告軟體,僅是修改首頁,那麼本例中的方法即適用。 為什麼呢? 因為改首頁可分為兩大類:一是正規合法的工具程式,二是病毒。 某些網站的廣告並不是單純修改 registry 而已,它是會安裝一部分的程式在你的電腦裡(即外掛程式,它網站所提供的一個小工具程),所以你必須要執行這個外掛程式的移除程式(uninstall)才能移除廣告,使用者之所以「安裝」,多半是出於「疏忽」(可能急著看某某頁而一直按 Yes 或確定,沒注意那頁為什麼一直出現要你按 Yes 的原因),因為是「疏忽」,所以才會說「我根本沒有裝呀,是它自己要裝進來的..」。 要解決這個問題就簡單了,因為是合法工具軟體,所以就去當初安裝你廣告軟體的網站,尋找 uninstall 程式才能解決,這類廣告網站都有提供移除軟體或是移除的方法(有些甚至在新增移除程式中也提供 uninstall)。網站很多,我沒有辦法一個個找出來、很明確的告訴你移除程式在它網頁的哪裡,你必須自己花時間在它網站上尋找。 另外一個最讓人頭痛的就是「病毒」,某些病毒,會利用 IE 在安全上的漏洞,在你瀏覽它網站的時候,植入程式。或是雙管齊下,先把一部分程式 mail 給你,你無意中開啟了它(表示安裝了 client 端),又依照那封 mail 的指示上了某網站,通常假借色情網站之名才有這麼大的吸引力,讓人非想去看一看不可,你這一看整個病毒就安裝完成了。 這類病毒基本上並不做什麼破壞你PC的事,就是綁架你的首頁而已,危險程度雖不高但讓人很煩。我對病毒、與這類闖後門的程式都沒有研究,沒辦法告訴你該怎麼清除掉,或許你只能寄望防毒軟體來解決了。 有人也可能懷疑說:我從來也不開附件、也不逛色情網站,可是為什麼首頁還是會被改掉?這類綁架首頁的病毒,後來出現很多變種,有些行為會類似 Nimda 病毒一樣(破壞性沒那麼強,只是改你首頁),你去逛到那個已經中了毒的網站(正規的網站,但是中了毒),接著你也會中毒,這是 IE 的安全上漏洞,對 user 而言,只能說無奈。 以下是避免首頁被綁架的幾個方法,雖不保證永遠管用,因為破壞的程式日新月異,誰也不知道以後它用什麼方式綁架你、破壞你,但是只要降低一點好奇心與增加一點警覺心,被入侵的機率也會降低很多。 不要理會莫名其妙收到的的郵件(與附件),尤其叫你一定要去看 xx 網站或一要開附件。 安裝防毒軟體,注意更新病毒定義。 經常上微軟的 Windows Update 網站,了解 IE 是否有重大更新需要下載安裝(patch 或 service pack),避免因 IE 的漏洞,讓惡意的程式有可趁之機。 註二: 對於不會使用 regedit 的讀者,你可以下載 blank.reg,下載後,在此 reg 檔案上 double - click,登錄值就會匯入系統,將首頁與標題文字設為空白。 下載 blank.reg 不過,先請你了解:blank.reg 只做兩件事: 將首頁設成空白。(Start Page 填入空白字串) 強迫 TITLE 空白,我的設定是把 title 全部清空,以清除 IE 視窗 Title 裡的廣告文字,所以不會出現預設的 Microsoft Internet Explorer 字樣,如果你要「Microsoft Internet Explorer 」這樣的文字出現在 ie 視窗標題列上,請改用 regedit,將 Window Title 刪除。 如果在匯入之後,發現開啟 ie 時出現找不到網頁的畫面,請到「工具」>>「 Internet 選項」,按「使用空白頁」,按確定。 若你希望將你慣用的網站設為 IE 首頁,請在執行 blank.reg 之後,再到 internet 選項中的「一般」頁,將首頁網址設成你原本慣用的網址。 以下是 blank.reg 檔案的內容: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="" "Window Title"="" REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"="" "Window Title"="" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Window Title"="" ======================================== Internet 選項中的首頁設定按鈕變灰色,無法設定 問題: 到 ie 的「工具」 >>「Internet 選項」,在「一般」這裡的首頁設定的三個按鈕:「使用目前的設定」、「使用預設的畫面」、「使用空白頁」,都變成灰色,無法使用,該如何解決呢? 回答: 因為登錄(registry)中的 「NoBrowserOptions」被設定啟動,因此修改登錄,將正確的值修改回來。 按「開始」,到「執行」,輸入 regedit 後按確定。(註一) 到: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 將 「NoBrowserOptions」刪除,或將其值設成 0(DWORD值為 0是關閉,1是啟動),按鈕功能應該可恢復。 若刪除或修改之後,仍然無法開啟 internet 選項,請尋找(執行登錄編輯程式 regedit ,到功能表上的編輯>>尋找,輸入 NobrowserOptions 去找) 搜尋其他位置上是否有NoBrowserOptions,將所有都刪除,結束 regedit.exe。 到「控制台」>>「Internet選項」,測試按鈕:「使用目前的設定」、「使用預設的畫面」、「使用空白頁」是否正常。 開啟 IE,到「工具」>>「Internet 選項」,測試按鈕:「使用目前的設定」、「使用預設的畫面」、「使用空白頁」是否正常。 若仍然是灰色,再試著找是否有以下機碼:(這一段不一定會有,如果你找不到,表示沒有被修過,就不必做以下的測試)執行 Regedit,到: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 在 "HomePage" 上按兩下,將其值改成 0,重新開機測試。(或將 HomePage 刪除)﹙註二﹚ 某些惡劣的網站﹙色情聊天網站、廣告網站居多﹚,會擅自修改使用者的 ie 設定, Internet 選項無緣無故的不能使用,多半是這類網站造成的,讀者在上網時請多留意。 另外,如果你認為不曾上過這類的色情、廣告網站,莫名其妙的 Internet 選項就不能用了,請留意是否有病毒,是否為病毒程式修改了你的設定。 幾點建議: 不管是你已經遇上、或還沒遇到這類設定被惡意修改的讀者,我有以下的建議: 一、建議隨時更新防毒軟體的病毒碼。 因為,某些網站在惡意串改或植入程式到你電腦的時候,例如透過 ActiveX 或是一些不懷好意的 Script 程式修改你設定時,防毒軟體都有機會偵測得到,雖然不能保證100%攔截,但是至少可以多一層保險。 二、經常到微軟的 Windows Update ﹙windowsupdate.microsoft.com﹚網站上去查看,留意是否有新的關於安全性方面的修正程式。 一些惡意的程式,多半是利用 IE 在安全上的漏洞或缺失,達到它暗中修改你的系統的目的,所以,即使你本身沒有架設網站,只是一位普通 USER,仍要留意安全性的問題,不要有倒楣的事情不會發生在你身上的這種想法。 在「Windows Update」網站上,有一個「重大更新」的單元,進去看一下,如果它檢查出你的系統是有需要更新的元件,我建議你下載更新,避免你的電腦在無意中被人開「後門」。 註一: 如果你不知道如何使用 Regedit.exe ﹙登錄編輯程式﹚,可以直接下載這個 reg 檔案,然後匯入即可: 下載:unlock_ie_options.reg 將這個 reg 檔案匯入即可﹙下載後直接 double-click﹚,要匯入之前,請將所有的 ie 視窗關閉。如果此處無法下載,請到以下網址尋找你需要的 reg 檔案下載。 http://tw.groups.yahoo.com/group/bin...est/files/Reg/ 以下是 unlock_ie_options.reg 這個檔案的內容,提供給了解登錄檔的讀者做參考: REGEDIT4 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoBrowserOptions"=dword:00000000 事實上,在 HKEY_CURRENT_USER\Software\Policies\Microsoft\ 之下,一般情況下是沒有 Internet Explorer 與其以下的部分,這完全是額外的設定,額外對 IE 所做的限制設定,換言之,Internet Explorer 資料夾中的東西﹙包含其本身﹚,都是可以刪除的,刪掉 Internet Explorer 機碼,就可以解除所有對 IE 的限制。 若要刪除,則在 Internet Explorer 機碼上按右鍵,選刪除即可。 =============================== IE 首頁被廣告綁架(病毒) 問題: 電腦重新開機之後,發現會無緣無故的不斷蹦出廣告,IE 的首頁也被改成廣告頁,在我的開始功能表跟桌面中都還會加上它的 URL,怎麼刪都不管用,重新開機又會跑出來,怎麼辦呢? -------------------------------------------------------------------------------- 請注意: 本例為病毒,因此在我 IE 單元中編號 2000-05-22-1 號之文章並不適用於此,該文中提及之廣告程式﹙gohip﹚為合法之廣告程式,需使用者同意之後,才下載安裝。 另外,若僅視窗標題列被加入廣告字串,也亦與病毒無關,關於除去標題文字的方法,請參考:IE 標題列與首頁被設成廣告頁該如何清除 最後還是要提醒: 在套用解決方法的時候,請分辨你的問題環境,例如甲問題與乙問題症狀很類似,然而解決方法卻完全不同,不可以拿甲方法用在乙問題上。 用錯方法,輕者問題依然無法解決。重者,原本正常的部分也可能被改壞了,所以在套用方法之前,務必讀清楚問題中的狀況是不是與你的狀況相符。 -------------------------------------------------------------------------------- 回答: 病毒的一型,它是一種特洛伊木馬程式(背後偷偷搞鬼),經由惡意的 activex 或 script 程式,透過 IE 的漏洞,達到暗地裡植入程式修改你電腦設定、任意在你的電腦上執行的目的。 目前這類亂改首頁的病毒,它僅僅是亂改首頁跟拼命蹦廣告,好像還沒有出現破壞資料的狀況,但是不要因為如此就不在意,因為,病毒程式也是會不斷改版的,今天它不這麼做,不代表它以後都不這麼做。 這個病毒的感染途徑有兩種,一是透過郵件,一是透過網站,網站上或自動下傳安裝程式到你的電腦裡(假如仍然使用沒有修正過的IE) 如何預防呢? 安裝防毒軟體解除這種病毒 ,如果已經安裝防毒軟體,只要是新的病毒定義都可以偵測到這個亂改首頁的病毒,下載最新的病毒定義掃描電腦。 萬一手邊沒有防毒軟體該怎麼辦?只好手動移除,手動移除的方法,請見: 註一。 不要用「試用版」,因為有些廠商提供的試用版沒有辦法更新病毒定義,防毒軟體就認不得這種新的惡意的攻擊程式,當然,也就掃不出病毒了。 我測試過,Norton Antivirus 2002 (或 2001)搭配 2001 年12月19日之後的病毒定義,都可以順利攔截、清除這個亂改首頁的病毒。(但防毒軟體並不能清除開始功能表中的廣告 URL,這些自己刪掉就行了) 亡羊補牢: 雖然防毒軟體很輕易的可以解決這個病毒,但是,為了防患未然,下載安裝必要的 IE 安全性修正程式還是必須的步驟,以免以後再讓這類病毒有可趁之機。 去哪找修正程式?有兩個地方都可以下載安全性修正程式(我這邊只提安全性修正程式,與系統功能有關的修正程式這邊不提): 一是利用 Windows Update (windowsupdate.mucrosoft.com)網站, 進入它的「重大更新」單元,檢查是否有重要的、需要修補的程式,這也是最方便的路徑,最適合一般 user 使用。(註 二) 二是在 Microsoft Security Bulletin(英文站)上慢慢找自己所需的修補程式,較適合進階 user 或技術人員。 就本例而言,微軟有兩號修正程式是修補這個安全漏洞的: Microsoft Security Bulletin:MS00-075 http://www.microsoft.com/technet/treeview/default.asp? url=/TechNet/security/bulletin/ms00-075.asp Microsoft Security Bulletin :MS00-081 http://www.microsoft.com/technet/treeview/default.asp? url=/TechNet/security/bulletin/ms00-081.asp 順便一提,如果你不知什麼原因無法使用 Windows Update 更新,或是想知道更多這些有關安全性的資訊,請前往Microsoft 的 Security Bulletin,裡面都是非常有用的資訊。>> Microsoft Security Bulletin Service 我發現很多然還是沒有經常上 Windows Update 網站 check 修正程式的習慣,另外,也發覺大家對於「功能性」方面的修正程式,倒是很樂意安裝,對於「安全性」方面的、這種在人類感覺上,好像是裝不裝都無所謂的修正程式(因為感覺不出來多了什麼功能),反而興趣缺缺,這種習慣不太好。 在過去,那個網際網路不發達的時代、不上網的時代,的確,security 方面的事情你不在意也沒什麼大不了,因為都是單機,外面進不來,你也出不去,反倒安全。但是在現在上網已經算是 PC 必備的一個功能之一,你的電腦就是網路上的一台機器,那你就必須要有網路安全的觀念。 IE 是網路軟體的一種,當然也會有所謂的漏洞(是軟體,就會有 bug),只是這個洞大、洞小、重不重要、有沒有被發覺而已。再加上「微軟」產品又是「駭客的最愛」,所以你一定要留意它網路產品在 security 這一方面的事情,避免成為無辜受害者。 「要怎麼注意呢?我怎麼知道哪裡有最新的安全性修正程式?」 最簡單、方便的方法,就是上 Windows Update 網站查看重大更新,尤其是關於「安全性」方面的更新,然而,這麼簡單、容易的步驟,很多人還是不做的,這就給了惡意的程式攻擊的機會。 註一: 我提供手動清除的方法,但是我不能保證絕對可以清除,因為病毒不是只有一個版本,提出手動清除只是應急,並給你一個解決問題時的思考方向。若清除後一切正常,務必儘快安裝防毒軟體並配合最新病毒定義掃毒, 以策安全。 注意:以下所提到的機碼或數值,不一定都可以在你的電腦中找到,因為如果你的某部分沒有被竄改,某些機碼或數值當然就不會有。 在做動作之前,務必確認你已經: 關閉所有 IE 視窗,若有廣告視窗無法關閉,請先拔掉網路線或斷線。 按「開始」>>到「執行」,輸入 regedit(按 enter),到: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 在 Start Page 上按右鍵,選修改,原內容刪除,改輸入about:blank,按確定。(或是不輸入內容也行) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 檢查 Windows Title 內的值是否為廣告字串,若是,則刪除整個 Windows Title HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 檢查 Windows Title 內的值是否為廣告字串,若是,則刪除整個 Windows Title HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\WinOldApp 檢查右邊是否有一個數值為"NoRealMode",若有,則刪除,或把 WinOldApp 整個刪掉(這是不需要的) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run 刪除 START PAGE,同時檢查是否其他也有可疑網廣告址的項目,在(預設)上按滑鼠右鍵選刪除。("預設" 這裡的值應該出現的是"值尚未設定") HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon 刪除整個 Winlogon HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main 在 Start Page 上按右鍵,選修改,刪除原網址,改輸入about:blank,按確定。(或是刪除後不輸入內容也行) HKEY_USERS\.DEFAULT\Software\Microsoft\CurrentVersion\Run START PAGE整個刪除(或其他有可疑網廣告址的項目)。接著,在"(預設)"上按滑鼠右鍵選刪除。("預設" 這裡的值應該出現的是"值尚未設定") 再到: HKEY_CURRENT_USER\Software\Policies\Microsoft 在 Internet Explorer 這個資料夾上按滑鼠右鍵選刪除(即整個 Internet Explorer 與其中包含的所有設定都刪除),以解決 Internet 選項變灰色,按鈕無法按的問題。 HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run 檢查是否有廣告網址,因病毒而異,有些廣告病毒並不會寫到這裡,若有則刪除該網址字串(新手請注意,不要誤把 Run 資料夾整個刪除) 關閉 regedit,此時不要打開 Internet Explorer,否則它又去連那個有毒網站,又會被修改,剛剛做的就白做了。 繼續:按「開始」>>到「控制台」>>「Internet 選項」,在「一般」這頁,按「使用空白頁」。 再在 Temporary Internet files 按「刪除檔案」(勾刪除所有離線內容),按確定。再到「記錄(History)」按清除紀錄。 重新啟動電腦。至於桌面、開始功能表、快速啟動列裡面殘留的廣告 URL 項目,自己動手刪除就行了。 儘早安裝防毒軟體,以免再次被這類型惡意程式破壞。 在 Windows Update 網站上,會不斷推出新的修正程式(即所謂的 Patch),隨時注意它網站公佈的重大更新,尤其是有關「安全性」方面的修正檔,務必下載更新,就可以降低被惡意程式攻擊的機率。 IE 6 已含這兩個修正,所以 IE 6 的 user 可以不必安裝 ms00-075 跟 081 這兩個修正程式。如果你是從 Microsoft Security Bulletin 上下載安裝,請注意適用版本,有些修正程式會因作業系統、語系的不同而不同,有些則無,請注意它網站上的說明。 若是透過 Windows Update,因為 Windows Update 會自動偵測你已經安裝的原件,所以會自動顯示適合你安裝的版本,因此最適用於一般程度的 user。 ==================================== IE首頁被設成廣告頁該如何移除(gohip、secondpower) 問題: 每次重新開機後,再打開 ie 就會出現廣告視窗,曾經以更改首頁來刪除廣告,但只要重新開機之後,廣告視窗便會佔據首頁的網址列,該如何解決? 回答: 以這個案例來講,這位使用者無意中安裝了 GoHip (註一)網站的廣告程式而沒有察覺到,給自己帶來了麻煩。 所以,我一再強調:不要只要網頁面上蹦出什麼要求下載的畫面時,你就拼命按 「Yes」 或「確定」,看一下那個對話框的內容,看一下你拜訪的那一頁的內容。 像這一類會在 Client 端安裝廣告程式的網站網站它不會「主動」安裝,一定是你按了 Yes 之後,它才安裝。 它在下載之前的授權合約裡,就已經記載著很清楚了,會修改 Client 端的一些設定,養成一個好習慣,看清楚說明之後,再決定要不要下載,免得以後造成你自己的困擾。 如果你安裝了 gohip 的「Free Video Browser Enhancement」,會修改你的 IE 首頁,並且自動在你的簽名檔中加入類似下面這樣的文字: Click here for FreeVideo!! http//www.gohip.com/freevideo/ 到 GoHip 的網站去尋找移除程式(到當初你下載這個元件的網站去找方法): http://www.gohip.com/remove_browser_enhancement.html 下載他的移除程式 remove.exe 檔案,執行這個程式,移除完成後,重新開機。 移除之後,如果 IE 首頁仍是他的首頁,這時把首頁改成空白或是你要的首頁網址即可,例如到>>工具>>Internet 選項,按「使用空白頁」(或輸入你自訂的網址)。 最後我還是要提醒: 任何網頁上的說明都要「張大眼睛看清楚」。 不要因為是英文的,就不看、懶得看..這不是藉口,像 Gohip 下載之前的網頁上,就寫得很清楚安裝之後會有的影響,請仔細閱讀這類說明,不要遇到對話框出現時,就只知道按「OK」或「是」,內容說什麼都不看。 事先看清楚,以免增加以後不必要的困擾。 註一: 除了 Gohip 的廣告之外,另外 Secondpower 網站的廣告元件也是會把 IE 首頁設為他指定的廣告頁,移除方法跟 Gohip 一樣,都是到各自所屬的網站上下載 uninstall 程式移除掉廣告外掛軟體。 secondpower 的移除方法與注意事項,在它網頁上說明得很清楚,我就不再做說明(這也跟我網站教學內容無關)以 下是網址: http://www.secondpower.com/customer.html 本例不是病毒,此廣告程式為合法之程式,需使用者同意方可下載,因此 IE 單元編號 2002-01-08-1 號之文章並不適用於此環境。 ================================== 惡意網站代碼篡改了IE預設首頁的解決辦法 許多網友紛紛指出有的網站不擇手段,當用戶訪問過它們的網頁後,不僅IE預設首頁被篡改了,而且每次開機後IE都會自動彈出訪問該網站。 禮畯抭q過對下面這段JavaScript程序的解剖,希望讀者能明白其究竟,並掌握修復的方法。網站應該用豐富精彩的欄目來吸引訪問者,希望通過對用戶註冊表的惡意篡改來達到提高訪問量的目的不僅會事得其反,更是一種不道德的行為。 首先,我們來分析一下這句代碼,程序中使用: Shl.RegWrite ("HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://JavaHouse.126.com/");//修改用戶InternetExplorer瀏覽器的預設主頁 穡銋窵N是修改用戶註冊表中 HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorermain資料夾下Start Page的鍵值, 糧o裡面的值就是存放的IE瀏覽器的預設主頁,如果你想改回來,把上面的相應代碼改為: Shl.RegWrite ("HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "about:blank"); 織N可以實現開啟IE是空白頁了;當然你也不用動註冊表,直接開啟IE修改Internet選項中的主頁更方便些。 礎A來看看上述程序最卑鄙的一句代碼: Shl.RegWrite ("HKCU\Software\Microsoft\Windows\CurrentVersion\Run\", "http://JavaHouse.126.com/");//建立預設啟動頁面程序,保證用戶每次啟動電腦首先開啟該頁面 糧q過在註冊表中 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 繡禤ぃ角U建立Windows預設啟動程序,當Windows啟動後,我們會發現這個網頁會自動開啟,但是在「開始」-「程序」-「啟動」中卻找不到,這是為什麼呢?哦,原來都放到Run這個資料夾下面了。怎麼來修改呢?兩種方法,一是搜尋源頭,進入註冊表,刪除Run下面的相應項就可以了;二是在「開始」-「執行」處輸入"msconfig",把啟動下面相應的那個網站前面的"√"去掉,重新啟動電腦就可以了。 臏蚹K此類惡意修改註冊表的再次發生,你可以在IE的安全屬性設置中禁掉ActiveX,當然在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。還有一種辦法就是對於Windows98開啟C:WINDOWSJAVAPackagesCVLV1NBB.ZIP,把ActiveXComponent.class刪掉;對於WindowsMe開啟C:WINDOWSJAVAPackages5NZVFPF1.ZIP,把ActiveXComponent.class刪掉。放心,刪除這個組件不會影響你正常瀏覽網頁的。 糧怮廙◆’b首頁使用這類代碼的網站的目的,像在啟動電腦直接開啟網頁的做法我認為主要是針對寬帶和專線上網的用戶,這樣只要你不修改註冊表禁掉它,你的IE主頁每次進入系統都會自動被修改成那個網站;對於撥號上網的用戶每次進入系統都開一個找不到的主頁,也無所謂,至少你不改註冊表,直接修改IE主頁屬性後可以避免被那種網站再次修改(前提是不再進去那個網站),可是每次開機後都彈出個網頁也真是讓人討厭。 瞼H上代碼適用於Windows9x/Me,InternetExplorer5.X瀏覽器,據說對IE6.0無效(因為它裡面沒有ActiveXComponent.class這個組件),但作者沒有測試過。 IE反修改大法 利用註冊表修改制作備份軟體 用註冊表修改制作備份軟體 對註冊表不熟悉或者喜歡偷懶的網友們,可以通過一些專門的修改工具來修改註冊表。當前註冊表修改軟體數不勝數,限於篇幅,筆者就不一一介紹了,還是挑選一些常用的,容易操作的奉獻給大家,下載網址也將提供出來,方便還沒下載的網友。 1. 超級兔子魔法設置 Magic Set。 (其關於IE惡意修改的使用請點擊這裡) 超級兔子魔法一直是筆者推薦的註冊表軟體,現在的最新版本是 4.97 ,它是個與Tweak UI類似的系統設置軟體,所具備的功能比Tweak UI和國內同類軟體還要多,而且是全中文的,特別為中國用戶設計的功能有:調整輸入法的順序、修改當前系統的語言、修改開始功能表的「程序」「我的文件」等,Magic Set 是真正全面的系統設置軟體,修改Win98易如反掌。大家可以到下面的網址下載: http://www8.pconline.com.cn/download...l.phtml?id=657 2. 註冊終結者 V2.7 完全版 953KB 此軟體屬於一個註冊表修改軟體!使用本軟體可輕鬆地修改Windows 98系統設置,讓你進一步地控制操作系統,擴展Windows的功能,方便自己的日常套用操作及管理。(使您輕鬆成為修改註冊表的高手)作者:主要針對目前較流行的Windows 98 第二版編程,對第一版同樣適用! 下載網址:http://www.soft999.com/download2/regend2.7.zip 3. RegSnap 版 本 2.8 Build 638 114KB 它可以詳細地向你報告註冊表及其他與系統有關項目的修改變化情況。RegSnap 對系統的比較報告非常具體,對註冊表可報告修改了哪些鍵,修改前、後的值各是多少;增加和刪除了哪些鍵以及這些鍵的值。報告結果既可以以純文本的方式,也可以 html 網頁的方式顯示,非常便於檢視。除系統註冊表以外,RegSnap 還可以報告系統的其他情況: Windows 的系統目錄和系統的 system 子目錄下文件的變化情況,包括刪除、替換、增加了哪些文件;Windows 的系統配置文件win.ini 和 system.ini 的變化情況,包括刪除、修改和增加了哪些內容;自動批次處理文件 autoexec.bat 是否被修改過。該軟體可以在需要的時候方便地恢復註冊表,可以直接使用 regedit 程序檢視或修改註冊表,還可以檢視當前機器的機器名和用戶名。 下載網址:http://www8.pconline.com.cn/download/swdetail.phtml?id=1994 4. Regmon (Registry Monitor) Regmon V4.32 Win95/98 66KB 下載網址:http://www.soft999.com/download2/regmon95.zip Regmon V4.32 Win NT/2000 66KB 下載網址: http://www.soft999.com/download2/ntregmon.zip Regmon (Registry Monitor) 是一個出色的註冊表資料庫監視軟體,它將與註冊表資料庫相關的一切操作(如讀取、修改、出錯信息等)全部記錄下來以供用戶參考,並允許用戶對記錄的信息進行儲存、過濾、搜尋等處理,這就為用戶對系統的維護提供了極大的便利。 5. Registry Compare V1.30 664KB 每新安裝一套程序在電腦中,你知道它對系統註冊表做了哪些改變嗎?利用Registry Compare在安裝程序前做個系統註冊表抓圖 ,再於安裝該程序後,回到Registry Compare,再做一次抓圖 ,Registry Compare就會將前後系統注註冊表的差異明細列出供你參考。 下載網址: http://www.soft999.com/download2/RGCOMPARE.EXE 6.推鑒的是winRescue公司的,注冊表備份軟體 小巧!且可按日期備份............... winRescue XP works only with WinXP. Use WinRescue 95 for Win95. Use WinRescue 98 for Win98 and Win98SE. Use WinRescue NT for WinNT4. Use WinRescue 2000 for Win2000. Use WinRescue ME for WinME. Produced and Distributed by Super Win Software http://superwin.com/ |
|
|
送花文章: 3,
|
|
2003-05-05, 04:32 AM
|
#6 (permalink) |
|
榮譽會員
|
關於 www.dj3344.com 惡意修改系統的緊急通告
近日收到多起網友的舉報: ===================== 現在有一種病毒是通過QQ傳播,當有人給你發送<去看看這個http://www.dj3344.com 笑死我啦!>,這個網址千別看,它的網上有病毒,你看完之後你的QQ也會自動向你開啟的好友發這條消息,這條消息是自動發的,當你開啟QQ的某一好友時她就會自動發送,不光發送這個還給你改主頁,而且有時你的瀏覽器還會自動開啟或關閉,而且還會自動連接http://tomsms.3322.net/webhtm/index.html * 它會在你的註冊表啟動項裡加一個「BIE Rundll32 C:\WINDOWS\DOWNLO~1\BDPlugin.dll,Rundll32」 應該還有其他項目,刪除掉會重新產生。 (我還沒有接觸到感染的機器,因此不清楚具體情況) ====================== 以下是我的分析: ---------------------------------------- www.dj3344.com 首頁連接了一個.mht(電子郵件附件)文件(位址是 http://www.dj3344.com/dj3344/dj3344.mht ),其中利用「IE不能正確處理 MIME 格式郵件附件導致執行攻擊者程式碼漏洞」插入了一個exe文件(dj3344.exe)。若你的IE瀏覽器是6.0以下,或未安裝相應的修正檔,瀏覽此網頁時就會在未收到任何提示的情況下被此程序攻擊並修改你的系統(這個漏洞是IE內核的問題,即使你用的是其他多視窗瀏覽器,也可能遭受攻擊)。 沒有這個漏洞的朋友在瀏覽這個網頁的時候會被提示播放/下載一個文件,但播放時會提示錯誤。 受影響的系統: Microsoft Internet Explorer 5.01 Microsoft Internet Explorer 5.5 注意:Internet Explorer 5.01 Service Pack 2 不受影響 MIRCOSOFT 已推出修正檔: [url]http://www.microsoft.com/windows/ie...ㄊ屎现形陌鍵E︴/url]^ 請在各大論壇廣為張貼,並通知有關部門嚴肅查處該站長的違法行為! 若有誰知道感染後的處理方案,也請張貼並傳播。 懂編程的朋友請反編譯dj3344.exe,方便網友解決感染問題,或協助反病毒廠商防治此類惡意程序。 謝謝大家。 用惡意網站,測試你的機器軟體的防護能力。要小心 以下網站不要輕意開啟,我剛登陸一遍,沒中招 系統XP/Windows XP Service Pack 1a /IE6/SP1 裝有金山毒霸,天網防火牆,超級兔子IE保護器mnorton antivirus,用MYIE2瀏覽器可禁用改變首頁 註:有些網址打不開,有些金山毒霸發現病毒和網頁惡意代碼。 有些可能沒問題。 建議系統沒有防護的不要去試。 (轉載) 以下網站不要輕意開啟 ====================== 以下是我的分析: ---------------------------------------- www.dj3344.com 首頁連接了一個.mht(電子郵件附件)文件(位址是 http://www.dj3344.com/dj3344/dj3344.mht ),其中利用「IE不能正確處理 MIME 格式郵件附件導致執行攻擊者程式碼漏洞」插入了一個exe文件(dj3344.exe)。若你的IE瀏覽器是6.0以下,或未安裝相應的修正檔,瀏覽此網頁時就會在未收到任何提示的情況下被此程序攻擊並修改你的系統(這個漏洞是IE內核的問題,即使你用的是其他多視窗瀏覽器,也可能遭受攻擊)。 沒有這個漏洞的朋友在瀏覽這個網頁的時候會被提示播放/下載一個文件,但播放時會提示錯誤。 受影響的系統: Microsoft Internet Explorer 5.01 Microsoft Internet Explorer 5.5 注意:Internet Explorer 5.01 Service Pack 2 不受影響 MIRCOSOFT 已推出修正檔: [url]http://www.microsoft.com/windows/ie...ㄊ屎现形陌鍵E︴/url]^ 請在各大論壇廣為張貼,並通知有關部門嚴肅查處該站長的違法行為! 若有誰知道感染後的處理方案,也請張貼並傳播。 懂編程的朋友請反編譯dj3344.exe,方便網友解決感染問題,或協助反病毒廠商防治此類惡意程序。 謝謝大家。 用惡意網站,測試你的機器軟體的防護能力。要小心 以下網站不要輕意開啟,我剛登陸一遍,沒中招 系統XP/Windows XP Service Pack 1a /IE6/SP1 裝有金山毒霸,天網防火牆,超級兔子IE保護器mnorton antivirus,用MYIE2瀏覽器可禁用改變首頁 註:有些網址打不開,有些金山毒霸發現病毒和網頁惡意代碼。 有些可能沒問題。 建議系統沒有防護的不要去試。 (轉載) 以下網站不要輕意開啟 ====================== 以下是我的分析: ---------------------------------------- www.dj3344.com 首頁連接了一個.mht(電子郵件附件)文件(位址是 http://www.dj3344.com/dj3344/dj3344.mht ),其中利用「IE不能正確處理 MIME 格式郵件附件導致執行攻擊者程式碼漏洞」插入了一個exe文件(dj3344.exe)。若你的IE瀏覽器是6.0以下,或未安裝相應的修正檔,瀏覽此網頁時就會在未收到任何提示的情況下被此程序攻擊並修改你的系統(這個漏洞是IE內核的問題,即使你用的是其他多視窗瀏覽器,也可能遭受攻擊)。 沒有這個漏洞的朋友在瀏覽這個網頁的時候會被提示播放/下載一個文件,但播放時會提示錯誤。 受影響的系統: Microsoft Internet Explorer 5.01 Microsoft Internet Explorer 5.5 注意:Internet Explorer 5.01 Service Pack 2 不受影響 MIRCOSOFT 已推出修正檔: [url]http://www.microsoft.com/windows/ie...ㄊ屎现形陌鍵E︴/url]^ 請在各大論壇廣為張貼,並通知有關部門嚴肅查處該站長的違法行為! 若有誰知道感染後的處理方案,也請張貼並傳播。 懂編程的朋友請反編譯dj3344.exe,方便網友解決感染問題,或協助反病毒廠商防治此類惡意程序。 謝謝大家。 用惡意網站,測試你的機器軟體的防護能力。要小心 以下網站不要輕意開啟,我剛登陸一遍,沒中招 系統XP/Windows XP Service Pack 1a /IE6/SP1 裝有金山毒霸,天網防火牆,超級兔子IE保護器mnorton antivirus,用MYIE2瀏覽器可禁用改變首頁 註:有些網址打不開,有些金山毒霸發現病毒和網頁惡意代碼。 有些可能沒問題。 建議系統沒有防護的不要去試。 (轉載) 以下網站不要輕意開啟 為揚善?================= 以下是我的分析: ---------------------------------------- www.dj3344.com 首頁連接了一個.mht(電子郵件附件)文件(位址是 http://www.dj3344.com/dj3344/dj3344.mht ),其中利用「IE不能正確處理 MIME 格式郵件附件導致執行攻擊者程式碼漏洞」插入了一個exe文件(dj3344.exe)。若你的IE瀏覽器是6.0以下,或未安裝相應的修正檔,瀏覽此網頁時就會在未收到任何提示的情況下被此程序攻擊並修改你的系統(這個漏洞是IE內核的問題,即使你用的是其他多視窗瀏覽器,也可能遭受攻擊)。 沒有這個漏洞的朋友在瀏覽這個網頁的時候會被提示播放/下載一個文件,但播放時會提示錯誤。 受影響的系統: Microsoft Internet Explorer 5.01 Microsoft Internet Explorer 5.5 注意:Internet Explorer 5.01 Service Pack 2 不受影響 MIRCOSOFT 已推出修正檔: [url]http://www.microsoft.com/windows/ie...ㄊ屎现形陌鍵E︴/url]^ 請在各大論壇廣為張貼,並通知有關部門嚴肅查處該站長的違法行為! 若有誰知道感染後的處理方案,也請張貼並傳播。 懂編程的朋友請反編譯dj3344.exe,方便網友解決感染問題,或協助反病毒廠商防治此類惡意程序。 謝謝大家。 用惡意網站,測試你的機器軟體的防護能力。要小心 以下網站不要輕意開啟,我剛登陸一遍,沒中招 系統XP/Windows XP Service Pack 1a /IE6/SP1 裝有金山毒霸,天網防火牆,超級兔子IE保護器mnorton antivirus,用MYIE2瀏覽器可禁用改變首頁 註:有些網址打不開,有些金山毒霸發現病毒和網頁惡意代碼。 有些可能沒問題。 建議系統沒有防護的不要去試。 (轉載) 以下網站不要輕意開啟 為揚善除惡,使廣大用戶擦亮火眼金睛,識別真假好壞,現特將一部分目前含有網頁病毒的網站公佈於眾,同時也在此對仍然使用網頁病毒的網站站長,及早行善,儘快摒棄這種對公眾網民有害的行為。 請大家開啟internet選項,選擇安全,然後選擇受限制的站點,選擇自定義級別,把選項全部選為禁止,然後選擇站點,把下面的網址添上,就可以避免中招。但是對一些高明的網站,還是沒有用,還是建議大家下載一個IE保護器,什麼的都行就可以完全避免中招了。 http://www.cnqb.net(禁止你的註冊表,改首頁,主頁地址欄變灰,改右鍵) http://hothack.home.chinaren.com ; 3.幸福http://www.777888.com) 4.世紀軟http://WWW.5DSOFT.COM) 5.緣分http://www.wokoo.net) 6.影視http://movie.sx.zj.cn) 7.中國花網 http://xyxy68.8u8.net ; http://www.youmiss.com ; http://www.cctv8.net ; http://www.kuliao.com ; http://www.yyqy.com ; http://winzheng.126.com ; http://www.sunvod.com ; http://www.t168.com ; http://www.boliwo.com ; http://www.coolcdrom.com(要特別小心這個網站,它會在你啟動組裡做手腳,使得重啟以後標題依舊!) http://www.zhengdian.com(OE標題欄也沒放過) http://girlchinese.com(IE的主頁也被改了) http:/為揚善除惡,使廣大用...ng.coolwww.net ; http://zhongxuesheng.myrice.com ; 83.美女寫真網 84.人人商務網 85.楚天音樂網 86.幽幽桌面網 http://www.YES9999.com ; 88.網址之http://free.tsee.net/cnurl/ ; 89.玫瑰網http://www.lovese.com/ ; 90http://www.haody.net 91 http://www.trinsic.org ======================================== 92. 如果是被 http://www.cnww.net/ 網站綁架的∼ 請看教學文章 remove-cnww.htm 來移除,即可完整移除!!! http://myweb.hinet.net/home2/nomo/teach/remove-cnww.htm ======================================= 93. 如果是被 http://888y.com/ 網站綁架的∼ 請看教學文章 remove-888y.htm 來移除,即可完整移除!!! http://myweb.hinet.net/home2/nomo/teach/remove-888y.htm ========================================== 94. 如果是被 http://9i5.com/ 網站綁架的∼ 請看教學文章 remove-9i5.htm 來移除,即可完整移除!!! http://myweb.hinet.net/home2/nomo/teach/remove-9i5.htm =========================================== 95. http://www.37021.com/ 或是 http://8877.net/ 網站綁架的∼ (或是叫做 酷站大全 的網站∼也應該可以適用的!) 請看教學文章 remove-37021or8877.htm 來移除,即可完整移除!!! http://myweb.hinet.net/home2/nomo/te...7021or8877.htm ============================================== 96. 若是被 Netzany 網站所綁架的...... 請直接下載官方提供的移除檔......uninstallf.exe http://myweb.hinet.net/home2/nomo/te...uninstallf.exe ============================================= 97. 如果是被 http://www.gohip.com/ 網站綁架的...... 請直接下載 remove.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te...hip/remove.exe ============================================== 98. 如果是被 http://lop.com/.http://srch.lop.com/. http://sbnl.com/.http://sbjr.com/.http://tefs.com/. http://tfil.com/.http://ecmh.com/.http://ecpm.com/. http://XXX.tdak.com/.http://tdak.com/.http://tdmy.com/. [url]http://sckr.com/...等網站所綁架/url][的~ 請直接下載 new_uninstall.exe 和 toolbar_uninstall.exe 檔案 來完整移除!!! http://myweb.hinet.net/home2/nomo/te..._uninstall.exe http://myweb.hinet.net/home2/nomo/te..._uninstall.exe ============================================== 99. 如果是被 http://www.xupiter.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! 或是在"我的電腦"->"控制台"->"新增移除程式"中來找到它,並移除! http://877.htm 來移除,即可完整移除!!! http://myweb.hinet.net/home2/nomo/te...7021or8877.htm =========================================== 100. 若是被 Netzany 網站所綁架的...... 請直接下載官方提供的移除檔..Q Netzany 網站所綁架的...... 請直接下載官方提供的移除檔......uninstallf.exe http://myweb.hinet.net/home2/nomo/te...uninstallf.exe ============================================= 97. 如果是被 http://www.gohip.com/ 網站綁架的...... 請直接下載 remove.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te...hip/remove.exe ============================================== 98. 如果是被 http://lop.com/.http://srch.lop.com/. http://sbnl.com/.http://sbjr.com/.http://tefs.com/. http://tfil.com/.http://ecmh.com/.http://ecpm.com/. http://XXX.tdak.com/.http://tdak.com/.http://tdmy.com/. [url]http://sckr.com/...等網站所綁架/url][的~ 請直接下載 new_uninstall.exe 和 toolbar_uninstall.exe 檔案 來完整移除!!! http://myweb.hinet.net/home2/nomo/te..._uninstall.exe http://myweb.hinet.net/home2/nomo/te..._uninstall.exe ============================================== 99. 如果是被 http://www.xupiter.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! 或是在"我的電腦"->"控制台"->"新增移除程式"中來找到它,並移除! http://877.htm 來移除,即可完整移除!!! http://myweb.hinet.net/home2/nomo/te...7021or8877.htm =========================================== 100. 若是被 Netzany 網站所綁架的...... 請直接下載官方提供的移除檔......uninstallf.exe http://myweb.hinet.net/home2/nomo/te...uninstallf.exe ============================================= 101. 如果是被 http://www.gohip.com/ 網站綁架的...... 請直接下載 remove.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te...hip/remove.exe ============================================= 102. 如果是被 http://lop.com/.http://srch.lop.com/. http://sbnl.com/.http://sbjr.com/.http://tefs.com/. http://tfil.com/.http://ecmh.com/.http://ecpm.com/. http://XXX.tdak.com/.http://tdak.com/.http://tdmy.com/. [url]http://sckr.com/...等網站所綁架/url][的~ 請直接下載 new_uninstall.exe 和 toolbar_uninstall.exe 檔案 來完整移除!!! http://myweb.hinet.net/home2/nomo/te..._uninstall.exe http://myweb.hinet.net/home2/nomo/te..._uninstall.exe ============================================== 103. 如果是被 http://www.xupiter.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! 或是在"我的電腦"->"控制台"->"新增移除程式"中來找到它,並移除! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ============================================= 104. http://www.searchex.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ....uninstallf.exe http://myweb.hinet.net/home2/nomo/te...uninstallf.exe ============================================= 101. 如果是被 http://www.gohip.com/ 網站綁架的...... 請直接下載 remove.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te...hip/remove.exe ============================================= 102. 如果是被 http://lop.com/.http://srch.lop.com/. http://sbnl.com/.http://sbjr.com/.http://tefs.com/. http://tfil.com/.http://ecmh.com/.http://ecpm.com/. http://XXX.tdak.com/.http://tdak.com/.http://tdmy.com/. [url]http://sckr.com/...等網站所綁架/url][的~ 請直接下載 new_uninstall.exe 和 toolbar_uninstall.exe 檔案 來完整移除!!! http://myweb.hinet.net/home2/nomo/te..._uninstall.exe http://myweb.hinet.net/home2/nomo/te..._uninstall.exe ============================================== 103. 如果是被 http://www.xupiter.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! 或是在"我的電腦"->"控制台"->"新增移除程式"中來找到它,並移除! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ============================================= 104. http://www.searchex.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ============================================= 105. 如果是被 http://www.istarthere.com/ 網站綁架的...... 請連結至 remove.html 網頁,即可移除!!! http://www.istarthere.com/remove.html ============================================== 106. 如果是被 http://www.i-lookup.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來移除即可!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ============================================= 107. 如果是被 http://www.internet-optimizer.com/ 網站綁架的...... 請到控制台中的"新增或移除程式"中, 找到 Internet Optimizer 並移除它! 移除時會出現 Internet Optimizer Options 的視窗~ 請選擇 Uninstall 來移除即可! ============================================== 如果IE瀏覽器有被安裝了網路實名... 也可以到"我的電腦"->"控制台"->"新增移除程式"中~ 來找到它,並移除!或使用host遮閉或是把認證為非信任網站........... 用FC指令檢查註冊表 日,一朋友的愛機在上網時不慎中毒,症狀如下:在IE瀏覽器中開啟網頁峻yweb.hinet.net/home2/nomo/teach/xupiter/uninstall.exe ---------------------------------------------------------------------------------------------------- 如果是被 http://www.searchex.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe --------------------------------------------------------------------------------- ============================================= 105. 如果是被 http://www.istarthere.com/ 網站綁架的...... 請連結至 remove.html 網頁,即可移除!!! http://www.istarthere.com/remove.html ============================================== 106. 如果是被 http://www.i-lookup.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來移除即可!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ============================================= 107. 如果是被 http://www.internet-optimizer.com/ 網站綁架的...... 請到控制台中的"新增或移除程式"中, 找到 Internet Optimizer 並移除它! 移除時會出現 Internet Optimizer Options 的視窗~ 請選擇 Uninstall 來移除即可! ============================================== 如果IE瀏覽器有被安裝了網路實名... 也可以到"我的電腦"->"控制台"->"新增移除程式"中~ 來找到它,並移除!或使用host遮閉或是把認證為非信任網站........... 用FC指令檢查註冊表 日,一朋友的愛機在上網時不慎中毒,症狀如下:在IE瀏覽器中開啟網頁峻yweb.hinet.net/home2/nomo/teach/xupiter/uninstall.exe ---------------------------------------------------------------------------------------------------- 如果是被 http://www.searchex.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來完整移除!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ---------------------------------------------------------------------------------------------------- 如果是被 http://www.istarthere.com/ 網站綁架的...... 請連結至 remove.html 網頁,即可移除!!! http://www.istarthere.com/remove.html ---------------------------------------------------------------------------------------------------- 如果是被 http://www.i-lookup.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來移除即可!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ---------------------------------------------------------------------------------------------------- 如果是被 http://www.internet-optimizer.com/ 網站綁架的...... 請到控制台中的"新增或移除程式"中, 找到 Internet Optimizer 並移除它! 移除時會出現 Internet Optimizer Options 的視窗~ 請選擇 Uninstall 來移除即可! ---------------------------------------------------------------------------------------------------- 如果IE瀏覽器有被安裝了網路實名... 也可以到"我的電腦"->"控制台"->"新增移除程式"中~ 來找到它,並移除! 用FC指令檢查註冊表 日,一朋友的愛機在上網時不慎中毒,症狀如下:在IE瀏覽器中開啟網頁時,相當多的網站被「拒之門外」,用Ping指令測試是接通的,卻提示「該頁無法顯示」,令他大傷腦筋。經過仔細檢查後,發現原來是某個不道德的網站將這位朋友的IE分級審查加上了密碼。 這太讓人不可原諒了!既然朋友找上門來,豈有不幫之理?可究竟改動的是註冊表的哪一個鍵值呢?對了,還是用我那招「對比偵查」的絕活吧!呵呵。 怎麼樣的一個「對比偵查」法?那就請看仔細?------------------ 如果是被 http://www.istarthere.com/ 網站綁架的...... 請連結至 remove.html 網頁,即可移除!!! http://www.istarthere.com/remove.html ---------------------------------------------------------------------------------------------------- 如果是被 http://www.i-lookup.com/ 網站綁架的...... 請直接下載 uninstall.exe 檔案來移除即可!!! http://myweb.hinet.net/home2/nomo/te.../uninstall.exe ---------------------------------------------------------------------------------------------------- 如果是被 http://www.internet-optimizer.com/ 網站綁架的...... 請到控制台中的"新增或移除程式"中, 找到 Internet Optimizer 並移除它! 移除時會出現 Internet Optimizer Options 的視窗~ 請選擇 Uninstall 來移除即可! ---------------------------------------------------------------------------------------------------- 如果IE瀏覽器有被安裝了網路實名... 也可以到"我的電腦"->"控制台"->"新增移除程式"中~ 來找到它,並移除! 用FC指令檢查註冊表 日,一朋友的愛機在上網時不慎中毒,症狀如下:在IE瀏覽器中開啟網頁時,相當多的網站被「拒之門外」,用Ping指令測試是接通的,卻提示「該頁無法顯示」,令他大傷腦筋。經過仔細檢查後,發現原來是某個不道德的網站將這位朋友的IE分級審查加上了密碼。 這太讓人不可原諒了!既然朋友找上門來,豈有不幫之理?可究竟改動的是註冊表的哪一個鍵值呢?對了,還是用我那招「對比偵查」的絕活吧!呵呵。 怎麼樣的一個「對比偵查」法?那就請看仔細了…… 為了實現「對比」,首先,在自己的電腦上(或任一台沒有故障的電腦均可)將註冊表「全部導出」,檔案名為「C:\01.reg」;然後開啟IE的「Internet選項」視窗,點擊「內容」標籤,並依次點擊「設置→一般→更改密碼」,彈出「新增監督人密碼」對話視窗。輸入密碼儲存設置。呵呵,原來是想設置一個「虛擬環境」以協助偵查呀! 由於剛剛儲存了密碼退出,從上次儲存註冊表到現在沒有做其他的事情,因此,迅速再次導出註冊表(假設檔案名為「C:\02.reg」)。 下面該進行比較了!由於手上沒有專業的註冊表比較工具,乾脆就用指令提示字元下的「FC.exe」吧。它的用法很簡單:進入MSDOS方式,輸入「FC c:\01.reg c:\02.reg」即可。不過,好像螢幕一閃就過去了!555~~~~怎麼把顯示結果留下來?「重定向」!想到這,把剛才的指令重新更改為:「FC c:\01.reg c:\02.reg 〉c:\answer.txt」就可以了。 在記事本中開啟「c:\answer.txt」文件,經過仔細辨別和比較分析,終於將目光鎖定在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings」主鍵下,很明顯:「02.reg」文件中多出了個名為「key」的項目。趕快回到註冊表中,找到該鍵,並刪除該項目「Key」,回到IE中檢視時,問題已經解決。 小編提示:不要小看了一些DOS下的小工具,在沒氶A相當多的網站被「拒之門外」,用Ping指令測試是接通的,卻提示「該頁無法顯示」,令他大傷腦筋。經過仔細檢查後,發現原來是某個不道德的網站將這位朋友的IE分級審查加上了密碼。 這太讓人不可原諒了!既然朋友找上門來,豈有不幫之理?可究竟改動的是註冊表的哪一個鍵值呢?對了,還是用我那招「對比偵查」的絕活吧!呵呵。 怎麼樣的一個「對比偵查」法?那就請看仔細了…… 為了實現「對比」,首先,在自己的電腦上(或任一台沒有故障的電腦均可)將註冊表「全部導出」,檔案名為「C:\01.reg」;然後開啟IE的「Internet選項」視窗,點擊「內容」標籤,並依次點擊「設置→一般→更改密碼」,彈出「新增監督人密碼」對話視窗。輸入密碼儲存設置。呵呵,原來是想設置一個「虛擬環境」以協助偵查呀! 由於剛剛儲存了密碼退出,從上次儲存註冊表到現在沒有做其他的事情,因此,迅速再次導出註冊表(假設檔案名為「C:\02.reg」)。 下面該進行比較了!由於手上沒有專業的註冊表比較工具,乾脆就用指令提示字元下的「FC.exe」吧。它的用法很簡單:進入MSDOS方式,輸入「FC c:\01.reg c:\02.reg」即可。不過,好像螢幕一閃就過去了!555~~~~怎麼把顯示結果留下來?「重定向」!想到這,把剛才的指令重新更改為:「FC c:\01.reg c:\02.reg 〉c:\answer.txt」就可以了。 在記事本中開啟「c:\answer.txt」文件,經過仔細辨別和比較分析,終於將目光鎖定在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings」主鍵下,很明顯:「02.reg」文件中多出了個名為「key」的項目。趕快回到註冊表中,找到該鍵,並刪除該項目「Key」,回到IE中檢視時,問題已經解決。 小編提示:不要小看了一些DOS下的小工具,在沒氶A相當多的網站被「拒之門外」,用Ping指令測試是接通的,卻提示「該頁無法顯示」,令他大傷腦筋。經過仔細檢查後,發現原來是某個不道德的網站將這位朋友的IE分級審查加上了密碼。 這太讓人不可原諒了!既然朋友找上門來,豈有不幫之理?可究竟改動的是註冊表的哪一個鍵值呢?對了,還是用我那招「對比偵查」的絕活吧!呵呵。 怎麼樣的一個「對比偵查」法?那就請看仔細了…… 為了實現「對比」,首先,在自己的電腦上(或任一台沒有故障的電腦均可)將註冊表「全部導出」,檔案名為「C:\01.reg」;然後開啟IE的「Internet選項」視窗,點擊「內容」標籤,並依次點擊「設置→一般→更改密碼」,彈出「新增監督人密碼」對話視窗。輸入密碼儲存設置。呵呵,原來是想設置一個「虛擬環境」以協助偵查呀! 由於剛剛儲存了密碼退出,從上次儲存註冊表到現在沒有做其他的事情,因此,迅速再次導出註冊表(假設檔案名為「C:\02.reg」)。 下面該進行比較了!由於手上沒有專業的註冊表比較工具,乾脆就用指令提示字元下的「FC.exe」吧。它的用法很簡單:進入MSDOS方式,輸入「FC c:\01.reg c:\02.reg」即可。不過,好像螢幕一閃就過去了!555~~~~怎麼把顯示結果留下來?「重定向」!想到這,把剛才的指令重新更改為:「FC c:\01.reg c:\02.reg 〉c:\answer.txt」就可以了。 在記事本中開啟「c:\answer.txt」文件,經過仔細辨別和比較分析,終於將目光鎖定在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings」主鍵下,很明顯:「02.reg」文件中多出了個名為「key」的項目。趕快回到註冊表中,找到該鍵,並刪除該項目「Key」,回到IE中檢視時,問題已經解決。 小編提示:不要小看了一些DOS下的小工具,在沒有更好的工具可用的情況下,或許這就是一個最好的工具了。靈活運用這個方法,可以解決許多關於註冊表的疑難雜症喲 防護不完全手冊 1.鎖定註冊表 2.不要訪問一些站點 3.定期制作備份註冊表 ============================================ 關於恢復首頁的問題 今天測試了一個網站,被改了很多,到站點修復後,確定主頁不是他的了,開啟ie,結果主F…… 為了實現「對比」,首先,在自己的電腦上(或任一台沒有故障的電腦均可)將註冊表「全部導出」,檔案名為「C:\01.reg」;然後開啟IE的「Internet選項」視窗,點擊「內容」標籤,並依次點擊「設置→一般→更改密碼」,彈出「新增監督人密碼」對話視窗。輸入密碼儲存設置。呵呵,原來是想設置一個「虛擬環境」以協助偵查呀! 由於剛剛儲存了密碼退出,從上次儲存註冊表到現在沒有做其他的事情,因此,迅速再次導出註冊表(假設檔案名為「C:\02.reg」)。 下面該進行比較了!由於手上沒有專業的註冊表比較工具,乾脆就用指令提示字元下的「FC.exe」吧。它的用法很簡單:進入MSDOS方式,輸入「FC c:\01.reg c:\02.reg」即可。不過,好像螢幕一閃就過去了!555~~~~怎麼把顯示結果留下來?「重定向」!想到這,把剛才的指令重新更改為:「FC c:\01.reg c:\02.reg 〉c:\answer.txt」就可以了。 在記事本中開啟「c:\answer.txt」文件,經過仔細辨別和比較分析,終於將目光鎖定在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings」主鍵下,很明顯:「02.reg」文件中多出了個名為「key」的項目。趕快回到註冊表中,找到該鍵,並刪除該項目「Key」,回到IE中檢視時,問題已經解決。 小編提示:不要小看了一些DOS下的小工具,在沒有更好的工具可用的情況下,或許這就是一個最好的工具了。靈活運用這個方法,可以解決許多關於註冊表的疑難雜症喲 防護不完全手冊 1.鎖定註冊表 2.不要訪問一些站點 3.定期制作備份註冊表 ============================================ 關於恢復首頁的問題 今天測試了一個網站,被改了很多,到站點修復後,確定主頁不是他的了,開啟ie,結果主頁還是顯示他的,這樣的話就會惡意循環(再次被改),其實這是個IE的bug,從internet選項更改主頁後,再一次開啟的時候還是會顯示上次未更改的主頁,而第二次開啟的主頁才是你設置的,說實話,不情況的一定很冒火,好不容易改過來了,結果又恢復了,我第一次碰到也是這樣,差點燒起來... 解決方法是,修復後,開啟ie視窗,開啟的時候馬上按鍵盤左上角的Esc按鈕,記得快點,這樣作等於按ie工作列上的停止,也就是停止讀取頁面,這樣就不會被再次修改了,關掉瀏覽器,再開啟,一切ok 如果不會的話,修改後直接重起一下也可以,比較穩當,不過要記得開啟msconfig檢查一下啟動項目哦. 又一案例...... Q:. IE預設網頁不能修改,註冊表被禁止 請問各位:我的IE瀏覽器被一個網站修改了預設值,而且禁止了修改,而且註冊表也同時被禁止了,請問有沒有什麼辦法可以修改到原來的數值呢,謝謝,急 A: REGFIX or 用spant....還有! 金山的註冊表清除工具: Duba_RegSolve.rar 超級兔子哈﹐現一樣可以改回來!功能........ 說是恐怖分子挺逗的。 「現在有些網站,不但改標題,改主頁位址,還竟然修改註冊表,讓IE的許多設定選項禁用(變灰),下面是修改註冊表開鎖的的方法: [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000000 即將HomePage的鍵值改為「0」(「1」為禁用)。 實際上在[HKEY_CURRENT_USER\Software\Policies\Microsoft中,預設只有主鍵「SystemCertificates」,而「Internet Explorer」是沒有的,只有想控制某些功能時才加上的,恐怖分子正是利用了這一點。 如IE還有別的設定被禁用,很多本來可以改的都變成「灰色」,不如直接將主鍵「Internet Explorer」一刪了之。」 |
|
|
送花文章: 3,
|
|
2003-05-11, 04:27 PM
|
#8 (permalink) |
|
長老會員
 |
好文章巨細彌遗再也不怕IE被更改了.
|
|
__________________ TCP options string: 020405a001010402 MSS: 1440 MTU: 1480 TCP Window: 46080 (multiple of MSS) RWIN Scaling: 0 Unscaled RWIN : 46080 Reccomended RWINs: 63360, 126720, 253440, 506880 BDP limit (200ms): 1843kbps (230KBytes/s) BDP limit (500ms): 737kbps (92KBytes/s) |
|
|
|
送花文章: 671,
|
平板模式
