弱电论坛

标题: IE首页被改--修复方法 [打印本页]

作者: 弱电之家 时间: 2005-10-22 09:43
标题: IE首页被改--修复方法

fficeffice" />

IE首页被改，注册表不能使用，鼠标右键不能用或右键菜单加入其它选项,开机弹出窗口，开始的运行不见了......

这就是有名的万花谷病毒，“万花谷”实际上是一个含有JavaScript脚本代码的网页文件，但因为其脚本代码具有恶意破坏能力，而且许多个人网站(尤其是色情网站)竞相模仿该网站，给上网用户造成了极大的影响，因此也被各大反病毒厂商作为一种病毒对待。

“万花谷”病毒是通过ActiveX对注册表进行修改的，为了达到破坏的目的，它要修改或添加注册表的以下键值。

它的工作原理如下：

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\Explorer\
修改主键下的“NoRun”键值数据为“00000001”，以取消开始菜单上的“运行”项。　　

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\Explorer\
修改主键下的“NoClose”键值数据为“00000001”，以取消开始菜单上的“关闭”项。　　

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\Explorer\
修改主键下的“NoLogOff”键值数据为“00000001”，以取消开始菜单上的“注销”项。　　

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\Explorer\
修改主键下的“NoDrives”键值数据为“00000004”，以取消对 C 盘的访问权限。

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\System\
修改主键下的“DisableRegistryTools”键值数据为“00000001”，以禁止使用注册表工具regedit.exe。

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\Explorer\
修改主键下的“NoDesktop”键值数据为“00000001”，以取消桌面所有图标。

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\WinOldApp\
修改主键下的“Disabled”键值数据为“00000001”，以禁用开始菜单/程序中的“MS－DOS方式”项。

设置 HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\olicies\WinOldApp\
修改主键下的“NoRealMode”键值数据为“00000001”，以禁用开始菜单/关闭系统中的“重新启动计算机并切换到MS－DOS方式”。

设置 HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Winlogon\
修改主键下的“LegalNoticeCaption”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置开机时的恐怖提示。

设置 HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Winlogon\
修改主键下的“LegalNoticeText”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置登录窗口的恐怖提示。

设置 HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Main\
修改主键下的“Window Title”为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置 IE 浏览器窗口的标题提示。

设置 HKEY_CURRENT_USER \Software\Microsoft\Internet Explorer\Main\
修改主键下的“Start Page”为“http://www.*****.home.chinaren.com/”，以设置 IE浏览器启动时自动进入“万花谷”网站。

其它的还有很多，如添加垃圾网站到你的收藏夹，在你的时间旁边显示一个名字，添加垃圾工具在你的鼠标右键菜单里等等等等等。。。。。这一切都是可以运行regedit , 然后查找这些关键字一一删除就行了。在你发现中了病毒后，立刻重新启动，并在开机时按F8启动，出现开机菜单时，选第五项进入 DOS 模式下，然后运行Scanreg/restore命令，选择恢复感染“万花谷”病毒前一天正常的注册表即可。但如果你过了五天以后再用本方法就不行了，因为WINDOWS默认只能备份五天的注册表记录，五天后恢复的仍然是被修改后的注册表，所以使用这种方法的要求是及时。也可参考上面的注册表位置自己去修改，当然，首先你的注册表没有被封才行，如果您对上述方法不能理解，可去下载魔法兔子,Windows 优化大师等等软件来自动修复。当然，还是要预防为主，几乎所有的带即时监控的杀毒软件都可以在你浏览网页的时候清除万花谷病毒，去安装一个吧。

天网网站出了个惊心之旅，是利用IE的后门来控制你的计算机，如果你对自己的计算机是否能抵挡网页黑客程序有怀疑的话，可以去http://sky.net.cn/heartsite/index.html去测试一下。

解决方法就是去微软升级所有的补丁。

附：其他修改

问：你好,我的时间旁边被他加了一个网站的名字.对应的注册表位置在哪里?

答：HKEY_CURRENT_USER \Control Panel\International\StimeFormat

请到软件下载下载魔法兔子
http://download.pchome.net/system/treak/8668.html

Windows 优化大师
http://download.pchome.net/system/treak/2721.html

请到俱乐部软件论坛继续讨论
http://club.pchome.net/2002/5/13/55_68.htm

作者: 菜鸟学走 时间: 2005-10-22 10:01

老师，都看晕了呀　好麻烦哟

作者: 乐天 时间: 2005-10-22 13:59

老师辛苦了!

顶!

Windows优化大师 6.82 Build 5.913 有免安装的吗?

作者: 弱电之家 时间: 2005-10-24 12:24
还可大家介绍个方便点的方法。用IE打开http://cn.zs.yahoo.com/start.htm 网站，上面有个IE修复，自己去慢慢修吧。“当提示有www.xxx.com默认页时，就选择‘取消’就行了”，重启电脑，一切OK了。（用户还可使用‘黄山IE修复专家’）

作者: 苗依家人 时间: 2005-10-24 14:50
不错！

作者: 杨柳青青 时间: 2005-10-24 17:27
我遇到网页打不开或者网页第二步开步了就用黄山IE修复一下，很快就在优美的音乐声结束后修复了。

作者: 福缘 时间: 2005-10-25 04:29
很好！

欢迎光临弱电论坛 (http://bbs.rdzjw.com/)