Windows 惡意程式碼解決辦法(轉)

worldblog發表於2007-08-11
Windows 惡意程式碼解決辦法(轉)[@more@]

  瀏覽過含有惡意程式碼的網頁後,你的計算機可能會中招,計算機啟動後自動開啟一連串的網頁,並限制對主頁屬性視窗的修改等。要杜絕惡意網頁程式碼,我們需要怎麼做,正面慢慢道來~~

  中招後的補救措施 

  1、解開被禁用的登錄檔

  執行軟盤中的“unlockreg.reg”檔案,此檔案是用記事本建立一個以REG為字尾名的檔案,檔名可自定義,內容如下:

  REGEDIT4

  空一行[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] "

  DisableRegistryTools"=dword:00000000

  要注意的是,在“REGEDIT4”一定要大寫(如果你是Windows 2000或Windows XP使用者,請將“REGEDIT4”寫為“Windows Registry Editor Version 5.00)”,且後面要空一行,並且“REGEDIT4”中“T”和“4”之間一定不能有空格,否則……

  登錄檔解開了,下面就要對症下藥,對登錄檔進行修改了。

  2、解決IE屬性主頁不能修改

  開啟登錄檔,展開登錄檔到HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下,將“homepage”的鍵值由原來的“1”修改為“0”即可,或乾脆將“Control Panel”刪除就可以了!

  3、修改IE的標題欄

  HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain 和HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain在登錄檔中找到以上兩處主鍵,將其下的“Window Title”主鍵值更改為“Microsoft InternetExplorer”即可。

  4、IE預設連線首頁被修改

  被更改的登錄檔專案為:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page將鍵值修改為自己喜歡的網址即可。

  5、刪除自執行程式

  開啟“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVesion”及“HKEY_LOCALMA CHINESoftwareMicrosoftWindowsCurrentVersion”,在其下的RUN資料夾中,有許多Windows啟動時便開始執行的程式,但是在選單“開始/程式/啟動”中卻找不到。把自執行程式刪除就可以了。

  6、右鍵選單中的網頁廣告

  將登錄檔展開到HKEY_CURRENT_ USERSoftwareMicrosoftInternet ExplorerMenuExt,在IE中顯示的附加右鍵選單都在這裡設定,常見的“網路螞蟻”和“網際快車”點選右鍵下載的資訊也存放在這裡,只需找到顯示廣告的主鍵條目刪除即可。

  7、啟動時的提示視窗

  這個設定其實與IE無關,而是Windows的登入提示視窗,不過最近有些網頁對它動上了腦筋,在這個視窗裡做廣告。  

  受到更改的登錄檔專案為:

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon在其下被建立了字串“LegalNotice-Caption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的標題,“LegalNoticeText”是提示框的文字內容。這就使得我們每次登入到Windows桌面前都出現一個提示視窗,顯示那些網頁的廣告資訊。

  8、恢復“執行”選項

  在登錄檔中展開至HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,在右側欄中將“NoRun”的鍵值由“1”修改為“0”即可,或者將“NoRun”刪除也可。

  9. IE瀏覽器的滑鼠右鍵被禁用

  其症狀即為開啟任意一個網頁,單擊滑鼠右鍵都無法彈出選單選項。這給許多經常上網的朋友造成了很多不便。和上面一樣,開啟登錄檔編輯器,定位到:HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions,在該子項下有一個dword值為1的"NoBrowserContextMenu"值項,刪掉它即可。

  10. 桌面上的圖示全部消失

  如果當您開啟電腦,發現自己的桌面上居然空空如也,一個圖示都不見了,您會作何感想?不用說,這十有八九又是"上網惹得禍"。如果您想恢復,請把登錄檔定位到:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,找到"NoDesktop"值項,右鍵單擊之,選擇"修改"(或者乾脆刪除也可以),把它的值改為0,重新啟動電腦即可。

  11. IE工具欄(選單)被新增網站連結

  大家都知道,我們常用的軟體如Flashget、ICQ等在安裝後,會向IE的工具欄(選單)中新增它們的快捷方式。現在有些網站也透過惡意指令碼修改登錄檔來達到同樣的效果。下面就讓我們來解決這個問題,請把登錄檔定位到:HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions,您會看到在該主鍵下有一些形同"{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"的子鍵,仔細檢視一下您就會明白,這些子鍵就是解決問題的關鍵所在,現在您只需將包含惡意網站連結的那個子鍵刪除即可。另外,如果在HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

  ExtensionsCmdMapping下有和您刪除的形同{X......X}一樣鍵值的值項,也請將它刪除。完成後關閉登錄檔編輯器,重新開啟一個IE視窗,看看工具欄(選單)是不是已經恢復了?其實利用這個特性我們還可以DIY一個屬於自己的個性工具欄,具體的做法您可以在我的網站的登錄檔進階欄目中找到。

  12、IE右下角那個地球的旁邊被新增廣告!很難遇到,但遇到了你就應該知道怎樣去掉!

  找到[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones3]下的DisplayName鍵,將其內容修改掉就可以了。

  13、IE瀏覽器裡面的連結被改成站點廣告

  IE瀏覽器裡面的連結被改成站點廣告,修改方法:在登錄檔中找到[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbar]下的LinksFolderName鍵,將其內容改回為“連結”即可。  

  14、禁止下載

  在登錄檔中找到HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones31803,將其鍵值由3改為0即可(鍵值為3即禁止下載,為0是允許下載)

  以上僅僅是你在中招後的對策,要防止下次再中同樣的招,你可以在IE中做一些設定以便永遠不進入該站點:開啟IE,點選“工具→Internet選項→內容→分級審查”,點選[啟用]按鈕,會調出“分級審查”對話方塊,然後點選“許可站點”標籤,輸入不想去的網站網址,按[從不]按鈕,再點選[確定]即大功告成!

  未中招的也要加強防範

  上面的解決方法乃下策,要想不發生類似的情況,上策是加強預防,對於預防的方法筆者提如下幾點建議:

  1、要避免中招,關鍵是不要輕易去一些自己並不瞭解的站點,特別是那些看上去美麗誘人的網址更不要貿然前往,否則吃虧的往往是你。

  2、由於該類網頁是含有有害程式碼的ActiveX網頁檔案,因此在IE設定中將ActiveX外掛和控制元件、Java指令碼等全部禁止就可以避免中招。具體方法是:在IE視窗中點選“工具→Internet選項”,在彈出的對話方塊中選擇“安全”標籤,再點選[自定義級別]按鈕,就會彈出“安全設定”對話方塊,把其中所有ActiveX外掛和控制元件以及Java相關全部選擇“禁用”即可。不過,這樣做在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。有利就有弊,你還是自己看著辦吧。

  3、建議安裝帶Script Blocking功能的防毒軟體,如Norton AntiVirus 2002 V8.0、Kaspersky等,它將對此類惡作劇進行監控,並予以攔截。

  4、既然這類網頁是透過修改登錄檔來破壞我們的系統,那麼我們可以事先把登錄檔加鎖:禁止修改登錄檔,這樣就可以達到預防的目的。不過,自己要使用登錄檔編輯器Regedit.exe該怎麼辦呢?因此我們還要在此前事先準備一把“鑰匙”,以便開啟這把“鎖”!

  加鎖方法如下:

  展開登錄檔到

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下,新建一個名為DisableRegistryTools的DWORD值,並將其值改為“1”,即可禁止使用登錄檔編輯器Regedit.exe。

  5、對Windows 2000/XP使用者,還可以透過在服務裡面的遠端登錄檔操作服務“Remote Registry Service”禁用,來對付該類網頁。具體方法是:點選“管理工具→服務→Remote Registry Service(允許遠端登錄檔操作)”,將這一項禁用即可。

  6、升級你的IE為6.0版本,可以有效防範上面這些症狀。

  7、下載微軟最新的Microsoft Windows Script 5.6,可以預防上面所說的現象,更可預防目前流行的、可惡的混客絕情炸彈。

  8、對於有些網站還會在開啟網頁的時候自動安裝外掛或下載檔案,一定要看清楚,不要隨便點確定。有時即使你不確定也會中招的。如當前很流行的QQ病毒就是這樣傳播的。對於這類情況可透過中提供的流行病毒專殺工具來解決問題。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752043/viewspace-945849/,如需轉載,請註明出處,否則將追究法律責任。

相關文章