被恶意网站修改后的恢复！ - IT 情感 - 马振

(这条文章已经被阅读了 9 次) 时间：2002-01-04 03:18:04 来源：马振 (马振) 原创-IT

近来网络上出现了一些恶意网页，它们通过内嵌在网页代码中的ActiveX控件或Javascr
ipt代码修改你的注册表达到宣传他们主页的目的，令人非常反感。可是如何解决这些问题呢
？请听我道来。
一、主页被更改，修改后重新启动计算机后主页设置又恢复为该网站地址
　　遇到这种情况，可在注册表中搜索与该网址相关的键值，并把搜索到的键值删除或者进
行相应的修改，需要多搜索几次。并且可检查注册表的HKEY_LOCAL_MACHINE\Software\Micr
osoft\Windows\CurrentVersion\Run的右面窗口中有没有异常的启动键值，把它删除。
二、主页被更改，且无法重新设置
　　遇到这种情况，你可在注册表的HKEY_CURRENT_USER\Software\Policies\Microsoft\In
ternet Explorer\Control Panel的右面窗口中将HomePage键值删除即可。另外你可在注册表
的HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main的右面窗口中双击修改
Start Page键值，改为你自己喜欢的主页地址，如http://www.hongen.com。
三、IE标题栏被修改
　　有时我们会在IE的标题栏中看到该网页的网址，而原来的Microsoft Internet Explore
r却不知所踪，这种时候，我们可通过修改注册表的HKEY_CURRENT_USER\Software\Microsof
t\Internet Explorer\Main右面窗口中的Window Title（有的电脑显示为Wintitle）键值的
数据，改为Microsoft Internet Explorer，另外再修改HKEY_LOCAL_MACHINE\Software\Mic
rosoft\Internet Explorer\Main右面窗口中的Window Title键值的数据，改为Microsoft I
nternet Explorer，重新启动计算机即可。
四、注册表修改被禁止
　　当你键入REGEDIT想启动注册表编辑器时，可能会弹出一个对话框：”注册编辑已被籁所
禁止”，遇到这种情况怎么办呢？我们可以用记事本编辑一个文件，保存时请将文件类型改为
“所有文件”，文件名的后缀为REG，然后双击刚才保存的REG文件，导入注册表即可，内容如
下：
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000

　　请注意如果是WIN2000，请把文件头的REGEDIT4改为Windows Registry Editor Version
5.00，对于WIN98，REGEDIT4必须为大写，T和4之间不能有空格，REGEDIT4后面必须有空行
，文件最后一行也要有空行，以确保成功。
五、IE工具栏、工具菜单中出现网站名称
有的网站会修改”工具”菜单中的命令项目，在HKEY_LOCAL_MACHINE\Software\Microsof
t\Internet Explorer\Extensions子键下我们会看到一些诸如{DE6814AU-E0C5-11d4-8D29-0
050BA6940E3}之类的子键，你依次打开查看，若是在其右面窗口中若看到MenuText、Button
Text的键值若为那个网站名，把那个子键删除，然后在HKEY_CURRENT_USER\Software\Micro
soft\Internet Exploer\Extension\CmdMapping的右面窗口中删除与上述子键数据相同的键
值。
六、链接菜单出现网站名称
有时我们会发现在IE的链接菜单右侧出现网站名称，这时我们可在注册表的HKEY_CURRE
NT_USER\Software\Microsoft\Internet Explorer\Toolbar的右面窗口中双击修改LinksFol
derName键值的数据，改为”链接”即可。
七、网页右键菜单中出现了网站名称
我们在IE中点击鼠标右键，有时会出现网站的名称或者是欢迎语句，你可在注册表的HK
EY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt的下级子键中找到与之
相对应的子键名称，删除该子键即可。
八、网页右键菜单被禁止
怎么回事？我的IE怎么无法出现右键菜单了？别着急，我们可在注册表的HKEY_CURRENT
_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions的右面窗口中删除
NoBrowserContextMenu键值即可恢复正常。
九、开机就弹出对话框
一开机就弹出诸如”Microsoft推荐网站”的对话框，非得点确定才能进入，好讨厌，这时
我们可在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\WIndows\CurrentVersion\Win
logon的右面窗口中删除LegalNoticeCaption和LegalNoticeText键值。
十、开机后自动弹出IE或TE
刚进入WINDOWS，就自动弹出了IE或TE，有时会连着打开好几个IE窗口，这时我们可在注
册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的右面窗口
中删除与网址相关的键值，并且删除http load键值，同时别忘了删除C:\Program Files\Re
gistry.exe文件，否则一重新启动计算机又会出现这个问题。
十一、开始菜单中注销、运行、关闭系统、设置、查找等项目被隐藏
开始菜单中没有了注销、运行、关闭系统、设置等项目，怎么办？我们可在注册表的HK
EY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer的右面
窗口中删除NoClose、NoLogOff、NoRun、NoSetFolder、NoFind键值重新启动计算机即可。
十二、”Internet选项”被禁用
IE工具菜单中的”Internet选项”怎么无法使用了？我们可到注册表的HKEY_CURRENT_USE
R\Software\Policies\Microsoft\Internet Explorer\Control Panel的右面窗口中删除Adv
ancedTab、ConnectionsTab、ContentTab、GeneralTab、ProgramsTab、SecurityTab键值即
可。另外删除HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Rest
rictions右面窗口中的NoBrowserOptions键值亦可恢复”Internet选项”的使用。
十三、”常规”选项卡中”历史”按钮被禁用
“Internet选项”的”清除历史记录”按钮被禁用，也无法调整网页保存天数了，我们可在
注册表的HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
Panel的右面窗口中删除History键值。
十四、”安全”选项卡中无法进行安全设置
呵呵，”Internet选项”的”安全”选项卡中无法使用”默认级别”和”自定义级别”按钮了，
这时我们可在注册表的HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explo
rer\Control Panel的右面窗口中删除SecChangeSettings键值。
十五、”内容”选项卡中无法设置分级审查
“Internet选项”的”内容”选项卡中”启用”/”禁用”按钮被禁用了，这时我们可在注册表的
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel的窗
口中删除Ratings键值。
十六、一进入网页就询问分级审查密码
一进入网页就询问分级审查密码怎么办？我们可在注册表的HKEY_LOCAL_MACHINE\Softw
are\Microsoft\Windows\CurrentVersion\Policies\Ratings的右面窗口中删除Key键值，WI
N2000中还需删除FileName0键值，并且删除Winnt\System32\RSACi.rat文件。
十七、”文件夹选项”命令被禁用
我怎么没法使用”文件夹选项”了？我们可到注册表的HKEY_CURRENT_USER\Software\Mic
rosoft\Windows\CurrentVersion\Policies\Explorer的右面窗口中删除NoFolderOptions键
值。
十八、任务栏中时间旁也出现了网站名称
在任务栏的时间旁也出现了网站的名称，唉，解决方法很简单，你在”控制面板”/”区域
设置”的”时间”选项卡中将时间改为HH:mm:ss或H:mm:ss即可。还可在注册表的HKEY_CURRENT
_USER\ControlPanel\International的右面窗口中删除sTimeFormat键值。
十九、在收藏夹中自动添加内容
　　有的网页会自动在收藏夹中添加内容，这时你只需按住SHIFT键，并点击在收藏夹该网站
名称上点击鼠标右键，选择”删除”命令，或者在Windows\Favorites文件夹中删除其相关名称
。
二十、无法更改显示属性
浏览个别网站后会出现显示属性被禁止更改的现象，你可在注册表的HKEY_CURRENT_USE
R\Software\Microsoft\Windows\CurrentVersion\Policies\System的右面窗口中删除NoDis
pCPL键值。
二十一、桌面上”我的电脑”、”我的文档”、”网上邻居”、”回收站”名称被改
有一些网站，如http://520u.com会更改桌面上”我的电脑”、”我的文档”、”网上邻居”、
“回收站”的名称，对于我的电脑的名称，我们可在注册表的HKEY_CLASSES_ROOT\CLSID\{20D
04FE0-3AEA-1069-A2D8-08002B30309D}的右面窗口中双击修改默认键值的数据，改为”我的电
脑”，若是WIN2000则还要修改LocalizedString键值数据，改为@C:\WINNT\System32\shell3
2.dll,-9216@2052,我的电脑。对于我的文档的名称，可在HKEY_CLASSES_ROOT\CLSID\{450D
8FBA-AD25-11D0-98A8-0800361B1103}的右面窗口中将默认的键值数据改为我的文档，若是W
IN2000，则改为My Documents，并把LocalizedString的键值数据改为@C:\Winnt\System32\
shell32.dll,-9227@2052,我的文档。对于网上邻居的名称，在WIN98中，则是在HKEY_CLASS
ES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}的右边窗口中修改默认键值的数
据，改为网上邻居，若是WIN2000，则在HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A
2D8-08002B30309D}修改默认键值的数据，改为网上邻居，并且修改LocalizedString键值数
据，改为@C:\WINNT\system32\shell32.dll,-9217@2052,网上邻居，对于回收站的名称，可
在HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}的右面窗口中修改
默认键值数据，改为回收站，若是WIN2000，则再修改LocalizedString键值数据，改为@C:\
Winnt\System32\shell32.dll,-8964@2052,回收站。
二十二、我的电脑中”控制面板”、”Web文件夹”、”拨号网络”、”计划任务”名称和图标被改
有的网站还会把我的电脑中的”控制面板”、”Web文件夹”和”拨号网络”的名称和图标都改
了，可恶之至。对于”控制面板”的名称和图标，我们可到注册表的HKEY_CLASSES_ROOT\CLSI
D\{21EC2020-3AEA-1069-A2DD-08002B30309D}的右面窗口中双击修改默认键值的数据，改为
控制面板，然后在其下级子键DefaultIcon的右面窗口中双击修改默认键值的数据，改为C:\
Windows\System\shell32.dll,-137即可恢复原控制面板图标，WIN2000则改为%SystemRoot%
\System32\shell32.dll,-137。对于”Web文件夹”，我们可在HKEY_CLASSES_ROOT\CLSID\{BD
EADF00-C265-11d0-BCED-00A0C90AB50F}右面窗口中双击修改默认键值的数据，改为Web 文件
夹，然后在其下的DefaultIcon的右面窗口中双击修改默认键值数据，改为C:\PROGRA~1\COM
MON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL,0。对于”拨号网络”，我们可在HKEY_CLASSES_ROO
T\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}的右面窗口中双击修改默认键值的数据
，改为拨号网络，WIN2000则应改为网络和拨号连接，并在其下的DefaultIcon的右面窗口中
双击修改默认键值数据，改为C:\Windows\System\rnaui.dll,0，如果是WIN2000则数据是C:
\Winnt\System32\rnaui.dll,0。对于”计划任务”，我们应该在HKEY_CLASSES_ROOT\CLSID\{
D6277990-4C6A-11CF-8D87-00AA0060F5BF}的右面窗口中修改默认键值数据，改为计划任务，
并在其下的DefaultIcon子键的右面窗口中把默认键值数据改为C:\Windows\System\mstack.
dll,-100，若是WIN2000则改为C:\Winnt\System\mstack.dll,-100。对于”打印机”，是在
HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}的右面窗口中双击修
改默认键值的数据，改为打印机，并在其下的DefaultIcon子键的右面窗口中把默认键值的数
据修改为C:\Windows\System\shell32.dll,-138，若是WIN2000则修改为%SystemRoot%\Syst
em32\shell32.dll,-138。
对于以上内容的修改请大家根据自己的实际路径进行修改，可别照搬照抄哦，否则系统
不正常可别找我：P
总结以上注册表中被修改的项目，我分别将WIN98和WIN2000下恢复注册表设置的注册表
文件的内容写在下面。
对于WIN98，其注册表文件内容如下：
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
“NoDispCPL”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoClose”=dword:00000000
“NoLogOff”=dword:00000000
“NoRun”=dword:00000000
“NoSetFolders”=dword:00000000
“NoFolderOptions”=dword:00000000
“NoFind”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”http://www.hongen.com”（可更改为你喜欢的主页地址）
“Window Title”=”Microsoft Internet Explorer”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
“Window Title”=”Microsoft Internet Explorer”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]
“LegalNoticeCaption”=””
“LegalNoticeText”=””

[HKEY_CURRENT_USER\Software\Policies\Internet Explorer\Control Panel]
“HomePage”=dword:00000000
“History”=dword:00000000
“SecChangeSettings”=dword:00000000
“Ratings”=dword:00000000
“AdvancedTab”=dword:00000000
“ConnectionsTab”=dword:00000000
“ContectTab”=dword:00000000
“GeneralTab”=dword:00000000
“ProgramsTab”=dword:00000000
“SecurityTab”=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
“NoBrowserContextMenu”=dword:00000000
“NoBroswerOptions”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
“LinksFolderName”=”链接”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings]
“Key”=””

[HKEY_CURRENT_USER\Control Panel\International]
“sTimesFormat”=””

[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
@=”我的电脑”

[HKEY_CLASSES_ROOT\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}]
@=”我的文档”

[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
@=”网上邻居”

[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
@=”回收站”

[HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}]
@=”控制面板”

[HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\DefaultIcon]
@=”C:\\Windows\\System\\shell32.dll,-137”

[HKEY_CLASSES_ROOT\CLSID\{BDEADF00-C265-11d0-BCED-00A0C90AB50F}]
@=”Web 文件夹”

[HKEY_CLASSES_ROOT\CLSID\{BDEADF00-C265-11d0-BCED-00A0C90AB50F}\DefaultIcon]
@=”C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBFOL~1\\MSONSEXT.DLL,0”

[HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}]
@=”拨号网络”

[HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}\DefaultIcon]
@=”C:\\Window\\System\\rnaui.dll,0”

[HKEY_CLASSES_ROOT\CLSID\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]
@=”计划任务”

[HKEY_CLASSES_ROOT\CLSID\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\DefaultIcon]
@=”C:\\Windows\\System\\mstack.dll,-100”

[HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@=”打印机”

[HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\DefaultIcon]
@=”C:\\Windows\\System\\shell32.dll,-138”

对于WIN2000，其注册表内容如下：
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
“NoDispCPL”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoClose”=dword:00000000
“NoLogOff”=dword:00000000
“NoRun”=dword:00000000
“NoSetFolders”=dword:00000000
“NoFolderOptions”=dword:00000000
“NoFind”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”http://www.hongen.com”（可更改为你喜欢的主页地址）
“Window Title”=”Microsoft Internet Explorer”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
“Window Title”=”Microsoft Internet Explorer”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]
“LegalNoticeCaption”=””
“LegalNoticeText”=””

[HKEY_CURRENT_USER\Software\Policies\Internet Explorer\Control Panel]
“HomePage”=dword:00000000
“History”=dword:00000000
“SecChangeSettings”=dword:00000000
“Ratings”=dword:00000000
“AdvancedTab”=dword:00000000
“ConnectionsTab”=dword:00000000
“ContectTab”=dword:00000000
“GeneralTab”=dword:00000000
“ProgramsTab”=dword:00000000
“SecurityTab”=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
“NoBrowserContextMenu”=dword:00000000
“NoBroswerOptions”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
“LinksFolderName”=”链接”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings]
“Key”=””
“FileName0”=””

[HKEY_CURRENT_USER\Control Panel\International]
“sTimesFormat”=””

[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
@=”我的电脑”
“LocalizedString”=”@C:\WINNT\System32\shell32.dll,-9216@2052,我的电脑”

[HKEY_CLASSES_ROOT\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}]
@=”My Documents”
“LocalizedString”=”@C:\Winnt\System32\shell32.dll,-9227@2052,我的文档”

[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
@=”网上邻居”
“LocalizedString”=”@C:\WINNT\system32\shell32.dll,-9217@2052,网上邻居”

[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
@=”回收站”
“LocalizedString”=”@C:\Winnt\System32\shell32.dll,-8964@2052,回收站”

[HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}]
@=”控制面板”

[HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\DefaultIcon]
@=”%SystemRoot%\\System32\\shell32.dll,-137”

[HKEY_CLASSES_ROOT\CLSID\{BDEADF00-C265-11d0-BCED-00A0C90AB50F}]
@=”Web 文件夹”

[HKEY_CLASSES_ROOT\CLSID\{BDEADF00-C265-11d0-BCED-00A0C90AB50F}\DefaultIcon]
@=”C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBFOL~1\\MSONSEXT.DLL,0”

[HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}]
@=”拨号网络”

[HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}\DefaultIcon]
@=”C:\\Winnt\\System32\\rnaui.dll,0”

[HKEY_CLASSES_ROOT\CLSID\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]
@=”计划任务”

[HKEY_CLASSES_ROOT\CLSID\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\DefaultIcon]
@=”C:\\Winnt\\System32\\mstack.dll,-100”

[HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@=”打印机”

[HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\DefaultIcon]
@=”%SystemRoot%\\System32\\shell32.dll,-138”

以上注册表文件我并没有把我上面提到的二十一项全部包括进去，有的仍需你自己进注
册表修改，另外修改时也请对照你电脑你WINDOWS的实际路径修改一下，可别照抄哦，否则电
脑启动不了别找我：P
当然，对于以上情况，我们可以使用一些系统维护设置方面的软件，如超级兔子魔法设
置、Windows优化大师，IE反修改精灵、IE恢复大师、超级兔子注册表保护器等软件进行设置
。不过如果想预防自己的IE及系统被网页恶意代码修改，请在”Internet选项”的”安全”选项
卡中把安全级别调整为”高”，至少也请单击”自定义级别”按钮，改为禁用ActiveX控件和Jav
aScript，或者是提示是否使用ActiveX控件和JavaScript。对于WIN98的用户，请打开C:\Wi
ndows\Java\Packages\CVLV1NBB.ZIP，把其中的ActiveXComponent.class删除，对于WINME，
则在C:\Windows\Java\Package\5NZVFPF1.ZIP文件中把ActiveXCompoent.class删除，放心，
这两个组件的删除不会影响系统的正常运行。对于WIN2000，则可在”控制面板”/”管理工具”
/”计算机管理”中的服务项中将Remote Registry Service改为禁用，并重启计算机。有的网
络防火墙也有此项功能，如Norton Antiviurs、KV3000等也有此项功能。另外将IE的版本升
级为IE6.0也可在较大程度上避免注册表被修改，许多网页代码对注册表的修改往往是在IE6
.0以下版本的系统中发生的。
输入指定颜色的文本近来“