Windows 恶意代码解决办法(转)

Windows 恶意代码解决办法(转)[@more@]

　　浏览过含有恶意代码的网页后，你的计算机可能会中招，计算机启动后自动打开一连串的网页，并限制对主页属性窗口的修改等。要杜绝恶意网页代码，我们需要怎么做，正面慢慢道来～～

　　中招后的补救措施　

　　1、解开被禁用的注册表

　　执行软盘中的“unlockreg.reg”文件，此文件是用记事本建立一个以REG为后缀名的文件，文件名可自定义，内容如下：

　　REGEDIT4

　　空一行[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] "

　　DisableRegistryTools"=dword:00000000

　　要注意的是，在“REGEDIT4”一定要大写(如果你是Windows 2000或Windows XP用户，请将“REGEDIT4”写为“Windows Registry Editor Version 5.00)”，且后面要空一行，并且“REGEDIT4”中“T”和“4”之间一定不能有空格，否则……

　　注册表解开了，下面就要对症下药，对注册表进行修改了。

　　2、解决IE属性主页不能修改

　　打开注册表，展开注册表到HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下，将“homepage”的键值由原来的“1”修改为“0”即可，或干脆将“Control Panel”删除就可以了!

　　3、修改IE的标题栏

　　HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain 和HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain在注册表中找到以上两处主键，将其下的“Window Title”主键值更改为“Microsoft InternetExplorer”即可。

　　4、IE默认连接首页被修改

　　被更改的注册表项目为：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page将键值修改为自己喜欢的网址即可。

　　5、删除自运行程序

　　打开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVesion”及“HKEY_LOCALMA CHINESoftwareMicrosoftWindowsCurrentVersion”，在其下的RUN文件夹中，有许多Windows启动时便开始运行的程序，但是在菜单“开始/程序/启动”中却找不到。把自运行程序删除就可以了。

　　6、右键菜单中的网页广告

　　将注册表展开到HKEY_CURRENT_ USERSoftwareMicrosoftInternet ExplorerMenuExt，在IE中显示的附加右键菜单都在这里设置，常见的“网络蚂蚁”和“网际快车”点击右键下载的信息也存放在这里，只需找到显示广告的主键条目删除即可。

　　7、启动时的提示窗口

　　这个设置其实与IE无关，而是Windows的登录提示窗口，不过最近有些网页对它动上了脑筋，在这个窗口里做广告。　　

　　受到更改的注册表项目为：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon在其下被建立了字符串“LegalNotice-Caption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。这就使得我们每次登录到Windows桌面前都出现一个提示窗口，显示那些网页的广告信息。

　　8、恢复“运行”选项

　　在注册表中展开至HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右侧栏中将“NoRun”的键值由“1”修改为“0”即可，或者将“NoRun”删除也可。

　　9. IE浏览器的鼠标右键被禁用

　　其症状即为打开任意一个网页，单击鼠标右键都无法弹出菜单选项。这给许多经常上网的朋友造成了很多不便。和上面一样，打开注册表编辑器，定位到：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions,在该子项下有一个dword值为1的"NoBrowserContextMenu"值项，删掉它即可。

　　10. 桌面上的图标全部消失

　　如果当您打开电脑，发现自己的桌面上居然空空如也，一个图标都不见了，您会作何感想？不用说，这十有八九又是"上网惹得祸"。如果您想恢复，请把注册表定位到：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，找到"NoDesktop"值项，右键单击之，选择"修改"（或者干脆删除也可以），把它的值改为0，重新启动电脑即可。

　　11. IE工具栏（菜单）被添加网站链接

　　大家都知道，我们常用的软件如Flashget、ICQ等在安装后，会向IE的工具栏（菜单）中添加它们的快捷方式。现在有些网站也通过恶意脚本修改注册表来达到同样的效果。下面就让我们来解决这个问题，请把注册表定位到：HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions，您会看到在该主键下有一些形同"{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"的子键，仔细查看一下您就会明白，这些子键就是解决问题的关键所在，现在您只需将包含恶意网站链接的那个子键删除即可。另外，如果在HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

　　ExtensionsCmdMapping下有和您删除的形同{X......X}一样键值的值项，也请将它删除。完成后关闭注册表编辑器，重新打开一个IE窗口，看看工具栏（菜单）是不是已经恢复了？其实利用这个特性我们还可以DIY一个属于自己的个性工具栏，具体的做法您可以在我的网站的注册表进阶栏目中找到。

　　12、IE右下角那个地球的旁边被添加广告！很难遇到，但遇到了你就应该知道怎样去掉！

　　找到[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones3]下的DisplayName键，将其内容修改掉就可以了。

　　13、IE浏览器里面的链接被改成站点广告

　　IE浏览器里面的链接被改成站点广告，修改方法：在注册表中找到[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbar]下的LinksFolderName键，将其内容改回为“链接”即可。　　

　　14、禁止下载

　　在注册表中找到HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones31803，将其键值由3改为0即可（键值为3即禁止下载,为0是允许下载）

　　以上仅仅是你在中招后的对策，要防止下次再中同样的招，你可以在IE中做一些设置以便永远不进入该站点：打开IE，点击“工具→Internet选项→内容→分级审查”，点击[启用]按钮，会调出“分级审查”对话框，然后点击“许可站点”标签，输入不想去的网站网址，按[从不]按钮，再点击[确定]即大功告成！

　　未中招的也要加强防范

　　上面的解决方法乃下策，要想不发生类似的情况，上策是加强预防，对于预防的方法笔者提如下几点建议：

　　1、要避免中招，关键是不要轻易去一些自己并不了解的站点，特别是那些看上去美丽诱人的网址更不要贸然前往，否则吃亏的往往是你。

　　2、由于该类网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是：在IE窗口中点击“工具→Internet选项”，在弹出的对话框中选择“安全”标签，再点击［自定义级别］按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。有利就有弊，你还是自己看着办吧。

　　3、建议安装带Script Blocking功能的杀毒软件，如Norton AntiVirus 2002 V8.0、Kaspersky等，它将对此类恶作剧进行监控，并予以拦截。

　　4、既然这类网页是通过修改注册表来破坏我们的系统，那么我们可以事先把注册表加锁：禁止修改注册表，这样就可以达到预防的目的。不过，自己要使用注册表编辑器Regedit.exe该怎么办呢？因此我们还要在此前事先准备一把“钥匙”，以便打开这把“锁”！

　　加锁方法如下：

　　展开注册表到

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，新建一个名为DisableRegistryTools的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑器Regedit.exe。

　　5、对Windows 2000/XP用户，还可以通过在服务里面的远程注册表操作服务“Remote Registry Service”禁用，来对付该类网页。具体方法是：点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”，将这一项禁用即可。

　　6、升级你的IE为6.0版本，可以有效防范上面这些症状。

　　7、下载微软最新的Microsoft Windows Script 5.6，可以预防上面所说的现象，更可预防目前流行的、可恶的混客绝情炸弹。

　　8、对于有些网站还会在打开网页的时候自动安装插件或下载文件，一定要看清楚，不要随便点确定。有时即使你不确定也会中招的。如当前很流行的QQ病毒就是这样传播的。对于这类情况可通过http://down.ddvip.com/list/401.html中提供的流行病毒专杀工具来解决问题。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10752043/viewspace-945849/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/10752043/viewspace-945849/