提高系统安全的注册表修改秘籍
注册表找到“HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer".
1.新建二进值NoDriveTypeAutoRun,设置键值b5,00,00,00,为禁用光盘自动运行。
2.新建键值dword键值为EditLevel,设置键值为1,禁用开始菜单中“程序”上的水平线。 3.新建二进制值键值NoStartBanner,设置键值为01,00,00,00,禁用单机“从这里开始”动画箭头。
4.新建dword设键值为NoFavoritesMenu,设置键值为1,禁用开始菜单中的“收藏夹”.
5.新建dword键值NoRecentDocsMenu,设置键值为1,禁用开始菜单中的“文档”.
6.新建dword键值Nofind,设置键值1为禁用开始菜单中的“查找”.
7.新建dword键值NoRun,设置键值1,为禁用开始菜单中的“运行”.
8..新建dword键值NoLogOff,设置键值为1,禁用开始菜单中的"注销”.
9..新建dword键值NoClose,设置键值为1,禁用开始菜单中的"关闭“.
10..新建二进制值NoRecentDocsHistory,设置键值01,00,00,00,不保存新近打开的文档历史记录。
11.新建二进制设置键值为退出时自动删除“运行”,“查找”中的历史记录,与10题一起设置,自动清除新近打开的所有文档的历史记录。
12.新建dword键值NoNetHood,设置键值为1,禁用开始菜单中的“网上邻居”.
13.新建dword键值NoInternetIcon,设置键值为1,禁用IE浏览器图标。
14.新建dword键值NoSaveSettings,设置键值为1,禁用退出时保存设置(锁定桌面)。
15.新建二进制键键值Nodrives,设置为01,00,00,00,禁用A驱动盘,设置为ff,ff,ff,ff禁用所有驱动器。
16.新建dword键值NoFileMenu,设置键值为1,禁用"我的电脑”,“资源管理器”及“我的文档中”中的“文件”菜单。
17.新建dword键值NoActiveDesktop,设置键值为1,禁用显示属性中的“Web"选项卡.
18.新建dword键值NoChangeStartMenu,设置键值为1,禁用在开始菜单拖放快捷菜单;
19.新建dword键值NoViewContextMenu,设置键值为1,禁用右键快捷菜单.
20.新建dword键值NoTraycontextMenu,设置键值为1,禁用任务栏日快捷菜单;
21.新建dword键值NoDesktop,设置键值为1,禁用桌面上的所有图标选项。
22.新建dword键值NoAddPrinter,设置键值为1,在打印机文夹中禁用“添加打印机”。
23.新建dword键值NoDeletePtinter,设置键值为1,在打印机文夹中禁用“删除打印机”。
24.新建dword键值NoPrinterTabs,设置键值为1,禁用打印机属性中的“常规”和“详细”选项卡。
25.新建dword键值NoSetFolders,设置键值为1,禁用“设置”中的“控制面板”和“打印机”。
26.新建dword键值NoSetTaskbar,设置键值为1,禁用“设置”中的“任务栏属性和开始菜单”。
27.新建dword键值NofolderOptions,设置键值为1,禁用“设置”菜单中的“文件夹选项”。
28.新建dword键值NoSetActiveDesktop,设置键值为1,禁用“设置”菜单中的“活动桌面”。
29.新建dword键值NoWindowsUpdate,设置键值为1,禁用“设置”菜单中的“WindowsUpdate选项。
30.上述第25.26.27.28.29五项全部禁用后则可以在开始菜单中删除“设置”选项
解除注册表连环套
计算机启动后自动打开一连串的网页,并限制对主页属性窗口的修改等如何妙手回春
1、解开被禁用的注册表
执行软盘中的“unlockreg.reg”文件,此文件是用记事本建立一个以REG为后缀名的文件,文件名可自定义,内容如下:
REGEDIT4
空一行[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System] "DisableRegistryTools"=dword:00000000
要注意的是,在“REGEDIT4”一定要大写(如果你是Windows 2000或Windows XP用户,请将“REGEDIT4”写为“Windows Registry Editor Version 5.00)”,且后面要空一行,并且“REGEDIT4”中“T”和“4”之间一定不能有空格,否则……
注册表解开了,下面就要对症下药,对注册表进行修改了。
2、解决IE属性主页不能修改
打开注册表,展开注册表到
HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel下,将“homepage”的键值由原来的“1”修改为“0”即可,或干脆将“Control Panel”删除就可以了!
3、修改IE的标题栏
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main
在注册表中找到以上两处主键,将其下的“Window Title”主键值更改为“Microsoft Internet Explorer”即可。
4、IE默认连接首页被修改
被更改的注册表项目为:HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page将键值修改为自己喜欢的网址即可。
5、删除自运行程序
打开“HKEY_CURRENT_USER\\ Software\\ Microsoft\\ Windows\\ CurrentVesion\\”及“\\HKEY_LOCALMA CHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\”,在其下的RUN文件夹中,有许多Windows启动时便开始运行的程序,但是在菜单“开始/程序/启动”中却找不到。把自运行程序删除就可以了。
6、右键菜单中的网页广告
将注册表展开到HKEY_CURRENT_ USER\\Software\\Microsoft\\Internet Explorer\\MenuExt,在IE中显示的附加右键菜单都在这里设置,常见的“网络蚂蚁”和“网际快车”点击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。
7、启动时的提示窗口
这个设置其实与IE无关,而是Windows的登录提示窗口,不过最近有些网页对它动上了脑筋,在这个窗口里做广告。
受到更改的注册表项目为:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon在其下被建立了字符串“LegalNotice-Caption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。这就使得我们每次登录到Windows桌面前都出现一个提示窗口,显示那些网页的广告信息。
8、恢复“运行”选项
在注册表中展开至HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer,在右侧栏中将“NoRun”的键值由“1”修改为“0”即可,或者将“NoRun”删除也可。
经过一番辛苦的修改,完全解除了某些网站上的恶意程序对系统的限制,可是如果不小心又访问了该网站,岂不是又重蹈覆辙,其实,你可以在IE中做一些设置以便永远不进入该站点:打开IE,点击“工具→Internet选项→内容→分级审查”,点击[启用]按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,按[从不]按钮,再点击[确定]即大功告成!
防患未然
上面的解决方法乃下策,要想不发生类似的情况,上策是加强预防,对于预防的方法笔者提如下几点建议:
1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击[自定义级别]按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。有利就有弊,你还是自己看着办吧。
3、建议安装Norton AntiVirus 2002 V8.0杀毒软件,此软件已经把通过IE修改注册表的代码定义为Trojan.Offensive ,增加了s cript Blocking功能,它将对此类恶作剧进行监控,并予以拦截。
4、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器Regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!
加锁方法如下:
展开注册表到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器Regedit.exe。
5、对Windows 2000用户,还可以通过在Windows 2000下把服务里面的远程注册表*作服务“Remote Registry Service”禁用,来对付该类网页。具体方法是:点击“管理工具→服务→Remote Registry Service(允许远程注册表*作)”,将这一项禁用即可。
6、升级你的IE为6.0版本,可以有效防范上面这些症状
raogw [2003-11-29 15:47:00]
(注:此为菜鸟专为菜鸟整理,高手就不用浪费时间了,主要是技术性太差)
计算机系统安全和网络安全在信息技术飞速发达的今天,应该得到应有的重视!然而很多人对此还没有警觉,虽然时不时遭遇 @#!^&*$%:病毒,木马,蠕虫,恶意小程式;操作系统漏洞,ie漏洞,iis漏洞,Unicode漏洞;缓冲区溢出…………反正如此种种,乱!而近来,当大家上网浪得正欢酣的时候,恶意代码又闯进了大家的视线,(其实恶意代码的历史比电子邮件病毒还长)所谓的“网页病毒”、“网页黑手”到底是怎么回事呢?
不知道您有没有过这样的经历:当你上了一个网站之后,发现IE标题栏、IE起始主页被修改了,或者变灰不让修改IE、地址栏下多出了文字、每次开机出现莫名其妙的提示框、修改输入法、启动项,启动无关程序、菜单被加上了他的脚印、不定时弹出ie页面,弹出无数窗口耗尽系统资源死机、注册表编辑器regedit不能使用、DOS程序不能运行,无法进入系统实模式………下载木马安装给你(ie 5.0以上没有这个漏洞了),网页内嵌病毒,甚至对你的硬盘del *.*,format,deltree呵呵!总之,系统被改得一塌糊涂,惨不忍睹。(以前很出名的“混客绝情炸弹”相信大家还记得吧!)
造成ie被恶意修改的原因是什么呢?怎么防范呢?
罪魁祸首:当然是……Microsoft,呵呵,主要是ie的执行脚本的一些漏洞啦,通过利用ActiveX修改注册表重要项达到破坏目的。至于Applet、ActiveX及java和vb脚本语言,就请有兴趣的朋友自己去了解了解了(主要是通过本地机上的WSH解析并在本地机上执行代码或者激活应用程序)。幸好现在的杀毒软件都增加了放恶意代码的功能。
阻止恶意代码修改注册表:
1、大部分的恶意代码只对IE5.0版本有效,所以将IE升级到6.0,并及时下载打上补丁! 下载安装微软WSH最新版,好像是5.6版!
2、安装最新的杀毒软件,打开实时监控保护上网安全,因为可以阻挡此类大部分恶意代码!
3、警惕性好一点,不要受不良诱惑,尽量不要上你不知道或者不熟悉的网站!(近来的“网页贺卡”也可能是一种传播途径哦)!
4、设置ie安全级别,不推荐,因为这样有点因噎废食,鸵鸟政策的感觉!
5、禁止编辑注册表,win2000用禁止远程编辑注册表!
6、下载优化大师、超级兔子魔法设置、金山注册表恢复器、"魔法石"网页(由3721提供,"魔法石"http://magic.3721.com/网页可以在线清除恶意代码、优化网络、方便地进行个性化设置等)等恢复IE设置!
7、屏蔽一些网站:IE浏览器,选择选单栏里的“工具”→“Internet选项”→“内容”→“分级审查”,点击“启用”按钮,在弹出的“分级审查”对话框中切换到“许可站点”标签,输入您想屏蔽的网站网址,随后点击“从不”按钮,再点“确定”即可!
注册表被修改的原因及手工修改解决办法:
1、IE默认连接首页被修改
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page
通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键; 展开注册表到 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about :blank”即可;同理,展开注册表到HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main
在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。
退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\\Program Files\\registry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Pan
el]"Settings"=dword:1
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\InternetExplorer\\Control Panel]"Links"=dword:1
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\InternetExplorer\\Control Panel]"SecAddSites"=dword:1
解决办法:
将上面这些DWORD值改为“0”即可恢复功能。
4、IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“ 1”(即为灰色不可选状态)。
解决办法:
将“homepage”的键值改为“0”或者删除这个项即可。
5、IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
具体说来受到更改的注册表项目为:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Window Title
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title
解决办法:
在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;展开注册表到
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main下,在右半部分窗口中找到串值“Window Title“,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字; 同理,展开注册表到
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main然后按②中所述方法处理。
退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了!
6、IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:打开注册标编辑器,找到
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt
删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉啊,这两个可是“正常”的呀,除非你不想在IE的右键菜单中见到它们。
7、IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search\\CustomizeSearch
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search\\SearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssis
tant”的键值改为某个搜索引擎的网址即可。
8、系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!
解决办法:
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon 这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeTex t”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9、浏览网页注册表被禁用
这是由于注册表
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“ 0”即可恢复注册表的使用。 当运行regedit时,警告框显示:注册表编辑器已被管理锁定
解决方法:打开记事本,严格按照以下格式编辑:
REGEDIT4 (XP或者2000用户这里改为:Windows Registry Editor Version 5.00)
(这里一定空行)
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
]
“DisableRegistryTools”=dword:00000000
10、鼠标右键失效
浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!不能在桌面,驱动器,文件夹,浏览器等地方使用鼠标右键
解决方案:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer下
在右边的窗口中删除“NoViewContextMenu”或者改成把1改成0
11、查看““源文件”菜单被禁用
在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。
具体的位置为:
在注册表HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:“
NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Restric
tions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”第2点中提到的注册表其实相当于第1点中提到的注册表的分支,修改第1点中所说的注册表键值,第2点中注册表键值随之改变。
解决办法:
删掉以上键或者改dword值为0
12、解开IE工具internet选项
症状:IE浏览器上的工具-internet选项"变成灰色,不能点击
注册表键值:
HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions\\NoBrowserOptions
HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions\\NoBrowserOptions
NoBrowserOptions为1即禁用,为0为开启
13、删除文件属性中日期后的网址
文件属性里面的创建时间,修改日期,访问时间都被添加广告
[HKEY_CURRENT_USER\\Control Panel\\International]
"sLongDate"="yyyy\'\'\'\'年\'\'\'\'M\'\'\'\'月\'\'\'\'d\'\'\'\'日\'\'\'\'
上面是系统默认的键值,如果广告一般是在日后面加字
14、定时弹出网页的解决方法
定时弹出网页的解决方法
解决方法:(这两种方法都是可行的)
1、 开始-运行-(输入)msconfig-启动-把里面有*.hta,的去掉。Tha的特性就是隐藏掉窗体,然后一段时间就弹出网页
2、 开始-运行-(输入)regedit找到下面的键值:[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] (这里是最关键的地方)
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices找到后删除方法一中所述内容。对于WINODWS98或WINME的用户以上两种方法均可,推荐用第一种。对于WIN2000用户, 可使用方法二。
15、开机弹出网页的解决方法
开机弹出网页的解决方法
解决方法:(这两种方法都是可行的)
1、 开始-运行-(输入)msconfig-启动-把里面有网址类的(比如:www.cnoicq.com),后缀为url的,html的...果有类似regedit /s ***的也去掉,它的作用是每次都改注册表。
2、 开始-运行-(输入)regedit找到下面的键值:[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] (这里是最关键的地方)
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices找到后删除方法一中所述内容。
16、删除工具菜单中的网址
删除IE工具栏里面的图标广告,还有上面工具下拉菜单的广告
删除:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Extensions下的键值即可。
17、时间前面被加上站点广告
时间前面被加上站点广告。
恢复方法:改为系统默认值
[HKEY_CURRENT_USER\\Control Panel\\International]
"StimeFormat"="hh:mm"
18、IE浏览器里面的链接被改成站点广告
IE浏览器里面的链接被改成站点广告.
修改方法:
注册表键值:[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Toolbar]
"LinksFolderName"="链接"
19、IE右下角那个地球的旁边被添加广告(时间的上面)这个很特别!很难遇到,但遇到了你找都找不到!
找到[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3]下"DisplayName"="喜欢什么就改什么!"
20、禁止下载
注册表:HKEY_USERS\\\\.DEFAULT\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\Zones\\\\3\\\\1803
键值为3即禁止下载,为0是允许下载
21、浏览网页开始菜单被修改
这是最“狠”的一种,让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的
那些症状,还会有以下更悲惨的遭遇:
1)禁止“关闭系统”
2)禁止“运行”
3)禁止“注销”
4)隐藏C盘——你的C盘找不到了!
5)禁止使用注册表编辑器regedit
6)禁止使用DOS程序
7)使系统无法进入“实模式”
8)禁止运行任何程序
恢复隐藏的硬盘HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives 键值删除即可
由于HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Policies\\Explorer 中新建三个 "DWORD" 值,名称分别为 "NoRun"(屏蔽"运行")、"NoFind"(屏蔽"查找")、"NoClose"(屏蔽"关闭系统"),其值均为 "1" ,重启系统后执行 "运行" 与 "关闭系统" 命令时提示操作受限制而取消,同时你会发现 "开始" 菜单中的 "查找" 选项没有了,要重新恢复其设置,可将对应的键删除或将键值置 "0" 即可。 这里实在修改得太多了,如果你不熟悉注册表,我希望你还是重装系统或者找注册表高手。
PS:其实一般修改这个就是注意找到网站名字,在注册表中查找,然后根据注册表常识,手动进行修改,一般就可以搞定了!
raogw [2003-11-29 15:50:00]
单位的一台公用电脑接入了Internet互联网,没多久,就被一个恶意网页病毒感染了,出现如下症状:打开IE浏览器,会自动进入一个名为“久好网址之家”的网址大全类的网站,打开“Internet选项”,发现主页被设置为“www.ok9.net”,当使用“搜索”功能时,发现搜索也被修改指向“www.ok9.net”,真是令人厌烦。
于是我运行注册表编辑器,利用“查找”功能,以“www.ok9.net ”为关键词找出所有被恶意网页修改的内容,并全部更改回原来的值。谁知重新启动系统后,打开IE浏览器,发现又自动打开了那个恶意网站,而且其他地方也被修改了,看来事情并不是想像的那么简单,这个恶意网站一定还在系统启动时做了什么手脚!
于是在“运行”中输入“msconfig”,打开系统配置实用程序,逐项查找System.ini、Win.ini以及“启动”项中的所有自启动项目,终于在“启动”项中发现了两个极为可疑的键值。虽然一个是默认键值,一个键值名称为“win”,但两者的键值数据都是“regedit -s c:\windows\win.dll”。通过查找Regedit的相关命令得知,这个命令的功能是导入一个注册表脚本文件,“-s”参数则是让它后台自动导入,不过这后面导入的是“Win.dll”文件,怎么会是一个动态链接库文件呢?难道这只是一个表面现象,于是用记事本打开这个“Win.dll”文件,发现原来这是一个文本格式的文件,只不过被修改了扩展名而已。
我分析了一下这个“Win.dll”文件,原来系统总是自动被恶意修改就是它在起作用。找到了症结,当然解决方法就是删除这个键值,并删除“Win.dll”文件,不过我忽然想到既然恶意网站可以利用这个文件来添加键值数据,为什么我不再利用一下这个文件,以牙还牙,让它还自动还原被恶意修改的键值呢?于是我将该文件修改如下:
REGEDIT4
[空一行]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
rcx
保存修改后的“Win.dll”文件,然后运行一下命令“regedit -s c:\windows\win.dll”,重新启动一下系统,你会发现所有的恶意修改一下子就全部被恢复了,你还可以保存着这个文件,如果再遇到这个恶意网页的话,只需要用这个文件恢复一下就可以了,非常方便。
raogw [2003-11-29 16:06:00]
那么证明你的电脑已经被不良网站加入了非法文件
解决办法:
打开注册表,找到:HKEY_CURRENT_USER\Software\ Microsoft\Windows\Current Version\Run
把右边可疑的键值删掉,重启后就没有问题了
不过小心不要把系统默认的也删除了
=================================
以下是WIN98系统默认的:
TaskMonitor C:\\WINDOWS\\taskmon.exe 任务检测程序,建议保留
internat.exe internat.exe 输入法图标,建议保留
ScanRegistry C:\\WINDOWS\\scanregw.exe /aotorun 注册表备份程序,建议保留
SystemTray SysTray.Exe 管理驻留内存的程序,建议保留
SchedulingAgent C:\\WINDOWS\\SYSTEM\\mstask.exe 系统计划任务程序,很多余,删吧
LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme 电源管理程序,一般有两个,你可以随便删其中一个
除了这些,多出来其他不明来历的都放心删吧
==========================================
万一注册表给锁了,新建一计事本,写入一行
[version]
signature="$CHICAGO$"
[Defaultinstall]
DelReg=DeleteMe
[DeleteMe]
HKCU,"software\\Microsoft\\Windows\\CurrentVersion\\policies\\system",
"DisableRegistrTools"
保存为ENABLE.INF的文件,右键击它选安装!
==========================================================
附:
QQ连发器病毒的档案
发作时间:随机
病毒类型:木马病毒
传播方式:QQ软件
感染对象:QQ用户
依赖系统: WIN9X//NT/2000/XP
病毒介绍:
该病毒运行后会偷偷藏在用户的系统中,并修改注册表进行自启动。发作时会寻找QQ窗口,每隔1分钟就给被感染用户的所有线上的QQ好友发送诸如“快去这看看,里面有蛮好好东西-- ”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒无情感染,然后成为毒源,继续传播。
病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
1. 病毒运行时会将自身复制到系统目录下,命名为:WebAuto.exe。
2. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsCurrentVersion\\Run启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径,在下一次启动计算机时,病毒就会自动运行。
3. 病毒会将用户系统中的IE默认首页改为:http://www.qqXXX.com ,使用户一上网就中招。
4. 病毒会寻找QQ的发送消息窗口,给用户所有好友随机发送以下消息:
1. "激情电影爽啊!给你也推荐一下,完全免费--";
2. "快去这看看,里面有蛮好好东西--";
3. "上次看了个网站不错,去看看吧--";
在这些消息之后还伴随着一个恶意网址诱骗用户点击。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了QQ连发器。
=======================
禁用信使服务的办法:
控制面板--管理工具--服务--把"MESSENGER"设置为禁用
raogw [2003-11-29 16:07:00]
一共有107个除了两个子键explorer和activedesktop
一共有105个大部份我都找到作用了!
没有说明的都在explorer子键下
它们的路径HKCU\\software\\microsoft\\windows\\currentversion\\policies
<1>NoSMMyDocs--禁止"开始"->"文档"中的我的文档选项
<2>NoViewOnDrive--禁止使用驱动器(和nodrives有点象但不隐藏)
<3>NoComputersNearMe--隐藏"网上邻居"中的"邻近的计算机"
<4>ForceActiveDesktopOn--禁止桌面->右键->活动桌面中的"显示web内容"选项
<5>DisableCurrentUserRunOnce--禁止处理注册表中的开机启动项
<6>DisableLocalMachineRunOnce--同上
<7>DisableCurrentUserRun--同上
<8>DisableLocalMachineRun--同上
<9>NoEncryptOnMove
<10>NoWinKeys--在"资管"中禁用热键(?)
<11>NoSMHelp--隐藏"开始"中的"帮助"选项
<12>NoSMBalloonTip
<13>DisallowCpl--指定不能使用的cpl文件(特殊)
<14>RestrictCpl--指定只能使用的cpl文件(特殊)
<15>NoWelcomeScreen
<16>DisallowRun--指定不能使用的可执行文件(特殊)
<17>NoRecentDocsNetHood--禁止仿问过的共享资源自动加到"网上邻居"
<18>NoManageMyComputerVerb--隐藏"我的电脑"->右键菜单中的"管理选项"(compmgmt.msc)
<19>PromptRunasInstallNetPath--为网络安装申请凭证(?)
<20>NoRunasInstallPrompt--不要申请其它凭证
<21>NoHardwareTab--隐藏"系统属性"中的"硬件"卡
<22>NoShellSearchButton--屏蔽"资源管理器"工具栏中的"搜索"按钮
<23>DontShowSuperHidden
<24>AllowFrenchEncryption
<25>NoEncryption
<26>NoCustomizeThisFolder
<27>NoWebView
<28>ForceStartMenuLogoff--禁止在"开始"显示注销项
<29>NoNetworkConnections--"开始"的"设置"中"网络和拨号连接"被隐藏(控面中不隐藏
但也禁用)
<30>NoChangeMappedDriveComment
<31>NoChangeMappedDriveLabel
下面的四个在uninstall子键下
<32>NoWindowsSetupPage--"添加删除windows组件"
<33>NoAddPage--"添加新程序"项被隐藏
<34>NoRemovePage--"更改或删除程序"项被隐藏
<35>NoAddRemovePrograms--屏蔽"添加删除程序"项
<36>ShowPostSetup
<37>AddRemoveProgs
<38>EnumWorkgroup
<39>NoControlPanel--禁用"控制面板"同时在"开始"->"设置"中的"控面"选项被隐藏
<40>MaxRecentDocs--"文档"中的记录数("我的文档"也算一项,所以要从二开始)
<41>SeparateProcess
<42>IntelliMenus--在"任务栏和开始菜单属性"中隐藏"使用个性化菜单"复选框(同失也
禁用该功能)
<43>MemCheckBoxInRunDlg--"运行"对话框中加入"在单独内存空间运行",
作用:启动多个16位进程或dos进程时将单独启动一个VDM进程,从而不会造成地址冲突
<44>FindComputers
<45>NoSyncAll
<46>NoFolderOptions--"设置"-没有"文件夹选项"
<47>NoChangeStartMenu--"开始"菜单中禁止点右键
<48>NoWindowsUpdate--"设置"-没有"WINDOWS UPDATE"
<49>NoSetActiveDesktop--仅是"开始"-"设置"-没有"活动桌面"选项
<50>GreyMSIAds--从"开始"禁用不可用的windows安装服务程序的快捷方式
<51>NoForgetSoftwareUpdate
<52>NoMSAppLogo5ChannelNotify
<53>ForceCopyACLWithFile--强制拷贝ACL(仿问控制例表)在方件拷贝时(??)
<54>NoResolveTrack--对于不正确的lnk系统先找文件ID号
<55>NoResolveSearch--禁止自动查找匹配无目标的快捷方式(综合查询)
ActiveDesktop <<这是一个子选项>>
<56>NoEditingComponents--(显示属性-web页选项卡-无"编辑"和"重置")
<57>NoMovingBands--(当你新建一个工具栏并放入状态栏时你将不能把它移出来)
<58>NoCloseDragDropBands--(禁止你关闭新建的工具栏和系统自带的快速启动栏)
<59>NoClosingComponents--(禁止关闭桌面某一活动内容)
<60>NoDeletingComponents--(显示属性-web页选项卡-无"删除")
<61>NoAddingComponents--(显示属性-web页选项卡-无"新建")
<62>NoComponents--(无"显示"属性中的"web页选项卡")
<63>NoChangingWallPaper--(显示属性-背景选项卡中禁止更改背景图片并且在
ie中点右键时也无法选择"设置为墙纸"选项)
<64>NoHTMLWallPaper--(禁用html格式的墙纸)
<65>ActiveDesktop--(主键名)
<66>NoCustomizeWebView
<67>ClassicShell--(禁止定义桌面风格具体包括系统自带的快速启动栏被完全的隐藏
并且不能添加文件夹选项中的常规选项卡中windows桌面更新不能选择了还有关
机选项中多了个注销单选框有点搞笑!)
<68>ClearRecentDocsonExit--退出时清除"文档"中的历史记录)
<69>NoFavoritesMenu--"开始"中无"收藏夹"
<70>NoActiveDesktopChanges--显示属性中无web选项卡且背景选项卡中墙纸不能为html格式但在ie点右键时可以选"设为桌面项")
<71>NoActiveDesktop--(这个是最重要的了必须要有它才能真正的禁止activedesktop
其中包括显示属性中无web选项卡且背景选项卡中墙纸不能为html格式
,桌面点右键没有"活动桌面"选项但是在"开始"菜单的"设置"又有,但在ie
点右键时可以选"设为桌面项"不过又不能显示出来)
<72>NoRecentDocsMenu--"开始"中无"文档"
<73>NoRecentDocsHistory--"开始"中无"文档"中历史记录
<74>NoInternetIcon--桌面隐藏IE图标
<75>NoFileAssociate
<76>NoNTSecurity
<77>NoDisconnect
<78>NoSettingsWizards
<79>NoNetConnectDisconnect--关闭当前的网络连接指的是映射的网络驱动器同时在"网
络邻居"和"我的电脑"点右键都没有断开和映射网络驱动器选项
<80>NoViewContextMenu--在桌面和资源管理器中无右键同时也不能查看文件属性(同时
禁用shift+f10)但在工具栏或是ie中有用
<81>NoTrayContextMenu--在状态栏包括"开始"按钮上禁用右键但是
在最右边的托盘图标和快速启动栏的图标上可以点右键
<82>NoWebMenu
<83>LinkResolveIgnoreLinkInfo--禁止使用绝对路来解释出错的快捷方式
<84>NoCommonGroups--隐藏"程序"->"附件"中的公共部分如画图等快捷方式(存放在doc
ument and setting\\all users\\"开始菜单"文件夹下)
<85>EnforceShellExtensionSecurity--使用未经许可的外壳扩展(右键扩展菜单)要提示
,如何确认:win2k自动搜索程序的数字证书,经过确认的
clsid放在hklm\\smwc\\shell extension\\approved下
<86>NoRealMode--禁用dos方式(?)
<87>WinOldApp--关机没有转为纯dos方式(?)
<88>MyDocsOnNet
<89>NoStartMenuSubFolders--隐藏"开始菜单"上部的"用户文件夹",(存放在document
andsetting\\用户名\\"开始菜单"文件夹下)
<90>NoAddPrinter--("我的电脑"-"打印机"-无"添加打印机")
<91>NoDeletePrinter--("我的电脑"-"打印机"-无""删除打印机")
<92>NoPrinterTabs--(无打印机属性中的"常规"和"详细资料"两个选项)
<93>RestrictRun--设置只能运用的程序(特殊)
<94>NoStartBanner--无"单击这里开始"的提示
<95>NoNetHood--隐藏"网上邻居"
<96>NoDriveTypeAutoRun--禁止光盘自动运行(按类型禁止)
<97>NoDriveAutoRun--禁止光盘自动运行(按盘符禁止)
<98>NoDrives--隐藏驱动器
<99>NoFind--隐藏"收搜"
<100>NoDesktop--隐藏"桌面"所有项目
<101>NoSetTaskbar--禁用"任务栏"右键属性及设置->没有任务栏和开始菜单
<102>NoSetFolders--设置->没有制面板及打印机
<103>NoFileMenu--隐藏"资源管里器"里的"文件"菜单
<104>NoSaveSettings--不保存桌面设置如任务栏的位置之类
<105>NoClose--隐藏"关闭系统"
<106>NoRun--隐藏"运行"
<107>Explorer(主键)
