上網(wǎng)瀏覽一“積分網(wǎng)頁”后,每次打開瀏覽器都會自動登錄到這個網(wǎng)頁,并且每當(dāng)進(jìn)入別的網(wǎng)址時總是在IE的標(biāo)題欄中先出現(xiàn)此網(wǎng)頁的地址,然后才顯示正在登錄的網(wǎng)頁地址提示信息,原本認(rèn)為是惡意代碼修改了IE瀏覽器中的主頁地址,可沒想到的是,當(dāng)打開“工具欄”時卻發(fā)現(xiàn)“Internet選項”不見了,情急之下想打開注冊表看個究竟,當(dāng)在“開始”菜單的“運行”中輸入“regedit”,運行后卻跳出一個“管理器已被管理員禁止”的對話框。
看來此惡意的代碼的主要意圖就是,每當(dāng)你開機(jī)后,瀏覽器自動登錄到其主頁上,為防止用戶自行修改主頁地址,把“Internet選項”給屏蔽了,但更高明的是,為了防止用戶在注冊表中進(jìn)行修改干脆把注冊表也給禁止了。我當(dāng)時的感覺是“賊進(jìn)了我的屋,反把我鎖在了門外!”看來當(dāng)前最迫切的是想辦法打開注冊表,然后恢復(fù)“Internet選項”及修改“WinTitle”。當(dāng)然了,如果你不嫌費事,把機(jī)器格式化,然后重裝系統(tǒng)也是個辦法。
重新打開注冊表關(guān)鍵是如何把注冊表中的“HKEY_USERS\DEFAULT\Software\
Microsoft\Windows\CurrentVersion\Policies\System”中的一個鍵名叫“DisableRegistryTools”的十六進(jìn)制的值由1改為0,1為禁止,0為允許。萬幸的是,惡意代碼并沒有禁止系統(tǒng)對.reg文件的允許,筆者用Windows中的記事本做了一個打開注冊表的鑰匙:
REGEDIT4[HKEY_USERS\.DEFAULT\
Software\Microsoft\Windows\CurrentVersion\Policies\system"DisableRegistryTools"=dword:00000000]
最后存盤為enable.reg。注意:文件擴(kuò)展名一定要用.reg,這是注冊表默認(rèn)的擴(kuò)展名。
不過,要記住這么長的鍵名也不是一件容易的事,最后的辦法是找一臺別的機(jī)器,運行“regedit”,找到“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System”主鍵,在右邊的窗口中創(chuàng)建一個DOWRD值“DisableRegistryTools”,這時默認(rèn)值為“0”,即允許使用注冊表編輯器。可利用注冊表的“導(dǎo)出注冊表文件”功能,將當(dāng)前分支導(dǎo)出到某一特定目錄,命名為enable.reg存盤。
鑰匙做好了,在機(jī)器上運行,選擇“是”,這樣注冊表就可以用regedit打開和修改了,接下來是:
1、恢復(fù)Internet選項
在“HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Policies\Explorer”下在右邊的窗口中找到一個二進(jìn)制值“NoFolderOptions”,并設(shè)值為“00 00 00 00”。
2、刪除開機(jī)后自動登錄的網(wǎng)址
在“HKEY_LOCAL_MACHINE\Soft-
ware\Microsoft\Windows\CurrentVersion\
Run”下修改“QWW”主鍵及惡意代碼的網(wǎng)址。
3、刪除標(biāo)題欄中的網(wǎng)址提示
在“HKEY_LOCAL_MACHINE\Soft-
ware\Microsoft\InternetExplore\Main\”下修改“Window Title”主鍵。
至此,機(jī)器恢復(fù)正常。綜上分析,惡意代碼往往是通過對注冊表的修改來達(dá)到其目的,所以經(jīng)常上網(wǎng)的用戶應(yīng)該對注冊表有一定的了解,并且對注冊表做必要的備份,發(fā)現(xiàn)問題及時解決。