■铁生

防御流氓软件和恶意网站对系统修改的方法

■铁生

网页上浏览也会中木马?当然，由于IE自身的漏洞，使这样的新式入侵手法成为可能，方法就是利用了微软的可以嵌入ex文件的eml文件的漏洞，将木马放在eml文件里，然后用一段恶意代码指向它上网者浏览到该恶意网页，就会在不知不觉中下载了木马并执行，其间没有任何提示和警告!

现在使用IE5浏览器的已经很少了,现在最低的也差不多是用I6以上版本吧,当然现在还是存在一些牛人些的网站挂马脚本,做好自身的网络安全防御也是很有必要的。

好在现在网络上的流氓软件可谓是多如牛毛,大家在下载的时候最好去官方下载。1.启动时弹出对话框现象描述∶

系统启动时弹出对话框，通常是一些广告信息，例如欢迎访问某某网站等等。

开机弹出网页，通常会弹出很多窗口，让你措手不及，恶毒一点的可以重复弹出窗口直到死机。

解决方法∶

(1).弹出对话框。打开注册表编辑器，找到HKEY_LOCA L_MA

CHINESoftwareMicrosoftWindowsCurrentVersion

Winlogon主键

然后在右边窗口中找到”LegalNoticeCaption”和”LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在启动时出现提示框的现象了

(2).弹出网页。点击”开始-运行-输入msconfig”,选择”启动”把里面后缀为urlhtmlhtm网址文件都勾掉。

2.IE窗口定时弹出

现象描述∶中招者的机器每隔一段时间就弹出IE窗口，地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾?

解决方法∶点击”开始-运行-输入msconfig”,选择”启动”把里面后缀为hta都勾掉，重启。

3.篡改IE标题栏

现象描述∶系统默认状态下，由应用顺序自身来提供标题栏的信息。但是有些网络流氓为了达到广告宣传的目的将串值”WindowTitle”下的键值改为其网站名或更多的广告信息，从而达到改变IE标题栏的目的非要别人看他东西，而且是通过非法的修改手段，除了”无耻”两个字，再没有其他形容词了

解决方法∶展开注册表到HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerMain下，右半局部窗口找到串值”WindowTitle”将该串值删除。重新启动计算机。

4.篡改默认搜索引擎

现象描述∶IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。

解决方法∶运行注册表编辑器，依次展开HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerSearch

CustomizeSearch和HKEY_LOCA L_MA CHINESoftware

MicrosoftInternetExplorerSearchSearchA ssistant,将Customize Search及SearchA ssist键值改为某个搜索引擎的网址即可。

5.IE右键修改

现象描述∶有的网络流氓为了宣传的目的将你右键弹出的功能菜单进行了修改，并且加入了一些乱七八糟的东西，甚至为了禁止你下载，将IE窗口中单击右键的功能都屏蔽掉。

解决方法∶

（1）右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorer MenuExt删除相关的广告条文。

（2）右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerRestrict将其DWORD值”NoBrowserContextMenu”值改为0

6.篡改地址栏文字

现象描述∶中招者的IE地址栏下方出现一些莫名其妙的文字和图标，地址栏里的下拉框里也有大量的地址，并不是以前访问过的

解决方法∶

（1）地址栏下的文字。HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerToolBar下找到键值LinksFolderNam将其中的内容删去即可。

（2）地址栏中无用的地址。HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerTypeURL中删除无用的键值即可。

7.注册表的锁定

现象描述∶有时浏览了恶意网页后系统被修改，想要用Regedit更改时，却发现系统提示你没有权限运行该程序，然后让你联系管理员。晕了!动了东西还不让改，这是哪门子的道理!

解决方法∶能够修改注册表的又不止Regedit一个，找一个注册表编辑器，例如∶Reghanc将注册表中的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesSystem下的DWORD值”DisableRegistryTools”键值恢复为”0″即可恢复注册表。

8.默认主页修改

现象描述∶一些网站为了提高自己的访问量和做广告宣传，利用IE漏洞，将访问者的IE不由分说地进行修改。一般改掉你起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。

解决方法∶

(1)起始页的修改。展开注册表到HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerMain右半局部窗口中将”StartPage”键值改为”about∶blank”即可。同理，展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftInternet

ExplorerMain右半局部窗口中将”StartPage”键值改为”about∶blank”即可。

注意∶有时进行了以上方法后仍然没有生效，估计是有程序加载到启动项的缘故，就算修改了下次启动时也会自动运行顺序，将上述设置改回来，解决方法如下∶

运行注册表编辑器Regedit.ex然后依次展开HKEY_LOCA L_MA CHINESoftwareMicrosoftWindows

CurrentVersionRun主键，然后将下面的”registry.exe”子键(名字不固定)删除，最后删除硬盘里的同名可执行程序。

退出注册编辑器，重新启动计算机，问题就解决了

(2)默认主页的修改。运行注册表编辑器，展开HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain将Default-Page-URL子键的键值中的那些恶意网站的网址改正，或者设置为IE默认值。

(3).IE选项按钮失效。运行注册表编辑器，将HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet

ExplorerControlPanel中的DWORD值”Settings”=dword∶1″Links”=dword∶1″SecA ddSites”=dword∶1全部改为”0″将HKEY_USERS.DEFA ULTSoftwarePoliciesMicrosoftInternetExplorerControlPanel下的DWORD值”homepage”键值改为”0″

9.禁止使用电脑

现象描述∶尽管网络流氓们用这一招的不多，但是一旦你中招了后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是∶”关闭系统””运行””注销”注册表编辑器、DOS顺序、运行任何顺序被禁止，系统无法进入”实模式”驱动器被隐藏。

解决方法∶一般来说上述现象你都遇上了话，基本上系统就给“废”建议重装。

10.格式化硬盘

现象描述∶这类恶意代码的特征就是利用IE执行ActiveX功能，让你无意中格式化自己的硬盘。

只要你浏览了含有它网页，浏览器就会弹出一个警告说“当前的页面含有不安全的ctiveX可能会对你造成危害”问你是否执行。

如果你选择“是”的话，硬盘就会被快速格式化，因为格式化时窗口是最小化的可能根本就没注意，等发现时已悔之晚矣。

解决方法∶除非你知道自己是做什么，否则不要随便回答，否则该提示信息可以被修改，如改成”Window正在删除本机的临时文件，否继续”所以千万要注意!此外，将计算机上Format.comFdisk.exDel.exDeltree.ex等命令改名也是一个办法。