上網(wǎng)瀏覽一“積分網(wǎng)頁”后,每次打開瀏覽器都會(huì)自動(dòng)登錄到這個(gè)網(wǎng)頁,并且每當(dāng)進(jìn)入別的網(wǎng)址時(shí)總是在IE的標(biāo)題欄中先出現(xiàn)此網(wǎng)頁的地址,然后才顯示正在登錄的網(wǎng)頁地址提示信息,原本認(rèn)為是惡意代碼修改了IE瀏覽器中的主頁地址,可沒想到的是,當(dāng)打開“工具欄”時(shí)卻發(fā)現(xiàn)“Internet選項(xiàng)”不見了,情急之下想打開注冊(cè)表看個(gè)究竟,當(dāng)在“開始”菜單的“運(yùn)行”中輸入“regedit”,運(yùn)行后卻跳出一個(gè)“管理器已被管理員禁止”的對(duì)話框。
看來此惡意的代碼的主要意圖就是,每當(dāng)你開機(jī)后,瀏覽器自動(dòng)登錄到其主頁上,為防止用戶自行修改主頁地址,把“Internet選項(xiàng)”給屏蔽了,但更高明的是,為了防止用戶在注冊(cè)表中進(jìn)行修改干脆把注冊(cè)表也給禁止了。我當(dāng)時(shí)的感覺是“賊進(jìn)了我的屋,反把我鎖在了門外!”看來當(dāng)前最迫切的是想辦法打開注冊(cè)表,然后恢復(fù)“Internet選項(xiàng)”及修改“WinTitle”。當(dāng)然了,如果你不嫌費(fèi)事,把機(jī)器格式化,然后重裝系統(tǒng)也是個(gè)辦法。
重新打開注冊(cè)表關(guān)鍵是如何把注冊(cè)表中的“HKEY_USERS\DEFAULT\Software\
Microsoft\Windows\CurrentVersion\Policies\System”中的一個(gè)鍵名叫“DisableRegistryTools”的十六進(jìn)制的值由1改為0,1為禁止,0為允許。萬幸的是,惡意代碼并沒有禁止系統(tǒng)對(duì).reg文件的允許,筆者用Windows中的記事本做了一個(gè)打開注冊(cè)表的鑰匙:
REGEDIT4[HKEY_USERS\.DEFAULT\
Software\Microsoft\Windows\CurrentVersion\Policies\system"DisableRegistryTools"=dword:00000000]
最后存盤為enable.reg。注意:文件擴(kuò)展名一定要用.reg,這是注冊(cè)表默認(rèn)的擴(kuò)展名。
不過,要記住這么長的鍵名也不是一件容易的事,最后的辦法是找一臺(tái)別的機(jī)器,運(yùn)行“regedit”,找到“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System”主鍵,在右邊的窗口中創(chuàng)建一個(gè)DOWRD值“DisableRegistryTools”,這時(shí)默認(rèn)值為“0”,即允許使用注冊(cè)表編輯器。可利用注冊(cè)表的“導(dǎo)出注冊(cè)表文件”功能,將當(dāng)前分支導(dǎo)出到某一特定目錄,命名為enable.reg存盤。
鑰匙做好了,在機(jī)器上運(yùn)行,選擇“是”,這樣注冊(cè)表就可以用regedit打開和修改了,接下來是:
1、恢復(fù)Internet選項(xiàng)
在“HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Policies\Explorer”下在右邊的窗口中找到一個(gè)二進(jìn)制值“NoFolderOptions”,并設(shè)值為“00 00 00 00”。
2、刪除開機(jī)后自動(dòng)登錄的網(wǎng)址
在“HKEY_LOCAL_MACHINE\Soft-
ware\Microsoft\Windows\CurrentVersion\
Run”下修改“QWW”主鍵及惡意代碼的網(wǎng)址。
3、刪除標(biāo)題欄中的網(wǎng)址提示
在“HKEY_LOCAL_MACHINE\Soft-
ware\Microsoft\InternetExplore\Main\”下修改“Window Title”主鍵。
至此,機(jī)器恢復(fù)正常。綜上分析,惡意代碼往往是通過對(duì)注冊(cè)表的修改來達(dá)到其目的,所以經(jīng)常上網(wǎng)的用戶應(yīng)該對(duì)注冊(cè)表有一定的了解,并且對(duì)注冊(cè)表做必要的備份,發(fā)現(xiàn)問題及時(shí)解決。