“For”命令法
系统中的绝大多数动态链接库保存在System32目录下,使用Windows命令行中的“For”命令,就可以实现循环操作,将System32目录中的动态链接库快速注册一遍,从而避免手动输入命令。
依次点击“开始/运行”,在弹出的运行对话框中输入“CMD”,回车后打开命令提示符窗口。在命令提示符后输入“For %i in (C:\\windows\\system32\\*.dll) Do regsvr32.exe /s %i”(实际输入时不包括最外侧的双引号,下同),回车后即开始对System32目录下的所有动态链接库逐一注册了(如图1)。
图1
提示:命令中的参数“%i”区分大小写,即“%i”和“%I”是两个完全不同的参数,一定要注意。“%i in”表示在“C:\\windows\\system32”目录中取值,然后调用regsvr32.exe命令对取得的值逐一进行注册。而参数“/S”的作用在于关闭regsvr32.exe命令的回显信息,节约时间。For命令的具体用法可在命令提示符后键入“For /?”来获得。
IE参数法
IE 6.0中隐藏有一个参数“/rereg(再登记;再注册)”,利用该参数可以对IE在注册表中的所有选项及与动态链接库相关的选项逐一注册。点击“开始/运行”,在弹出的运行对话框中输入“"%ProgramFiles%\\Internet Explorer\\iexplore.exe" /rereg ”(如图2),回车后重新启动计算机即可。
很多人IE出问题后都无法重新安装,特别是6.0的更难,今天笔者也遇见了同样的问题,在尝试了多种方法以后,最终得到了以下可行办法:
IE 5.0:
进入注册表,找到HKEY_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\INTERNET TXPLORER ,单击version vector主键,双击ie子键,将5.0002改为4.0后重启,安装即可。
IE 6.0:
进入注册表,找到HKEY_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\Active setup\\Intalled components\\{820200-ECBD-11CF-8B85-00AA005B4383},将IsInstalled的DWORD值改为0,重启,添加删除组件,删除IE,重启,下载最新版,安装即可。
IE无法打开超链接
IE新建窗口模块被破坏所致,需要重新注册几个动态链接文件。
点击:开始---运行---重新注册(输入)以下DLL文件。(一个一个依次注册)
regsvr32 Actxprxy.dll
regsvr32 Shdocvw.dll
重启系统,不行再添加以下的DLL文件。
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll
regsvr32 Oleaut32.dll
regsvr32 Shell32.dll
另:msjava.dll是JAVA虚拟机的动态连接库,提示找不到模板是因为你的机子没装虚拟机,所以这个文件,你可以不必注册的。
网页打不开,浏览器打不开,这是上网时候广大网友经常碰见的问题,本文将针对网页打不开问题做一综合分析,相信您看了本文会对网页打不开有一个全面的了解!
一、网络设置的问题
这种原因比较多出现在需要手动指定IP、网关、DNS 服务器 联网方式下,及使用代理服务器上网的。仔细检查计算机的网络设置。
二、DNS服务器的问题
当IE无法浏览网页时,可先尝试用IP地址来访问,如果可以访问,那么应该是DNS的问题,造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题,这时你可以手动指定DNS服务(地址可以是你当地ISP提供的DNS服务器地址,也可以用其它地方可正常使用DNS服务器地址。)在网络的属性里进行,(控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址)。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接,这种情况的话,可把路由器关一会再开,或者重新设置路由器。
还有一种可能,是本地DNS缓存出现了问题。为了提高网站访问速度,系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里,一旦再对这个网站进行访问,则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以,如果本地DNS缓存出现了问题,会导致网站无法访问。可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。
三、IE浏览器本身的问题
当IE浏览器本身出现故障时,自然会影响到浏览了;或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复(建议到安全模式下修复),或者重新IE(如重装IE遇到无法重新的问题,可参考:附一解决无法重装IE)
四、网络防火墙的问题
如果网络防火墙设置不当,如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等,可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。
五、网络协议和网卡驱动的问题
IE无法浏览,有可能是网络协议(特别是TCP/IP协议)或网卡驱动损坏导致,可尝试重新网卡驱动和网络协议。
六、HOSTS文件的问题
HOSTS文件被修改,也会导致浏览的不正常,解决方法当然是清空HOSTS文件里的内容。
七、系统文件的问题
当与IE有关的系统文件被更换或损坏时,会影响到IE正常的使用,这时可使用SFC命令修复一下,WIN98系统可在“运行”中执行SFC,然后执行扫描;WIN2000/XP/2003则在“运行”中执行sfc /scannow尝试修复。
其中当只有IE无法浏览网页,而 QQ 可以上时,则往往由于winsock.dll、wsock32.dll或wsock.vxd(VXD只在WIN9X系统下存在)等文件损坏或丢失造成,Winsock是构成TCP/IP协议的重要组成部分,一般要重装TCP/IP协议。但xp开始集成TCP/IP协议,所以不能像98那样简单卸载后重装,可以使用 netsh 命令重置 TCP/IP协议,使其恢复到初次安装 操作系统 时的状态。具体操作如下:
点击“开始 运行”,在运行对话框中输入“CMD”命令,弹出命令提示符窗口,接着输入“netsh int ip reset c:\\resetlog.txt”命令后会回车即可,其中“resetlog.txt”文件是用来记录命令执行结果的日志文件,该参数选项必须指定,这里指定的日志文件的完整路径是“c:\\resetlog.txt”。执行此命令后的结果与删除并重新安装 TCP/IP 协议的效果相同。
小提示:netsh命令是一个基于命令行的脚本编写工具,你可以使用此命令配置和监视Windows 系统,此外它还提供了交互式网络外壳程序接口,netsh命令的使用格式请参看帮助文件(在令提示符窗口中输入“netsh/?”即可)。
第二个解决方法是修复以上文件,WIN9X使用SFC重新提取以上文件,WIN2000/XP/2003使用sfc /scannow命令修复文件,当用sfc /scannow无法修复时,可试试网上发布的专门针对这个问题的修复工具WinSockFix,可以在网上搜索下载。
八、杀毒软件的实时监控问题
这倒不是经常见,但有时的确跟实时监控有关,因为现在杀毒软件的实时监控都添加了对网页内容的监控。举一个实例:KV2005就会在个别的机子上会导致IE无法浏览网页(不少朋友遇到过),其具体表现是只要打开网页监控,一开机上网大约20来分钟后,IE就会无法浏览网页了,这时如果把KV2005的网页监控关掉,就一切恢复正常;经过彻底地重装KV2005也无法解决。虽然并不是安装KV2005的每台机子都会出现这种问题,毕竟每台机子的系统有差异,安装的程序也不一样。但如果出现IE无法浏览网页时,也要注意检查一下杀毒软件。
九、Application Management服务的问题
出现只能上QQ不能开网页的情况,重新启动后就好了。不过就算重新启动,开7到8个网页后又不能开网页了,只能上QQ。有时电信往往会让你禁用Application Management服务,就能解决了。具体原因不明。
十、感染了病毒所致
这种情况往往表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但老半天没响应。在任务管理器里查看进程,(进入方法,把鼠标放在任务栏上,按右键—任务管理器—进程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,这时你想运行 其他 程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源.找到后,最好把名称记录下来,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入 注册表 里,(方法:开始—运行,输入regedit)在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次的搜索,往往能彻底删除干净。
有很多的病毒,杀毒软件为力时,唯一的方法就是手动删除。
十一、无法打开二级链接
还有一种现象也需特别留意:就是能打开网站的首页,但不能打开二级链接,如果是这样,处理的方法是重新注册如下的DLL文件:
在开始—运行里输入:
regsvr32 Shdocvw.dll
regsvr32 Shell32.dll(注意这个命令,先不用输)
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll
注意:每输入一条,按回车。第二个命令可以先不用输,输完这些命令后重新启动windows,如果发现无效,再重新输入一遍,这次输入第二个命令。
一般多为网页编写的错误和自己的电脑没有关系!
解决方法:将IE浏览器中的工具-----Internet选项------高级里的"禁止脚本调试"取消,然后按"确定重开IE即可!
各用户在上网的过程中,可能会随时出现“网页上有错误”的提示,或者是感觉到上网很慢的情况出现,处理此类办法最有效的方法是:
1、查看“Internet选项”,将“历史记录”清除;
2、删除“临时文件”包括脱机临时文件;
3、删除WINDOWS系统临时目录下的文件;
4、重启(如果已经打开过很多网页,或是运行很多程序,感觉快死机了请重启
症状
某个网页可能会无法正常显示或工作,您可能会收到一条类似于以下之一的错误消息:
该网页上的问题可能使其无法正常显示或功能不正常。以后,双击显示在状态栏中的警告图标,就可以显示上述消息。
如果您单击“显示详细信息”,则会显示类似于下面的错误详细信息:
Line:4
Char:1
Error:Object doesn't support this property or method.
Code:0
URL:http://Webserver/page.htm
A Runtime Error has occured.
Do you wish to Debug?
Line:4
Error:Object doesn't support this property or method.
下面的警告消息也可能出现在 Microsoft Internet Explorer“状态”栏中:
已完毕,但网页上有错误
| 回到顶端 |
| • | 网页的 HTML 源代码中有问题。 |
| • | 您的计算机或网络上阻止了活动脚本、ActiveX 控件或 Java 小程序。Internet Explorer 或另外一种程序(如防病毒程序或防火墙)可以配置为阻止活动脚本、ActiveX 控件或 Java 小程序 |
| • | 防病毒软件配置为扫描您的“临时 Internet 文件”或“已下载的程序文件”文件夹。 |
| • | 您计算机上的脚本引擎损坏或过时。 |
| • | 您计算机上的 Internet 相关文件夹损坏。 |
| • | 您的视频卡驱动程序已损坏或者已过时。 |
| • | 您计算机上的 DirectX 组件损坏或过时。 |
解决方案
使用本文中的故障排除方法时要按它们出现的顺序进行。在您完成一个故障排除部分后,请进行测试以确定是否仍发生此脚本错误。如果问题已解决,则不必继续下一部分。如果问题未解决,则继续执行下一部分。
从另一个用户帐户、另一个浏览器和另一台计算机测试网页
如果问题只在您查看一个或两个网页时发生,则从另一个用户帐户、另一个浏览器或另一台计算机查看这些网页,以确定问题是否依然存在。如果脚本错误依然存在,则可能是网页的编写有问题。请与网站管理员或内容开发者联系,告诉他们网页存在的问题。如果从另一个用户帐户使用网页时脚本错误未发生,则问题可能是您的用户配置文件的文件或设置造成的。如果在从另一个浏览器或另一台计算机使用网页时脚本错误未发生,则继续进行故障排除操作。
确认活动脚本、ActiveX 和 Java 未被阻止
确认您计算机上的 Internet Explorer 或另外一种程序(如防病毒程序或防火墙)未配置为阻止活动脚本、ActiveX 控件或 Java 小程序。在 Internet Explorer 的“高”安全级别,活动脚本、ActiveX 控件和 Java 小程序被关闭。默认情况下,Internet Explorer 6 和某些 Internet Explorer 5.x 版本针对受限站点区域使用“高”安全级别。默认情况下,Microsoft Windows Server 2003 针对受限站点区域和 Internet 区域使用“高”安全级别。如要为当前网页重置 Internet Explorer 安全设置,请按照下列步骤操作:
| 1. | 启动 Internet Explorer。 |
| 2. | 在“工具”菜单上,单击“Internet 选项”。 |
| 3. | 在“Internet 选项”对话框中,单击“安全”。 |
| 4. | 单击“默认级别”。 |
| 5. | 单击“确定”。 |
确认您的防病毒程序未设置为扫描“临时 Internet 文件”或“已下载的程序文件”文件夹
请参见您使用的防病毒程序的文档资料,以确定如何防止该程序扫描“临时 Internet 文件”或“已下载的程序文件”文件夹。
删除所有临时的 Internet 相关文件
从您的计算机中删除所有临时的 Internet 相关文件。为此,请按照下列步骤操作:
| 1. | 启动 Internet Explorer。 |
| 2. | 在“工具”菜单上,单击“Internet 选项”。 |
| 3. | 单击“常规”选项卡。 |
| 4. | 在“Internet 临时文件”下,单击“设置”。 |
| 5. | 单击“删除文件”。 |
| 6. | 单击“确定”。 |
| 7. | 单击“删除 Cookies”。 |
| 8. | 单击“确定”。 |
| 9. | 在“历史记录”下,单击“清除历史记录”,然后单击“是”。 |
| 10. | 单击“确定”。 |
要为 Microsoft Windows 98、Windows 98 Second Edition、Windows Millennium Edition 和 Windows NT 4.0 上的 Internet Explorer 更新脚本引擎,请下载最新的脚本引擎。为此,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0A8A18F6-249C-4A72-BFCF-FC6AF26DC390 (http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0A8A18F6-249C-4A72-BFCF-FC6AF26DC390)
要为 Microsoft Windows 2000 上的 Internet Explorer 更新脚本引擎,请下载最新的脚本引擎。为此,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C717D943-7E4B-4622-86EB-95A22B832CAA (http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=c717d943-7e4b-4622-86eb-95a22b832caa)
如果您在运行 Microsoft Windows XP 或 Windows Server 2003,则您已经在运行 Windows Script 5.6 了。在这种情况下,您可能需要执行 Windows 的就地升级或修复安装,以修复脚本引擎。
有关如何执行 Windows 的就地升级或修复安装的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816579 (http://support.microsoft.com/kb/816579/) 如何执行 Windows Server 2003 的就地升级
315341 (http://support.microsoft.com/kb/315341/) 如何执行 Windows XP 的就地升级(重新安装)
关闭不需要的功能
平滑滚动
要关闭“平滑滚动”功能,请按照针对您的 Internet Explorer 版本的步骤操作。
对于 Internet Explorer 4.x,请按照下列步骤操作:
| 1. | 启动 Internet Explorer,然后在“查看”菜单上单击“Internet 选项”。 |
| 2. | 在“高级”选项卡上,清除“使用平滑滚动”复选框。 |
| 3. | 单击“确定”,然后退出 Internet Explorer。 |
| 1. | 在“工具”菜单上,单击“Internet 选项”。 |
| 2. | 在“高级”选项卡上,清除“使用平滑滚动”复选框。 |
| 3. | 单击“确定”,然后退出 Internet Explorer。 |
禁用“拖动时显示窗口内容”选项
注意:如果您的 Windows 98 计算机上没有安装 Microsoft Plus! for Windows 98,请转到“减少 Windows 使用的颜色数”部分。
对于 Windows 98,请按照下列步骤操作:
| 1. | 右键单击桌面,然后单击“属性”。 |
| 2. | 在“Plus”选项卡上,清除“拖动时显示窗口内容”复选框,然后单击“确定”。 |
| 1. | 右键单击桌面,然后单击“属性”。 |
| 2. | 在“效果”选项卡上,清除“拖动时显示窗口内容”复选框,然后单击确定。 |
对于 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition,请按照下列步骤操作:
| 1. | 右键单击桌面,然后单击“属性”。 |
| 2. | 在“设置”选项卡上,在“颜色”框中,单击一个小于当前设置的设置,单击“确定”,然后单击“是”。 |
减小屏幕区域
对于 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition,请按照下列步骤操作:
| 1. | 右键单击桌面,然后单击“属性”。 |
| 2. | 在“设置”选项卡上,在“屏幕区域”框中,将屏幕区域滑块移到小于当前屏幕区域设置的一个屏幕区域,单击“确定”,然后单击“是”。 |
关闭硬件加速
要关闭硬件加速,请按照下列步骤操作:
| 1. | 右键单击“我的电脑”,然后单击“属性”。 |
| 2. | 在“性能”选项卡上,单击“图形”。 |
| 3. | 将“硬件加速”滑块移动到“无”,依次单击“确定”、“关闭”和“是”。 |
如果您在运行 Windows 98,请使用下列方法之一:
| • | 单击“开始”,指向“设置”,单击“活动桌面”,然后清除“按网页查看”复选框。 |
| • | 右键单击桌面,单击“活动桌面”,然后清除“按网页查看”复选框。 |
| • | 右键单击桌面,单击“属性”,单击“Web”选项卡,清除“Show Web content on my Active Desktop”(在我的活动桌面上显示 Web 内容)复选框,然后单击“确定”。 |
| • | 右键单击桌面,单击“活动桌面”,然后清除“Show Web content on my Active Desktop”(在我的活动桌面上显示 Web 内容)复选框。 |
| 1. | 右键单击桌面,然后单击“属性”。 |
| 2. | 在“Web”选项卡上,清除“View my Active Desktop as a web page”(按网页查看我的活动桌面)复选框,然后单击“确定”。 |
恶意网页大多是通过浏览网页中利用IE的AcriveX控间漏洞使用Script语句对注册表进行修改 ,复杂的修改:这种修改在对IE主页修改的同时还修改的注册表的启动项,造成的现象是无法通过手动修 改来修复,在系统重新启动以后会自动重新修改成恶意网站的地址。对于这种修改的处理我通常采用以下几 个方法:
A、利用网络上的一些软件比如:3721上网助手、IE修复器等软件修改。如果失败请再往下看
B、有些会在开机时自动打开IE的: B-1.查看“启动”菜单里有没有可疑的程序(很多人现在都只在注册表 的RUN里面找,而忽略的这里。B-2.如果没有再从注册表
“HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”查找
C、如果还是没有找到,记住自动连接的网站地址,打开文件夹选项--显示所有文件,用搜索功能查找,在 包含文字中填入恶意网站的地址,如果找到了记住该文件名,同时在注册表里搜索刚才查到的文件名,将找 到的字段删除就可以了。
D.有些网站是修改了启动调用文件,在上述的方法仍然无效的情况下,请用msconfig?indows自带的工具, 或者下载SysMechanic这个工具(我一直都用它,不过是英文界面,而且是共享软件,但时间的破解很容易 哦,这个软件对系统的管理很好)查看启动项,要看仔细了,很多程序和windows的程序名只有一点点的差 别,如果你不能确定可以和其他正常的电脑比较一下。如果发现了你知道该怎么做。
E.如果还没有发现看看启动程序调用的DLL文件用写字板打开看到恶意网站的地址修改过来或者直接删除这 个DLL文件。
F.如果还没有发现,也不要灰心,先关闭windows下所有的自启动程序(像防火墙之类的)用SysMechanic查
看启动项目,逐个禁止自启动程序,直到发现为止。(Internat.exe 和SysTray.exe可以不用禁止)记住 Explorer.exe是不在自启动项目里面的,如果它在自启动项目里面从其他电脑里面copy后覆盖掉。 其他的处理
如果右键中有网站连接。打开注册表,查找有关该连接名的键值删除。
位置:“HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt”
如果工具菜单和工具栏中有网站连接,位置:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\HKEY_LOCAL_MACHINE\\Software\\
Microsoft\\Internet Explorer\\Extensions”点击文件夹的“+”号,找到删除.
造成ie被恶意修改的原因是什么呢?怎么防范呢?
主要是ie的执行脚本的一些漏洞啦,通过利用ActiveX修改注册表 重要项达到破坏目的。至于Applet、ActiveX及java和vb脚本语言,就请有兴趣的朋友自己去了解了解了(
主要是通过本地机上的WSH解析并在本地机上执行代码或者激活应用程序)。幸好现在的杀毒软件都增加了 放恶意代码的功能。 阻止恶意代码修改注册表:
1、大部分的恶意代码只对IE5.0版本有效,所以将IE升级到6.0,并及时下载打上补丁! 下载安装微软WSH 最新版,好像是5.6版!
2、安装最新的杀毒软件,打开实时监控保护上网安全,因为可以阻挡此类大部分恶意代码!
3、警惕性好一点,不要受不良诱惑,尽量不要上你不知道或者不熟悉的网站!(近来的“网页贺卡”也可 能是一种传播途径哦)!
4、设置ie安全级别,不推荐,因为这样有点因噎废食,鸵鸟的感觉!
5、禁止编辑注册表,win2000用禁止远程编辑注册表!
6、下载优化大师、超级兔子魔法设置、金山注册表恢复器、“魔法石“网页(由3721提供,“魔法石“http:// magic.3721.com/网页可以在线清除恶意代码、优化网络、方便地进行个性化设置等)等恢复IE设置!
7、屏蔽一些网站:IE浏览器,选择选单栏里的“工具”→“Internet选项”→“内容”→“分级审查”,点 击“启用”按钮,在弹出的“分级审查”对话框中切换到“许可站点”标签,输入您想屏蔽的网站网址,随 后点击“从不”按钮,再点“确定”即可!
一、软件法:可以试试用IE修复专家
下载地址是:http://www.skycn.com/soft/6909.html
二、手动
※ 手动修复IE ※巧用注册表编辑器还IE清白面目
现在有许多网站会恶意修改你的IE主页起始设置(就是点选IE图标后自动进入的页面,一般默认设置为Windows网站或者空白页),这些网站通过这种无耻的手段来达到宣传自己的目的。许多用户对这种现象深恶痛绝却又束手无策,现在告诉大家一些小技巧,可以将被篡改的 IE设置修复回来。
一、打开IE,点选“工具”菜单,选择“Internet选项”,再点选“常规”栏,第一项“主页”就是,在“地址”一栏中显示的就是当前IE默认起始页,下方还有三个选项:“使用当前页”、“使用默认页”、“使用空白页”,你可以选择“使用空白页”,也可以选择“使用默认页”,并在地址一栏中填入你想要的主页地址,例如:Http //www .yahoo.com .cn,那以后你开启IE时,中文雅虎将作为你的默认主页自动出现。
二、如果按照一的方法修改后依然无效,则表示该恶意网页已经修改了你的Windows启动选项,这个时候就需要利用Windows“注册表编辑器”,来进行修复。
点选“开始”菜单,选择“运行”按钮,在“打开”栏中添写“Regedit”,选择“确定”按钮,将会弹出一个“注册表编辑器”窗口,依次打开屏幕左侧栏中“我的电脑”下的“HKEY _LOCAL_MACHINE”“Softw are”、“Windows”、“Current Version”、“RUN”文件夹,在屏幕右侧栏中选择所有于恶意网页有关的项目,点选鼠标右键,予以删除。这个方法可以修复“起始主页”被修改的情况。
还有的情况是“默认主页”也被修改,还是重复二的过程,打开“注册表编辑器”,依次点选“HKEY _LOCAL_MACHINE”、“Software”、“Microsoft”、“Internet Explorer”、“Main”文件夹,将屏幕右侧栏中“Default_Page_URL”改为你想要的网站地址,例如:Http //www .yahoo.com .cn。
三、还有一些恶意网站除了修改你的IE默认网址外,还会在修改你的IE工具栏,例如篡改“IE标题栏”、添加“按钮”等。要修改“ IE标题栏”,还是要依靠“注册表编辑器”,按照上面的方式打开“注册表编辑器”,依次打开“HKEY _CURRENT_USER”、“Software”、“Microsoft”、“Internet Explorer”、“Toolbar”文件夹,将屏幕右侧栏中“LinksFolderName”数据项改为“默认”就可以了。
而恶意添加的按钮,只要在不想出现的按钮上点选鼠标右键,选择“自定义”选项,在弹出菜单“自定义工具栏”中右侧“当前工具栏按钮”中将不需要的按钮删除就可以了。
有2种情况,一个是恶意代码篡改了注册表信息,一般在这两个键值下HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main
HKCU\\Software\\Microsoft\\Internet Explorer\\Main
另种可能是,篡改了“%SystemRoot%\\system32\\drivers\\etc”下的hosts文件,该文件的作用是“本地dns功能”,且优先级高于网络dns服务器,把除了“127.0.0.1 localhost” 外其他全部删除,最后把该文件改为只读。
ie被绑架 机器乱弹广告 揭开IE自动弹出广告窗之谜
今天打开OL和webuc.net的时候,总会自动弹出一个http://baby.aoe88.com/ad.html的广告窗口,很是奇怪,当时也没有留意,以为是宝玉找的域名商搞的鬼。后来再上别的网站的时候,那个该死的广告又弹出来了,这下我才发觉自己中毒了。
于是,马上运行Regedit.exe,切换到:
HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\\Windows\\CurrentVersion\\Explorer\\BrowserHelperObjects
发现有三个BHO(说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块)的ID号:
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知
{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车(FlashGet)的模块。
复制未知模块的ID号,把键值切换到:HKEY_CLASSES_ROOT下,点编辑->查找,在查找项目(仅选择项)中输入{3E422F49-1566-40D3-B43D-077EF739AC32},将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,将其记录下来。
查找完后,只有一个DLL文件:Navihelper.dll,于是进入winnt\\system32下,找到该文件,查看其属性中并没有写明所属公司名称及版权,初步可以确定就是这个DLL捣的鬼。用UltraEdit打开此DLL,发现了一个\\host.dat的字符串,而且在winnt\\system32下,能找到host.dat,最可疑的是该文件在今天刚刚被修改!
用UltraEdit打开host.dat,http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!
病毒原理分析:此Navihelper.dll使用BHO的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat(数据库:ThisfilecontainsanSQLite2.1database)中,根据数据库设置进行显示。
接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。
然后,开始--运行,输入:regsvr32 NaviHelper.dll -u
最后重新启动计算机,再到system32下删除NaviHelper.dll及Host.dat文件即可。
IE弹广告解决办法;
1、IE莫名跳窗应该是恶意广告程序作怪,可以按以下方法修复:
重新注册IE项,修复IE注册。从开始->运行
输入命令 regsvr32 actxprxy.dll 确定
输入命令 regsvr32 shdocvw.dll 确定
重新启动,下载反间谍专家查有没有ADWARE,spyware,木马等并用其IE修复功能修复IE和注册表,用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。
下载:http://www.xvlink.com/f1/F1_tools_killadpop.html
在C:\\Program Files\\Internet Explorer\目录下,把LIB目录或Supdate.log删除。
2、跳窗网页可能保留在HOSTS,一经上网就先触发该网址为默认,就会自动打开,检查HOSTS:
用记事本在C:\\WINDOWS\\system32\\drivers\\etc\目录下打开HOSTS
在里面检查有没有网址,有则删除。
或在前面加
127.0.0.1
保存后屏蔽掉。
参考资料:http://www.xvlink.com/shiyongshizhan/netknowledge/IE/net_knowledge_IEerroradpop.html
用Hijackthis解救被绑架的IE浏览器
Hijackit下载:Hijackthis:http://search.onlinedown.net/search.asp?Keyword=HijackThis
前言:如果你上网时发现首页被改,改过来没多久又被改回去;或者在输入一个网址后发现转到了另一个不相干的网址;或者默认搜索页面是个乱七八遭的网站,那么恭喜你,你的IE被劫持了(HIJACK).
不过不用怕,我们有HIJACKTHIS,可以把它劫持回来,HOHO~~
首先打开HIJACKTHIS,点左下角的SCAN,怎么样,有好多东西吧..下面我就教大家看懂这些东西.
其中RO,R1,R2,R3对应的是IE的首页注册表修改项;
O1对应HOSTS主机文件重定向绑架;
O2对应浏览器辅助对象绑架;
O3对应IE工具拦绑架;
O4对应修改注册表的启动加载项;
O5是在注册表中看不到IE选项;
O6是对IE选项的访问;
O7是禁用注册表编辑器;
O8是IE右键菜单添家项;
O9是IE界边上添家的工具按扭;
O10是WINSOCK绑架(少见,需要很高的编程知识,一般的小鬼很难做到);
011是IE高级选项窗口中的额外项目;
012是IE插件绑架;
013是IE DEFAULEPREFIX绑架;
014是是对应修改重置WEB设置功能;
O15是受信任区域中的站点;
016是ACTIVE对象绑架;
017是域绑架;
018是是额外协议和协议绑架(和010一样少见)
F0\\F1是修改系统INI的文件自动加栽程序
N1 N2 N3 N4 是NETSCAPE/MOZILLA的绑架;
如果确认了是,就可以选择前面的复选框,再点左下角的FIX CHECKED,就可以解救了..如果不小心打错了,就点CONFIG再点BACKUP,就再挑出打错的,恢复回去就行了...
如果不敢确认,就用SAVE LOG把日志存成文本文当,再发上来请教..
打完了,累...
这个程序被UPX加壳了,本来想用EXESCOPE汉化一下再给大家用的,但是脱UPX的壳比较麻烦还是算了..就这样吧~
解救被绑架的IE浏览器的工具
相信上网的朋友都遇到过善意或恶意的网页,篡改了自己浏览器上的设置,有些篡改的程序可以被IE上网助手、杀毒软件揪出来,而遇到善意的篡改程序,如什么搜索Bar之类的IE工具,杀毒软件或上网助手还为力。那么作者今天就给大家推荐一个可以解救被“绑架”IE浏览器的工具HijackThis,它能扫描出系统IE上被绑定的程序,用户在扫描结果中发现“绑架”凶手就可将其“杀”之。
一、HijackThis小档案
MC软件包
软件名称:HijackThis
软件版本:1.991
软件大小:209KB
软件性质:免费软件
应用平台:Windows 9x/ME/NT/2000/XP
工具下载后解压,直接运行执行程序即可使用。运行HijackThis后出现用户向导窗口,选择“扫描系统并保存日志”选项即可使用HijackThis扫描查找系统中绑定IE的程序,HijackThis扫描完成后会显示查找的结果,以及日志文件(图1)。
小提示:很多用户对扫描出来的结果数据,不了解哪些参数表示哪些具体程序,其中又有哪些程序能够删除,有了日志文件,大家可以把扫描的结果报告粘贴到论坛上去,让电脑高手来指教一下。
HijackThis的扫描结果中看到(图2),QQ、易趣购物这些程序不是恶意程序,但绑定到IE上了,对很多用户来说这些程序是无用的,可以删除它们恢复IE浏览器的自由。
小提示:HijackThis具有备份功能,如果操作中误删除了应用程序还可恢复还原。
HijackThis提供了对每个程序的解释功能,用户可选择一个不熟悉的程序,再点击“该项目的信息”按钮查看HijackThis对此程序的解释说明(图3)。
二、实例应用
我们打开IE浏览器发现由于安装了QQ程序,右键菜单中增加了“添加到QQ自定义面板”、“添加到QQ表情”、“用QQ彩信发送该图片”的菜单命令(图4),这几个命令平时基本上没用却又绑定到了IE的右键菜单上,下面我们用HijackThis将其清除。
用HijackThis扫描系统后发现了关于QQ加载的几个项目,这几个项目的名称正好和我们要清除的右键菜单功能一致。如果怕在HijackThis中删除这几个程序后影响系统程序的正常工作,可以点击“配置”按钮打开工具设置窗口,选定“在修复问题前备份”(图5),这样假设删除有错还可以用HijackThis还原。
现在可以选择HijackThis中选中要修复的几个QQ程序,点击“修复”按钮,然后HijackThis会弹出窗口询问是否删除选定的几个项目,确定即可。删除后再用HijackThis扫描系统,刚才那几个QQ项目不见了。重新启动IE查看右键菜单,三个QQ菜单命令已消失。如果要想恢复它们,可以打开HijackThis配置窗口中的“备份”选项(图6)将其还原。
1、恶意网页代码能格式化你的硬盘,你相信吗
以下是从网上一篇文章节选(由于不知道出处,敬请作者与我们联系),作者对能格式化硬盘的恶意代码来了一次“亲密接触”,可真令人心惊胆颤的,看来说什么恶意代码能格式化硬盘并非空穴来风!
一日,忽然听朋友说,他在上网的时候,不知点击了什么东西,而将他的硬盘全部给格式化了。我首先的念头就是:该不会是中了那个有名的国产宏病毒“七月杀手”?不过这个宏病毒是在系统Autoexec.bat文件中加入了“deltree c:\/y”,应该不会格式化整个硬盘。那该不会是……
曾经在某个杂志上看到过一个介绍,说什么IE浏览器可以通过执行ActiveX而把硬盘格式化, 而且记得当时还公布了源代码,只是当时公布的源代码是针对西班牙版的Windows,对中文版的Windows没有用,说不定那些代码现在已经被一些高手给改成了针对中文Windows的呢。
问问自己的朋友,他也是稀里糊涂地被格式化掉硬盘的,当时进入的网站也不记得了。没有办法,我只好自己跑到国内的一些网站去找类似的主题文章。皇天不负苦心人,终于找到了几个可以格式化硬盘的HTML文件。网站上的版主出自好心,提醒下载的网友:只能供自己研究,不可害人。
考虑到危险性,我先用记事本随便打开其中一个看看源代码,没有想到这个源文件竟给加了密,里面是用JavaScript写的脚本,加密的部分好像只是一些字符的定义,而真正的脚本内容也只是显示一些字符在屏幕上。因为自己的机器是刚装好的,没有什么特别重要的数据,所以就抱着“过把瘾就死”的念头,用IE浏览器打开了这个HTML文件。接着,浏览器发出一个警告:“该页上的ActiveX控件与页上的其它部分进行交互可能不安全,是否允许进行交互?”。如果你选择“是”,则就会运行那些不安全控件。不过我试的这个HTML文件只是给大家开个玩笑,你打开它后,它说什么“你的C盘已经被它强行输入格式化,一旦重新启动就格式化了。请不要启动,立即保存有用的文件。”等诸如此类的话。我仔细检查了一下Windows启动程序里的内容,也没有什么变化,于是放心大胆地重启,果然是开的玩笑。
在下载的另外一个HTML文件中,看看源代码,不禁吓了一跳。程序仅有的不足30行代码中有24行都是调用Windows里自带的format.com命令,真是够狠的。除了A、B两个驱外,只要你能够分的区C-Z,都会被格式化。为了验证其效果,又不想我的硬盘被格式化,我把Windows里自带的format.com给改了名字,然后用IE打开该HTML文件,浏览器同样发出一个警告:“该页上的某些软件(ActiveX控件)可能不安全。建议您不要运行。是否允许运行?”。当你选择“是”的时候,会弹出几十个DOS窗口,可能是因为它找不到format.com这个文件,找开的所有DOS窗口都是什么显示也没有。它不但调用了format.com,另外还加上了一些参数,如快速格式化等,再加上格式化时窗口就已经自动完成了硬盘格式化的工作,等你发现时也已经悔之晚矣。幸好我事先已经把硬盘里的format.com给改了名字,否则后果可想而知。
2、如何清除每次开机时自动弹出的网页
其实清除每次开机时自动弹出的网页方法并不难,只要你记住地址栏里出现的网址,然后打开注册表编辑器(方法是在点击“开始”菜单,之后点击“运行”,在运行框中输入regedit命令进入注册表编辑器),分别定位到:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run和
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Runonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。
不过网页恶意代码的编写者有时也是非常的狡猾,他会在注册表的不同键值中多处设有这个值项,这样上面提的方法也未必能完全解决问题。遇到这种情况,你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”,在“查找”对话框内输入开机时自动打开的网址,然后点击“查找下一个”,将查找到的值项删除。另外,如果你是使用Windows 98的用户,可在“开始”菜单中的“运行”对话框内输入“msconfig”,点击确定,打开“系统配置实用程序”并打开“启动”选项卡,检查其中是否有非常可疑的启动项,如果有的话请将其禁用(在程序前的打上勾),然后重启机器就可以了。如果你所使用的是Windows NT/2000的用户,可以把Windows 98下的“系统配置实用程序”复制过来并运行进行查找清除。
3、杀毒软件选择篇
由于笔者的计算机一般工作在Win2000环境下,所以下面只介绍Win2000平台上的杀毒软件。
一、Win2000杀毒软件使用技巧
运行DOS下的杀毒软件时你不能做其它事情,而Win2000杀毒软件却可以在后台运行。在杀毒时你还可以运行其它程序,笔者现在就是一边用Word写文章,一边在后台用“瑞星杀毒软件”杀毒的!
安装了Win2000杀毒软件例如“瑞星”后,要杀毒时,只要鼠标右键点击盘符,在弹出的菜单中选择“瑞星杀毒”,就会进行杀毒。杀毒前最好点“高级设置”进行设置:选中查压缩文件、仅查程序文件、查杀未知宏病毒。为了防止杀毒软件安装在硬盘上将来本身染上病毒,可以把它们安装在C盘上(主引导分区,NTFS格式),因为只有在NTFS格式的C盘上,Win2000才能对目录进行安全保护。
下面我们对杀毒软件所在目录进行写保护,拒绝任何写操作来防止杀毒软件本身染毒:鼠标右键点击杀毒软件目录,弹出菜单,选“属性”,在属性的常规窗口下选中“只读”,按“应用”后,在弹出的窗口中选择“将更改应用于该文件夹、子文件夹和文件”,把该目录定义为只读;然后进入属性的安全界面,在“拒绝”、“写入”上打勾,最后按“应用”退出。
二、如何选择反毒软件
面对众多的反毒软件,如何选择优秀的产品?选择反毒产品应该遵循以下原则:
1.能查杀病毒的数量要多,安全可靠性要强
Internet的发展使病毒的传播更加迅速,导致病毒的全球化。杀毒软件所能查杀的病毒数量、查毒率应该是反病毒产品性能的重要指标。除了能查杀的病毒足够多外,还应要求反病毒产品在杀毒时不破坏文件,运行可靠,杀毒时不出死机现象,既安全又可靠。
2.要有实时反病毒的“防火墙”技术
要求反病毒产品具有这种技术。实时防毒技术就是时刻监视系统状况,对病毒传播的各种途径如软盘、光盘、网络、网络驱动器等进行严密的封锁,将病毒阻止在操作系统之外,这种技术应直接在操作系统底层打上反病毒补丁,使操作系统本身具备反病毒功能。采用这种技术要保证与操作系统、应用程序等“和睦相处”,还要注意由于实时部分需常驻内存而带来的系统效率问题,要使实时部分内存占有量尽可能小。
3.内存占有量要低
现代的杀毒软件必须具备防火墙技术,要提供实时监控软件常驻内存,既然常驻内存,就要消耗系统资源,这就要求杀毒软件体积越小越好,特别是实时监控软件内存占有量要低,否则会影响系统的运行。
4.要能够查杀压缩文件中的病毒
为了减少传输时间,因特网上的文件大都是压缩过的。压缩文件中的数据与原来的大不相同,隐藏在压缩包文件中的病毒代码由于被压缩,同样也“面目全非”。有压缩文件反病毒功能的杀毒软件,应该掌握所有通用压缩格式的压缩算法,深入分析压缩文件的数据内容,查杀其中的病毒;还要掌握自解压文件(后缀为EXE的压缩文件)的算法,能展开自解压文件,分析其中的每个文件,清除病毒。
5.恢复数据能力要强
一旦病毒发作,杀毒软件应能提供应急恢复功能,修复被破坏的硬盘分区表,然后恢复分区上数据。
4、WSH 的定义
WSH是“Windows Scripting Host”的缩略形式,其通用的中文译名为“Windows 脚本宿主”。对于这个较为抽象的名词,我们可以先作这样一个笼统的理解:它是内嵌于 Windows 操作系统中的脚本语言工作环境。
Windows Scripting Host 这个概念最早出现于 Windows 98 操作系统。大家一定还记得 MS-Dos 下的批处理命令,它曾有效地简化了我们的工作、带给我们方便,这一点就有点类似于如今大行其道的脚本语言。但就算我们把批处理命令看成是一种脚本语言,那它也是 98 版之前的 Windows 操作系统所唯一支持的“脚本语言”。而此后随着各种真正的脚本语言不断出现,批处理命令显然就有点力不从心了。面临这一危机,微软在研发 Windows 98 时,为了实现多类脚本文件在 Windows 界面或 Dos 命令提示符下的直接运行,就在系统内植入了一个基于 32 位 Windows 平台、并于语言的脚本运行环境,并将其命名为“Windows Scripting Host”。WSH 架构于 ActiveX 之上,通过充当 ActiveX 的脚本引擎控制器,WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。
再具体一点描述:你自己编写了一个脚本文件,如后缀为 .vbs 或 .js 的文件,然后在 Windows 下双击并执行它,这时,系统就会自动调用一个适当的程序来对它进行解释并执行,而这个程序,就是 Windows Scripting Host,程序执行文件名为 Wscript.exe (若是在命令行下,则为 Cscript.exe)。
WSH 诞生后,在 Windows 系列产品中很快得到了推广。除 Windows 98 外,微软在 Internet Information Server 4.0、Windows Me、Windows 2000 Server,以及 Windows 2000 Professional 等产品中都嵌入了 WSH。现在,早期的 Windows 95 也可单独安装相应版本的 WSH。
5、网页恶意代码的预防
1、要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入 ,否则往往不经易间就会误入网页代码的圈套。
2、当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。
3 、因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
4、而对于使用Windows98的计算机用户,请打开 C:\\WINDOWS\\JAVA\\Packages\\CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于使用Windows Me的计算机用户,请打开C:\\WINDOWS\\JAVA\\Packages\\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。
5、一定要在计算机上安装网络防火墙,并要时刻打开“实时监控功能”。
6、虽然经过上述的工作修改回了标题和默认连接首页,但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点:
打开IE属性,点击“工具”→ “Internet选项 ”→“安全”→“受限站点”,一定要将“安全级别”定为“高”,再点击“站点”,在“将Web站点添加到区域中”添加自己不想去的网站网址,再点击“添加”,然后点击“应用”和“确定”即可正常浏览网页了。
7、设置注册表编辑器中的相关项值:
(1)运行打开注册表编辑器命令regedit.exe进入注册表;
(2)在HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System下,增加名为DisableRegistryTools的DWORD值项,将其值改为“1”,即可禁止使用注册表编辑器命令regedit.exe。
因为特殊原因需要修改注册表,可应用如下解锁方法:
用记事本编辑一个任意名的.reg文件,其中的内容如下:
REGEDIT4
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
"DisableRegistryTools"=dword:00000000
双击运行recover.reg即可。
6、浏览过一些网站,为什么IE被修改了?
网络安全问题一向被人们所看重,随着网络的不断发展,众多的攻击手法层出不穷,现在就连普通的浏览网页也存在着不安全的因素。多人可能不能理解,浏览网页有什么不安全的?实际上浏览网页时存在的安全隐患并不小,轻则使系统混乱,重则暴露自己的隐私,甚至使硬盘上的数据遭到破坏。
大家都知道,网页实际上是由若干句超文本语句构成的,这些语句一般不会构成安全“威胁”,但javascript脚本语言可以完成一些较简单的程序,另外在网页上还可以插入Java等功能强大的语言来进行编程。人们可以使用这些语言来进行编程使网页能完成一些工作,当然一些居心不良的人也会使用它们来搞破坏。
利用网页对浏览用户进行攻击一般有一下的几种手法:
1、只要稍微懂一点javascript语言的人,都可以很轻松地编写一个死循环程序,让电脑不断地打开浏览器窗口,占用大部分的系统资源,使电脑反应缓慢甚至死机。这种攻击一旦出现,新浏览器窗口就会一个接一个地出现,让人来不及去关掉一个个的窗口。但我们可以使用一些系统任务管理软件WinTasks2000来解决,在WinTasks2000中只会出现一个浏览器任务,只需关掉它即可。
2、ActiveX控件在网页中的应用也比较广泛,通过对ActiveX的调用,或者是利用系统漏洞,就可以对硬盘上的文件进行访问,其中包括对文件的读取与改写,这样就有可能暴露用户的隐私,另外利用这一点对硬盘进行格式化已经不是新闻了。通过这些代码,可以调用硬盘上的“format.com”或“deltree.exe”等文件来对硬盘进行格式化或删除文件,并且这一切都是比较隐蔽的。当你浏览某个网站时,它提示你“系统即将进行网络优化,是?否?”,当你点击“是”后,你的恶梦就开始了,可能数分钟后,你硬盘上的一些数据就烟消云散了。所以大家在上网时对于一些选择性的提示一定要留意,另外可以将“format.exe”和“deltree.exe”等有可能对文件数据造成破坏的程序改名,这样除了可以防止网页上的恶意代码对用户造成损坏,同样也可以避免一些宏病毒发作时造成的破坏。
3、最近网上“流行”一种修改IE浏览器标题栏的做法,这同样也是利用ActiveX代码来完成的。这种“攻击”所造成的破坏并不大,但将IE的标题栏改来改去总让人感觉上不太舒服。(编者注:具体的解决方法参见这里。)
4、同样是利用ActiveX,还有一种更加高级的手法就是修改注册表。虽然上面介绍的那种修改IE标题栏的方法也是通过修改注册表完成的,但有些网页对注册表是大改特改,可以让你的Windows变个模样。我曾在网上看到过一个网页链接,据说是进入这个网页就能让你的Windows竖着进而横着出,可见对注册表的修改程度不一般。在网页代码所引起的安全隐患中,有许多都是通过ActiveX来完成的,因此,我们可以关闭ActiveX来避免受到这些骚扰。在IE的“安全设置”中,关于ActiveX的设置选项中有“禁用”、“启用”、“提示”这几种,也许你想设置为“提示”可以有选择地ActiveX的运行,但ActiveX在设置为“提示”的状态下仍有可能直接运行,这就和设置成“启用”没两样。所以大家还是设置为“禁用”的好,虽然这会使一些正常的ActiveX控件无法正常运行,但毕竟现在网上的黑手太多,恶意的ActiveX比善意的多。
以上就是浏览网页时所常见的几种攻击方法。除了关闭相应的设置项目外,大家在上网浏览时也要控制自己的好奇心,不要一看见巧语妙言就往里钻,钻进陷阱里可别叫我救你。
7、查看“源文件”菜单被禁用
在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。
恶意网页修改了注册表,具体的位置为:
在注册表
HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:
“NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions
下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。
通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。
解决办法:
将以下内容另存为后缀名为.reg的注册表文件,比如说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
8、IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel
下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。
解决办法:
将“homepage”的键值改为“0”即可。
9、如何在注册表被锁定的情况下修复注册表
注册表被锁定这一招是比较恶毒的,它使普遍用户即使会简单修改注册表使其恢复的条件下,困难又多了一层。症状是在开始菜单中点击“运行”,在运行框中输入regedit命令时,注册表不能够使用,并发现系统提示你没有权限运行该程序,然后让你联系系统管理员。
这是由于注册表编辑器:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。
解决办法:
(1)可以自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]
"DisableRegistryTools"=dword:00000000
要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的工具图标,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。
10、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改了。具体说就是以下注册表项被修改:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。
11、恶意网页病毒十三大症状分析以及 简单的修复方法
一、对IE浏览器产生破坏的网页病毒:
(一).默认主页被修改
1.破坏特性:默认主页被自动改为某网站的网址。
2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开:HKEY_LOCAL_USER\\Software\\Microsoft\\Internet Explorer\\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度:一般
(二).默认首页被修改
1.破坏特性:默认首页被自动改为某网站的网址。
2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\\Software\\Microsoft\\Internet Explorer\\Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度:一般
(三).默认的微软主页被修改
1.破坏特性:默认微软主页被自动改为某网站的网址。
2.表现形式:默认微软主页被篡改。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Main 分支,找到Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]
"default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
危害程度:一般
(四).主页设置被屏蔽锁定,且设置选项无效不可更改
1.破坏特性:主页设置被禁用。
2.表现形式:主页地址栏变灰色被屏蔽。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel]
"HomePage"=dword:00000000
危害程度:轻度
(五).默认的IE搜索引擎被修改
1.破坏特性:将IE的默认微软搜索引擎更改。
2.表现形式:搜索引擎被篡改。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search分支,找到“SearchAssistant”键值名,在右面窗口点击“修改”,即可对其键值进行输入为: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,然后再找到“CustomizeSearch”键值名,将其键值修改为: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
危害程度:一般
(六).IE标题栏被添加非法信息
1.破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。
2.表现形式:在IE顶端蓝色标题栏上多出了什么“正点网,即使正点网! http://www.zhengdian.com "尾巴。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新。
第二,按如下顺序依次打开:HKEY_CURRENT_MACHINE\\Software\\Microsoft\\InternetExplorer\\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]
"Window Title"="Microsoft Internet Explorer"
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]
"Window Title"="Microsoft Internet Explorer"
危害程度:一般
(七).OE标题栏被添加非法信息破坏特性:
破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。
清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\\Software\\Microsoft\\Outlook Express分支,找到WindowTitle以及Store Root键值名,将其键值均设为空。按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Microsoft\\Outlook Express]
"WindowTitle"=""
"Store Root"=""
危害程度:一般
(八).鼠标右键菜单被添加非法网站链接:
1.破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。
2.表现形式:添加“网址之家”等诸如此类的链接信息。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\MenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效。
4.危害程度:一般
(九).鼠标右键弹出菜单功能被禁用失常:
1.破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
2.表现形式:在IE中点击右键毫无反应。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions分支,找到“NoBrowserContextMenu”键值名,将其键值设为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions]
"NoBrowserContextMenu"=dword:00000000
危害程度:轻度
(十).IE收藏夹被强行添加非法网站的地址链接
破坏特性:通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息。
表现形式:躲藏在收藏夹下。
清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。
危害程度:一般
(十一).在IE工具栏非法添加按钮
破坏特性:工具栏处添加非法按钮。
表现形式:有按钮图标。
清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可。
危害程度:一般
(十二).锁定地址栏的下拉菜单及其添加文字信息
破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。
表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。
清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Toolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键值设为“链接”,多余的字符一律去掉,按F5键刷新生效。
危害程度:轻度
(十三).IE菜单“查看”下的“源文件”项被禁用
破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。
表现形式:“源文件”项不可用。
清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
按如下顺序依次打开:HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions]
"NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions]
"NoViewSource"=dword:00000000
危害程度:轻度
12、IE浏览器自动连接某网址的亲身解决经历!
因为近来发现很多朋友都在论坛上发表一些类似的问题,所以特别整理里一点这方面的方法供大家参考!
在此首先要感谢以下朋友的提点——魔法学徒 电脑+足球 endurer 风之咏者 刺客刺客
最近和QQ的好友聊天中,收到奇怪的消息:
[你好啊 {自己的QQ名},这两天我忙着别的事情没怎么上网,今天一上网朋友传给我一段QQ视频,一看那人的QQ昵称跟你的一样,也叫 {自己的QQ名},不会是你吧?表演得也太露骨了一点吧?希望不是你。你看看吧!
点下面地址可以下载http://***chinav32.51.net/123.exe]
出于好奇点开一了网址,下载了一个小程序,并点击运行!结果打开IE总是自动连接到一个网址,十分可恶!虽然只是一个搜索引擎,但还是不舒服,所以决定修改。但这个问题在尝试了修改IE属性、优化大师、上网助手、注册表等依然不能解决~~~~~~~~~~~~
凭借多年和恶意程序和病毒攻击斗争后得到的经验,我判定肯定是恶意程序在启动中加载了自己,并很好的隐藏了源文件,导致系统不断加载,反复诱导IE连接目标网站并强迫QQ发给其他好友上面的消息。
在检查启动项后果然发现多出一个[系统盘符]:\\WINDOWS\\system\askmgr.exe这样的一个自启动项(本人经常整理启动项,自己的启动项都很清楚,所以可以很快分析出这项有问题,请大家平时也要注意这方面)
马上删除该项,并打开任务管理器(XP系统)结束该进程,结果发现任务管理器被关闭,连试几次发现有两个同名进程,其中一个结束后IE不在自动连接恢复空白页!仔细考虑后,觉得恶意程序有可能伪装成系统进程,所以在系统盘中搜索了一下,找到后发现路径是系统盘符]:\\WINDOWS\\system32\askmgr.exe。怎么不是启动的路径?还是谨慎一点,检查该程序的属性,发现该程序有版本、兼容性内容(注意!这是分辨病毒与真正系统文件的一个方法,虽然不是100%准确也可做到防止你误删除.EXE文件)。点击打开发现真的是任务管理器(本人也是菜鸟,所以对系统文件不是很熟),好这么说肯定是\\WINDOWS\\system这个文件夹下的那个冒牌货搞的鬼,删!
兴冲冲找到这个文件夹,结果发现根本没有这个文件!别急,打开隐藏文件,再看看。还是没有?这下我可慌了,难道判断失误?正在疑惑中忽然论坛的朋友说就是它删了就好了,我马上想到了98下可以看到一个文件夹可XP下看不到(这个文件夹是XP系统备份所用,出于安全考虑在XP系统下隐藏了,即使打开显示的隐藏功能也看不到),是不是利用了这一点?马上重新启动到98下,哈!果然是这样!!!(XP安全模式也可)删除,回到XP,解决了~~~~~~~~~~~~~~~~~~~~~
在此总结了一下,在当前各种广告拦截软件盛行的时代,为自己的网站做个宣传已经很难了,只好搞一些恶意的程序来修改IE。不过面对上网的菜鸟军团实力的增加和杀毒软件及辅助优化软件的的崛起,普通的方法已经不能达到目的,所以恶意程序的编程者开始利用以下几点:
1.网络诱惑 用QQ来传播一些有诱惑力的文字,利用大家的好奇心去钓大家上钩,从而中招
2.深层攻击 从最早的修改IE主页、修改标题栏到锁定IE选项、锁定右键菜单再到锁定注册表,恶意程序可谓用心良苦。但在我们这些菜鸟通过网络联合起来,并得到大虾的帮助后,它们只好使用更深层的攻击——隐藏自己并自启动
3.间谍伪装 简单的隐藏也不能保护自己的时候,就想到了伪装,如自然界中的保护色一样!利用大多数我这样有一定经验,却不熟悉系统文件的菜鸟不敢碰触系统文件的心理,把自己伪装成和正常系统同名的文件,即使你注意了也不会怀疑,即使你怀疑了也不敢动,即使你想动它也很难找到!真可谓是道高一尺魔高一丈啊!
4.也许恶意程序源文件不尽相同,但多是以上的手段,有类似问题可自己试着套用,要多动脑子啊
本人是个老菜鸟了,看看我的注册日期,已经用瑞星三年了!从当初的小菜到今天的老菜,啊哈哈~~~~~~~~~~~~~以上是一点个人的经历和见解,望大虾们不要笑话,菜鸟们能从中得到帮助!有问题来这里,大家一起想办法,问题总会解决!
13防范恶意网页: 深度解析注册表修复不成功的原因
道高一尺,魔高一丈,恶意网页的卑鄙手段可谓是“推陈出新”啊。用一些简单的注册表修复方法后,已经不能完全解决问题了。如果你的注册表在恢复后又回到了被修改的老样子,不妨看看是否是以下原因引起的呢?
1.修改注册表禁止命令形式的修改,目的是不让用户通过注册表修复回去。
最通常的修改是锁住注册表,还有破坏关联:比如.reg,.vbs,.inf等。
关于解锁注册表,在前面已经介绍了方法,至于被修改关联,只要我前面说的注册表修改的方法里的关联还 能用,就可以用其中的任意一个,但如果.reg,.vbs,.inf都被修改了,怎么办啊?,也不用怕,把 .exe 后缀改为.com后缀,我一样可以编辑注册表,.com也被改了,怎么办?没那么狠吧,行,我再改后缀为.scr 。嘿嘿,一样还可以修改。
最好的最简单的办法,马上重新启动,按F8进入DOS下,敲入SCANREG/RESTORE,选择以前的正常时的注册表 还原就可以,注意了,一定要选择没被修改时的注册表!如果发现连scanreg都被删除了(一些网站就是这么 狠的,用A盘COPY一个scanreg.exe到COMMAN下即可。
有必要在这里说说常见的文件关联的默认值
正常的exe关联为[HKEY_CLASSES_ROOT\\exefile\\shell\\opencommand]
默认的键值为:"%1 %*" 将此关联改回去即可使用exe文件
2.修改注册表后留后门,目的让你修改注册表好像成功,重新启动后又恢复到被修改的状态。
这主要是在启动项里留了后门,大家可以打开注册表到(也可以用一些工具比如优化大师等来察看)
HKCUSoftware\\Microsoft\\Windows\\CurrentVersion\\Run
HKCUSoftware\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKCUSoftware\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKCUSoftware\\Microsoft\\Windows\\CurrentVersion\\Run-
看看有没有可疑的启动项目,这一点最多朋友忽略,哪些启动可疑呢?
我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的,最好都去掉,还有有.vbs后缀的 启动项也去掉,还有一个很重要的,如果有这一个启动项,出现有类似键值的,比如:
system 键值是regedit -s c:\\windows……请注意,这个regedit -s 是注册表的一个后门参数,是用来导 入注册表的,这样的选项一定要去掉
还有一类修改会在c:\\windows产生.vbs后缀的文件,或是.dll文件,其实.dll文件实际是.reg文件(乔装成DLL文件的恶意网页病毒)
此时你要看看c:\\windows\\win.ini文件,看看load=,run=,这两个选项后面应该是空的,如果有其他程序 修改load=,run=,将=后面程序删除,删除前看看路径和文件名,删除后在到system下删除对应的文件
还有一种方法,大家如果屡次修改重启又恢复回去,可以搜索C盘下所有的.vbs文件,可能有隐藏的,用记 事本打开,看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉,你可以按中恶意网页的病毒的 时间来搜索文件:)
下面的这个漏洞大家非常值得注意,很多朋友说,你说的方法我都试了,启动项里绝对没有什么可疑的,也没有什么vbs文件,呵呵,大家在启动IE时还有一个陷阱,就是IE主界面的工具的菜单里的广告,一定要去 掉,因为这些会在你启动IE时启动,所以你修改完其他的先别着急打开IE窗口,否则白费力气,方法:打开注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Extensions看到广告就删,别留情!
一个很重要的问题,在中了恶意网页的陷阱后一定要先清空IE所有临时文件,切记!
说了那么多,那如何防御这类恶意网页呢?
一个一劳永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID删掉在注册表的路径为HKEY_CLASSES_ROOT\\CLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
记住,看清楚了再删除,千万别删错其他。删掉这个F935DC22-1CF0-11D0-ADB9-00C04FD58A0B对系统不会有影响的。
在IE的选单栏中选择“工具”→“Internet选项”,在弹出的对话框中切换到“安全”标签,选择“ Internet”后点击“自定义级别”按钮,在“安全设置”对话框中,把“ActiveX控件和插件”、“脚本” 中的相关选项全部选择“禁用”或“提示”即可。但如果选择了“禁用”,一些正常使用ActiveX和脚本的 网站可能无法完全显示。建议选择:提示。遇到警告时,看看该网站的原代码,如果发现有出现 Shl.RegWrite等的代码,就不要去了,如果是加密的原代码,不是自己熟悉的网站也不要去,如果连右键都用不了的,也要小心为好(看看原码有什么所谓啊,除非有什么好的JAVA或是恶意代码)
对于Windows98用户,请打开C:\\WINDOWS\\JAVA Packages\\ CVLV1NBB.ZIP,把其中的“ActiveXComponent.class删掉,对于WindowsMe用户,请打开C:\\WINDOWS\\JAVAPackages.NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉,这些删掉不会影响正常浏览网页
在Windows 2000/XP,可以通过禁用“远程注册表服务”来阻挡部分恶意脚本。具体方法是:在“控制面板”→“管理工具”→“服务”中右键单击“Remote Registry Service”,在弹出选单中选择“属性”,打开属性对话框,在“General”内将“Startup ype”设为“Disabled”。这样也可以拦截部分恶意脚本程序。
| 嘿嘿,不用IE。用其他浏览器也可以……大家在中了恶意网页的陷阱后,先不要立即重新启动计算机,到启动项里看看,有没有什么危险的启动项,比如deltree之类的。 |
| By observe 发表于 2006-6-28 0:35:48 |
昨天晚上发现,偶的浏览器被劫持了,准确的说是被恶意安装了流氓软件,即浏览器中毒了,不停的弹出广告,真烦! 今晚学了几招,干掉他!!!(发现居然是搜狗插件在作怪) 方法一 重新注册IE项,修复IE注册。从开始->运行 输入命令 regsvr32 actxprxy.dll 确定 输入命令 regsvr32 shdocvw.dll 确定 重新启动,下载反间谍专家查有没有ADWARE,spyware,木马等并用其IE修复功能修复IE和注册表,用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。 反间谍广告软件及流氓软件的清除工具(专杀工具): 1、反间谍专家:软件下载 能够通过扫描系统薄弱环节以及全面扫描硬盘,智能检测和查杀超过上万种木马、蠕虫、Adware、Spyware,如“SCO、五毒虫、网银大盗、MSN骗子、QQ尾巴病毒、寄生木马,冰河类文件关联木马,密码解霸,传奇、奇迹等游戏密码偷窃木马”等,终止它们的恶意行为,当检测到可疑文件时,反间谍专家还可以将其隔离,从而全面保护您的网络安全。 2、微软恶意软件清除工具:软件下载 Microsoft 发布的 Microsoft Windows 恶意软件清除工具,以帮助从运行 Microsoft Windows Server 2003、Microsoft Windows XP 或 Microsoft Windows 2000 的计算机中清除特定的流行恶意软件。该恶意软件清除工具将取代 Microsoft 以前发布的所有病毒清除工具。 3、流氓软件杀手:软件下载(偶用它搞定的) 全能助手系列工具新作-流氓软件杀手,目前可以清理:很棒小秘书、小蜜蜂、DUDU下载加速器、DMCast桌面传媒、博采网摘、NetFish网络钓鱼克星、CopySo拷贝搜、青娱乐、天下搜索、易趣购物、易趣工具条、完美网译通、虎翼DIY吧、T2BHO、开心运程速递插件、ISC广告插件、IE伴郎、CNNIC中文上网、MMSAssist、8848搜索助手、一搜划词搜索、阿里巴巴商务直通车、XPlus、网络猪、搜狗直通车......等58种插件。 4、WinPatrol V9.8:软件下载 WinPatrol能让你更好的知道你的电脑里面安装了什么程序,软件会监控你的电脑,会记录任何软件对系统的启动菜单作出的更改。也可以利用这个软件你清除特定的COOKIE。它也有类似于WINDOWS 2000和WINDOWS XP所带的任务管理器的功能,你可以从软件里面得知正在运行的程序的作用,并中止任何你不想要的程序的运行。
方法二 1、首先,我们在机器里新建一个用户名为text(这里任意的用户名都可以)。 2、注销Administrator用户。改用text用户进入系统。 3、点击“开始”—“运行”。键入regedit。可以打开注册表编辑器。 4、 找到以下路径:HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Internet Explorer。选中“Internet Explorer”。点击表单栏的“注册表”。导出注册表文件。 5、这时就把text用户下的IE设置给导出来了。因为text用户是新加入的。所以他的IE设置并没有被更改过。 6、现在我们切换回Administrator用户登录系统。 7、点击“打开”—“运行”。键入regedit。依然进入注册表编辑器。 8、点击表单栏的“注册表”,导入注册表。把刚才保存的那个注册表文件导入进去就可以了。 现在我们再打开IE。发现一切都已经恢复成系统默认的样子了。 经实验本方法非常实用。为了安全起见,大家还需要进行必要的杀毒等措施。
方法三 开机以后自己并没有打开IE,但是每隔一段时间就自己弹出一个页面,杀毒软件也查不到病毒 这样的问题应该有多人碰到过吧,其实这是因为系统没有打补丁,也就是没有升级,当我们浏览一些网站的时候,它会利用IE漏洞下载一个插件,看看怎么删除吧: 今天打开webuc.net的时候,总会自动弹出一个http://baby.aoe88.com/ad.html的广告窗口,很是奇怪,当时也没有留意,以为是宝玉找的域名商搞的鬼。后来再上别的网站的时候,那个该死的广告又弹出来了,这下我才发觉自己中毒了。 于是,马上运行Regedit.exe,切换到: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\BrowserHelperObjects 发现有三个BHO(说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块)的ID号: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader(用来处理PDF文件)的模块。 {3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知 {A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车(FlashGet)的模块。 复制未知模块的ID号,把键值切换到:HKEY_CLASSES_ROOT下,点编辑->查找,在查找项目(仅选择项)中输入{3E422F49-1566-40D3-B43D-077EF739AC32},将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,将其记录下来。 查找完后,只有一个DLL文件:Navihelper.dll,于是进入winnt\\system32下,找到该文件,查看其属性中并没有写明所属公司名称及版权,初步可以确定就是这个DLL捣的鬼。用UltraEdit打开此DLL,发现了一个\\host.dat的字符串,而且在winnt\\system32下,能找到host.dat,最可疑的是该文件在今天刚刚被修改! 用UltraEdit打开host.dat,http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首! 病毒原理分析:此Navihelper.dll使用BHO的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat(数据库:ThisfilecontainsanSQLite2.1database)中,根据数据库设置进行显示。 接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。 然后,开始--运行,输入:regsvr32 NaviHelper.dll -u 最后重新启动计算机,再到system32下删除NaviHelper.dll及Host.dat文件即可。 |
Copyright © 2019-2026 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
