|
 | 作者: ddy328 [ddy328]
 论坛用户 |
登录 |
| 我的朋友被网页恶意代码攻击,出现登陆页被锁死的状况,无论敲击任何网页都只有固定的某师范大学主页,小弟才疏学浅在注册表的main键置下没有发现异常。望各位大哥大姐帮忙。对了我朋友用的是XP |
| 地主 发表时间: 11/12 22:47 |
 | 回复: afan271314 [afan271314]  论坛用户 |
登录 |
|
恢复注册表 应该可以 |
| B1层 发表时间: 11/12 22:54 |
 | 回复: lan [lan]  论坛用户 |
登录 |
|
在注册表里有两个main呀,你看看另外一个呀。 |
| B2层 发表时间: 11/13 04:51 |
| 回复: ddy328 [ddy328] 论坛用户 |
登录 |
|
我也看过了,真的不知如何是好 |
| B3层 发表时间: 11/13 13:58 |
| 回复: lyq115 [lyq115]  论坛用户 |
登录 |
|
网页病毒的概念 1、什么是网页病毒? 它主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序,JavaScript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。 2、网页病毒的性质及特点: 这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。你一旦浏览含有该病毒的网页,即可以在你不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言,甚至损失惨重无法弥补。 网页病毒的种类 根据目前互联网上流行的常见网页病毒的作用对象及表现特征,归纳为以下两大种类: 一、通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器: 1.默认主页被修改; 2.默认首页被修改; 3.默认的微软主页被修改; 4.主页设置被屏蔽锁定,且设置选项无效不可改回; 5.默认的IE搜索引擎被修改; 6.IE标题栏被添加非法信息 7.OE标题栏被添加非法信息; 8.鼠标右键菜单被添加非法网站广告链接; 9.鼠标右键弹出菜单功能被禁用失常; 10.IE收藏夹被强行添加非法网站的地址链接; 11.在IE工具栏非法添加按钮; 12.锁定地址下拉菜单及其添加文字信息; 13.IE菜单“查看”下的“源文件”被禁用; 二、通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统: 1.开机出现对话框; 2.系统正常启动后,但IE被锁定网址自动调用打开; 3.格式化硬盘 4.暗藏“万花谷”蛤蟆病毒,全方位侵害封杀系统,最后导致瘫痪崩溃; 5.非法读取或盗取用户文件; 6.锁定禁用注册表; 7.注册表被锁定禁用之后,编辑*.reg注册表文件打开方式错乱; 8.时间前面加广告; 9.启动后首页被再次修改; 10.更改“我的电脑”下的一系列文件夹名称 网页病毒的清除方法 根据上述网页病毒的详细分类,我们现在来介绍逐一对症下药的清除方法: 一、对IE浏览器产生破坏的网页病毒: (一).默认主页被修改 1.破坏特性:默认主页被自动改为某网站的网址。 2.表现形式:浏览器的默认主页被自动设为如WWW.********.COM的网址。 3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按 下顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。 4.危害程度:一般 (二).默认首页被修改 1.破坏特性:默认首页被自动改为某网站的网址. 2.表现形式:浏览器的默认主页被自动设为如WWW.********.COM的网址。 3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按F5键刷新生效。 4.危害程度:一般 (三).默认的微软主页被修改 1.破坏特性:默认微软主页被自动改为某网站的网址. 2.表现形式:默认微软主页被篡改 3.清除方法: (1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为http://www.microsoft.com/windows/ie_intl/cn/start/即可。按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/" 4.危害程度:一般 (四).主页设置被屏蔽锁定,且设置选项无效不可更改 1.破坏特性:主页设置被禁用 2.表现形式:主页地址栏变灰色被屏蔽 3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值 为“00000000”,按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000000 4.危害程度:轻度 (五).默认的IE搜索引擎被修改 1.破坏特性:将IE的默认微软搜索引擎更改。 2.表现形式:搜索引擎被篡改。 3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到“SearchAssistant”键值名,在右面窗口点击“修改”,即可对其键值进行输入为:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm,然后再找到“CustomizeSearch”键值名,将其键值修改为:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm,按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search] "SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm" "CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm" 4.危害程度:一般 (六).IE标题栏被添加非法信息 1.破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。 2.表现形式:在IE顶端蓝色标题栏上多出了什么“正点网,即使正点网!http://www.zhengdian.com"尾巴。 3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新。 第二,按如下顺序依次打开:HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Window Title"="Microsoft Internet Explorer" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Window Title"="Microsoft Internet Explorer" 4.危害程度:一般 (七).OE标题栏被添加非法信息破坏特性: 破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息。 表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息 清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支,找到 WindowTitle以及Store Root键值名,将其键值均设为空。按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Outlook Express] "WindowTitle"="" "Store Root"="" 危害程度:一般 (八).鼠标右键菜单被添加非法网站链接: 1.破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。 2.表现形式:添加“网址之家”等诸如此类的链接信息。 3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效。 4.危害程度:一般 (九).鼠标右键弹出菜单功能被禁用失常: 1.破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。 2.表现形式:在IE中点击右键毫无反应。 3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到“NoBrowserContextMenu”键值名,将其键 值设为“00000000”,按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoBrowserContextMenu"=dword:00000000 4.危害程度:轻度 (十).IE收藏夹被强行添加非法网站的地址链接 破坏特性:通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息 表现形式:躲藏在收藏夹下 清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。 危害程度:一般 (十一).在IE工具栏非法添加按钮 破坏特性:工具栏处添加非法按钮 表现形式:有按钮图标 清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可。 危害程度:一般 (十二).锁定地址栏的下拉菜单及其添加文字信息 破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。 表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。 清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键 值设为“链接”,多余的字符一律去掉,按F5键刷新生效。 危害程度:轻度 (十三).IE菜单“查看”下的“源文件”项被禁用; 破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。 表现形式:“源文件”项不可用 清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为 “00000000”,按F5键刷新生效。 按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000 危害程度:轻度 二、对Window操作系统平台产生破坏的网页病毒: (一).开机出现对话框 破坏特性:修改注册表,在windows的登录窗口里做网站宣传广告。 表现形式:一开机就弹出对话提示框,什么”欢迎来访www.play.cn.gs"的信息 清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一, 按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon分支,找到“LegalNoticeCaption”及“LegalNoticeText”键值名,在右面窗口点击“修改”,将其键值均设为空。按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon] "LegalNoticeCaption"="" "LegalNoticeText"="" 危害程度:一般 (二).系统正常启动后,但IE被锁定网址自动调用打开 破坏特性:启动进入系统后,IE被自动调用,且要按照被锁定的网址访问该网站! 表现形式:IE自动被锁定网页打开 清除方法:网页恶意代码修改了你启动项设置,请按如下步骤修改:开始菜单->运行->Msconfig->确定,打开系统实用配置程序,点击“启动”标签,请仔细查找,凡是启用复选框的右边,有以超文本http://xxx.xxxxx.xxx的,请点击去掉复选框里的对勾,禁用此项,选择“应用“后,重新启动电脑即可消除。 危害程度:一般 (三).格式化硬盘 破坏特性:非法恶意调用系统危险命令,进行破坏。 表现形式:出现互动信息框“当前的页面含有不完全的ActiveX,可能会对你造成危害,是否执行?yes,no” 清除方法:只能预防为主,将本机的Format.com,或deltree.exe等危险命令改名,勿忘切记!如果你不明确你当前所进行的操作,不要贸然对莫名奇妙跳出来的互动窗口做出判断动作,可以用Ctrl+Alt+Del复合键,弹出“关闭程序”窗口,将你不能确认的进程给予“结束任务”,即可中止,让它消失。 危害程度:严重 (四).暗藏“万花谷”蛤蟆病毒,全方位侵害封杀系统,最后导致瘫痪崩溃 1.破坏特性:(1)用户不能正常使用WINDOWS的DOS功能程序 (2)用户不能正常退出WINDOWS (3)开始菜单上的"关闭系统"、"运行"等栏目被屏蔽,防止用户重新以DOS方式启动关闭DOS命令、关闭REGEDIT命令等 (4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址 2.表现形式:主要感染WIN95/98/2000操作系统,当你遇到有On888.xxx之类的网址,切勿点击。 一旦点击即可中招!屏幕上出现”欢迎来到万花谷!请与Qicq:933007青蛙联系。你中了蛤蟆病毒“。每当打开IE,即会出现上述信息。不仅如此,IE的标题栏被修改,用户隐藏盘符,隐藏桌面,开始菜单中的”运行“,”注销“,”关闭系统“按纽被消除禁用,MS-DOS被封杀,注册表被锁住,用复合键Alt+F4键关闭当前窗口也失效,直至最后无法正常关机!你看它的破坏力实在是多么可怕! 3.清除方法:(1)软件清除法:建议用瑞星等公司的最新升级杀毒软件,进行实时监控拦截。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 4.危害程度:非常严重 (五).非法读取或盗取用户文件 破坏特性:通过对ActiveX,JavaScript,WebBrowse control的调用来读取盗取本地文件 表现形式:无法预知 清除方法:关闭禁用JavaScript等 危害程度:严重 (六).锁定禁用注册表 破坏特性:禁止用户使用注册表编辑器 表现形式:用Regedit打开注册表编辑器时,弹出对话信息框:"注册表编辑已被管理员禁用" 清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System分支下,将键值名为“DisableRegistryTools”的DWORD值,设其值为0。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 危害程度:轻度 (七). 注册表被锁定禁用之后,编辑*.reg注册表文件打开方式错乱 破坏特性:无法编辑注册表*.reg文件 表现形式:打开方式失效,文本编辑器里出现无法识别字符???真毒啊! 清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\CLASSES,将默认键值名的值设为:regfile (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_LOCAL_MACHINE\Software\CLASSES\.reg] @="regfile" 危害程度:轻度 (八).时间前面加广告 破坏特性:时间前面加广告 表现形式:时间消失被广告覆盖,比较少见 清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Control Panel\International分支,将"StimeFormat"键值名的值设为"hh:mm",按F5键刷新生效。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_CURRENT_USER\Control Panel\International] "StimeFormat"="hh:mm" 危害程度:轻度 (九).启动后首页被再次修改 1.破坏特性:首页被修改,改回后,等再次启动又会被再次改回该网站的首页。 2.表现形式:摆脱不掉的幽灵! 3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支,将win键值名删除即可;第二,凡是发现有直接http://xxx.xxx.xx形式的键值,一律删除;第三,在Run-分支下凡是发现有直接http://xxx.xxx.xx形式的键值,一律删除! 4.危害程度:轻度 (十).更改“我的电脑”下的一系列文件夹名称 1.破坏特性:更改“我的电脑”下的一系列文件夹名称 2.表现形式:打印机,控制面版,web文件夹,计划任务,拨号网络,回收站被改 3.清除方法:(1)手动修改注册表法:建议参照用下面的”自动文件导入注册表法“,这里不再说明。 (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。 REGEDIT4 [HKEY_CLASSES_ROOT\CLSID\{BDEADF00-C265-11d0-BCED-00A0C90AB50F}] @="Web 文件夹" "InfoTip"="您可以创建快捷方式,使它们指向您公司Intranet 或万维网上的 Web 文件夹。要将文档发布到 Web文件夹中或要管理文件夹中的文件,请单击该文件夹的快捷方式。" [HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}] @="拨号网络" "InfoTip"="即使计算机不在网络上,仍可以使用拨号网络来访问另一计算机上的共享信息。 要使用共享资源,拨入的计算机必须设为网络服务器。" [HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}] @="打印机" "InfoTip"="使用打印机文件夹添加并安装本地或网络打印机,或更改现有打印机的设置。" [HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}] @="回收站" "InfoTip"="包含可以恢复或永久删除的已删除项目。" [HKEY_CLASSES_ROOT\CLSID\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}] @="计划任务" "InfoTip"="使用“任务计划”安排重复的任务,如磁盘碎片整理或例程报告等在您最方便的时候运行。“任务计划”每次在启动 Windows时启动并在后台运行,因此例程任务不会影响您的工作。" [HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}] @="控制面版" "InfoTip"="使用“控制面板”个性化您的计算机。例如,您可以指定桌面的显示(“显示”图标)、事件的声音(“声音”图标)、音频音量的大小(“多媒体”图标)和其它内容。" 4.危害程度:严重 |
| B4层 发表时间: 11/13 15:09 |
| 回复: lan [lan] 论坛用户 |
登录 |
|
楼上,好强啊 |
| B5层 发表时间: 11/13 16:02 |
| 回复: feng_1185 [feng_1185]  论坛用户 |
登录 |
|
是挺厉害,佩服~~~ |
| B6层 发表时间: 11/13 17:19 |
 | 回复: yct168 [yct168] 论坛用户 |
登录 |
|
我顶 |
| B7层 发表时间: 11/13 20:25 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: ie浏览器问题!看一下啊!