一起诅咒、一起申讨、一起解决、一起快乐(IE被入侵)
我的IE近来频繁被人修改,一开始我不介意,后来发现现在修改IE的人越来越过分,瞧瞧下面的这个:
http://L16708.tdak.com/passthrough/index.html?http://www.google.com/
我的IE总是需要打开他以后才能够运行,而且这种类型的网站不止一个,我想知道:
1、如何防止?
2、如何修复?
3、这些网站是干啥的,有问题吗?
4、还有多少这种网站,一起公布出来,大家来申讨、诅咒、解决。
5、可不可以举报?
问题点数:100、回复次数:22Top
1 楼suntiger(windows2000超级补丁)回复于 2003-06-03 15:17:50 得分 30
一、修改IE的标题栏
即在IE浏览器最上方的蓝色横条里做广告,而不是显示默认的“Microsoft Internet Explorer”。这种修改非常常见,有人也特意针对它编制了反修改的程序。
1.注册表法
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main在注册表中找到以上两处主键,将其下的“Window Title”主键删除,并关闭所有打开的IE浏览器窗口再重新打开就能看到效果。
2.MagicSet法
点击“IE 4/5”,点击与“IE 标题”字体平行的“复原”按钮即可。
二、修改IE的首页
这个改回来很方便,在IE的设置里就有。比较麻烦的是某些网页在浏览者的硬盘里写入程序,使重启计算机后首页设置又被改了回去,这时可使用“系统配置实用程序”来解决。开始—运行,键入msconfig点击“确定”,在弹出的窗口中切换到“启动”选项卡,禁用可疑程序启动项。
三、在Windows启动时显示一个窗口,点确定才能进去
这个设置其实与IE无关,而是Windows的登录提示窗口,不过最近有些网页对它动上了脑筋,在这个窗口里做广告。
1.注册表法
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在注册表中找到此主键,将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可。
2.MagicSet法
点击“安全与多用户”,再点击左上角的“+”切换窗口后,清除“启动时要显示的标题”和“启动时要显示的信息”两项内容即可。
四、在IE里点击鼠标右键。在弹出的菜单里显示网页广告
这种情况很少见,我还没碰到过,不过解决方法也不复杂。
1.注册表法
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt在IE中显示的附加右键菜单都在这里设置,常见的网络蚂蚁和网际快车点击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。
2.MagicSet法
点击“IE 4/5”,再点击左上角的“+”切换窗口后,在上方的列表窗口中即可修改、删除IE的附加右键菜单项。
五、禁止或允许用户修改IE首页:
运行注册表编辑器(开始菜单-运行-regedit-确定), 打开[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel], 其实一般此键是不存在的, 只存在[HKEY_CURRENT_USER\Software\Policies\Microsoft], 所以后面一截你要自己建立, 主键建立完后在Control Panel键下新建一个DWORD值数据, 键名为HOMEPAGE(不分大小写), 键值为1. 此时你打开IE属性时可以发现它改首页设置的部分已经不可用了. 当然如果你想先指定主页的话可以把HOMEPAGE的值改为0或删除它, 然后修改主页设置, 再把HOMEPAGE改回来即可
六、去掉注册表编辑器被锁定问题
win2000系统
Windows Registry Editor Version 5.00
[Hkey_current_user\Software\microsoft\windows\currentversion\Policies\system]
"DisableRegistryTools"=dword:00000000
win98/me系统
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
将以上代码copy到记事本中,然后将这个文件的名字改为*.reg双击运行可以解除你的锁定状态.
如果你对这个东西不是很了解可以点击这里下载reg文件2000系统的,98/me系统的
七、防范
1.因为修改注册表设置都是用的JavaScript脚本语言,所以只需禁用它即可。但这种脚本语言应用广泛,所以建议在IE的设置中将脚本设为“提示”。
2.建议使用一些单窗口多页面的浏览器如NetCaptor,myie等,因为它们往往能更方便地切换脚本设置,象我常用的NetCaptor,用工具栏中的“安全”按钮能很方便地设置脚本、ActiveX和Cookie的启用情况。
3.使用IE6.0
4.使用Win2000的朋友,只需在“控制面板”—“管理工具”—“服务”中禁用Remote Registry Service服务,也无法通过浏览网页来修改你的注册表了。
5.使用Norton AntiVirus 最新版本杀毒软件,这个版本新增Script Blocking功能,将通过IE修改注册表的代码定义为Trojan.Offensive并予以拦截Top
2 楼xm5151(xm)回复于 2003-06-03 15:18:59 得分 10
我也介绍一下我以前碰到这样情况的解决办法
最近,我的电脑也发生了一个奇怪的现象,浏览器的默认主页被自动设为www.globesearch.com,一开始我并没有留意,心想只要在IE的\"Internet选项\"中修改回原来的设置就可以了,修改后,果然没事了,但第二天开机,又被改回去了。细想一下,这也难不住我,肯定是把默认主页信息写在注册表中,只要找到它,删除不就行了。于是,使用REGEDIT命令打开注册表,按Ctrl+F搜索字符串www.globesearch.com,果然找到了两处,就在IE的设置中,一项为\"Start Page\",另一项是,\"Default_Page_URL\",不禁心中一喜,原来这么简单,删除它们。再打开浏览器,果然消除了这个诡异添加的默认主页。
可是,当我再次打开电脑,默认主页又变成www.globesearch.com,这次还有点把我难住了,再仔细一想,又明白了,肯定是在我的机器上安装了什么可执行文件,在windows启动时,自动执行,这个可扫行文件自动又把注册表的Internet Explorer设置改回去了,想到这里,立即动手,打开注册表,找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run一项,里面没有什么特别的东西,再找HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx,还是没有。
几经努力,终于彻底解决了这个小难题,现整理出来,或许对大家有所帮助。下面介绍一下在windows 2000 下的解决方法:在\"我的电脑\"上单击右键,执行\"管理\"命令选单,找到\"系统工具-系统信息-软件环境-启动程序\"一项单击,在列出的启动所项中,是不是有一个奇怪的执行系统目录中一个扩展名为.vbs文件的项目,就是它。看一看它在注册表中位置,找到并删除它。然后再把这个.vbs文件删除,你成功了。最后别忘了删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main中的\"Start Page\"和\"Default_Page_URL\"两项。重新启动windows,诡异添加的默认主页不再出现了。
我没有在windows98上进行测试,不过方法应该大同小异,关键是如何找到这个.vbs文件,可能不同的网站会有不同的后缀。我想最简单的办法就是利用windows提供的查找工具,找到文件内容包含那个默认主页网址的文件,然后删除它,并在注册表中搜索包含那个文件名的项,找到后删除,就可以解决了。
Top
3 楼ysqu(★★★★★)回复于 2003-06-03 15:29:58 得分 3
http://www.aboutcn.com/doc/list.asp?id=540Top
4 楼rand3000(乱)回复于 2003-06-03 15:42:16 得分 1
可以用些专用工具,金山的注册表清理工具,瑞星也有,3721有上网助手了
还有超级兔子这类的Top
5 楼july(沉船侧畔)回复于 2003-06-03 17:39:36 得分 0
http://L16708.tdak.com/passthrough/index.html?http://www.google.com/
这个玩艺在你的机器上执行并启动一个界面,我还不知道他是干啥的,上面的几位老兄的方法很好,我试试。
但是我也在想,既然这个家伙可以这样放肆,是不是我国的法律没有办法,我们 应当找一种惩治这种人的方法,让他们都去死。。
讨论 继续,如果需要,我在开贴送分(我现在一个贴子只能送出100分,上帝)
Top
6 楼ppv(听潮)回复于 2003-06-03 17:41:41 得分 2
http://assistant.3721.com/Top
7 楼zhiqiu(http://www.bsdlover.cn(找兼职,谁有需求?))回复于 2003-06-03 19:11:21 得分 2
用优化大师可以修复Top
8 楼july(沉船侧畔)回复于 2003-06-04 17:45:22 得分 0
有没有人想过需要保护我们的权益,我们的法律是不是还需要补充一些咚咚,这些人是不是应当受到惩罚。
我今天修改好,明天还会这样的,他们是怎么来的,我的机器上有超级兔子Top
9 楼suntiger(windows2000超级补丁)回复于 2003-06-05 03:06:50 得分 1
没办法,事实摆在眼前,现实中就已经很乱了,何况在这虚拟世界中!
惟独只有依靠自己,不断充实自己的安全知识,做好自我保护!Top
10 楼ggdw(老婆,嫁给我吧!!!!!!)回复于 2003-06-05 10:55:15 得分 2
可以用些专用工具,金山的注册表清理工具,瑞星也有,3721有上网助手了
还有超级兔子这类的Top
11 楼july(沉船侧畔)回复于 2003-06-05 22:07:15 得分 0
超级兔子搞不定我的问题的。
还有我一上网机器就很慢,又时候ie自动关闭Top
12 楼duduxiong(王子)回复于 2003-06-06 11:01:22 得分 3
用金山毒霸试一下,我也遇到过类似的情况,ie主页被改成一个网址大全,我用的98(单位的机器,比较残疾,但还在坚持发挥余热),先运行msconfig,查看启动把修改项屏蔽掉,然后不要重启,打开regedit,查找启动组里的程序名称,删除,f3继续查找,直到全部清除掉,再利用金山毒霸duba_regsolve注册表修复器,重置ie并清理启动项,重启机器,ok!Top
13 楼july(沉船侧畔)回复于 2003-06-06 14:10:53 得分 0
谢谢各位,我要的不仅仅是解决,而是现象怎样减少Top
14 楼qiuafa()回复于 2003-06-06 15:30:15 得分 0
upTop
15 楼lover2001(阿木)回复于 2003-06-06 15:50:20 得分 0
o o 天那
Top
16 楼cutezww(Andy zhang)回复于 2003-06-06 16:09:18 得分 30
恶意代码的预防
1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,你还是自己看着办吧。
3、对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\
CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响到你正常浏览网页的。
4、对于所有用户,都建议安装杀毒软件,实现在线监测,我们建议你选择Norton AntiVirus系列软件,此软件已经把通过IE修改注册表的代码定义为Trojan.Offensive ,增加了Script Blocking功能,它将对此类恶作剧进行监控,并予以拦截。
另外,下载超级兔子魔法设置软件后安装,如果出现问题,可以用它来恢复。不过,“兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失
38
效,“查看”菜单中的“源文件”被禁用这两种现象无法恢复。
5、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
存盘,你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”写为Windows Registry Editor Version 5.00。
6、对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用,来对付该类网页。具体方法是:
39
点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用即可。
7、如果觉得手动修改注册表太危险,可以下载如下reg文件,双击之可恢复被修改的注册表。
8、虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该站点:
打开IE,点击“工具”→“Internet选项”→“内容”→“分级审查”,点“启用”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,如输入:http://on888.home.chinaren.com,按“从不”按钮,再点击“确定”即大功告成!
9、升级你的IE为6.0版本,可以有效防范上面这些症状。
10、下载微软最新的Microsoft Windows Script 5.6,可以预防上面所说的现象,更可预防目前流行的、可恶的混客绝情炸弹。
11、对恶意代码免疫,在注册表中删除恶意代码会用到的一个id就可以了,那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B。只要把它删了,那你以后碰到恶意代码就再也不用担心注册表会再被修改了。它在注册表里面的HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},找到后把整个项删掉就可以了,这个项删掉不会对系统有任何影响,请放心删除。
这里还有一个项也是对系统有威胁的,是HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228},网
40
页格式化硬盘的代码中就用到它,对系统安全有影响,也删了!
Top
17 楼iq199(iq199)回复于 2003-06-07 11:53:28 得分 5
不如遇到这样的网站就公布出来,大家用来练习hack技术Top
18 楼arzhe(蓝色烟灰)回复于 2003-06-07 18:59:12 得分 8
首先,打开‘我的电脑’,找到IE的安装目录,这里假设你的IE安装在C:\program files\internet explorer下。进入该文件夹,找到IEXPLORE.EXE文件,对着它单击鼠标又键,在弹出的快捷菜单里选择“发送到--桌面快捷方式”,这样就会在桌面上建立了一个IEXPLORE.EXE文件的快捷方式。,同时你会发现你建立的这个快捷方式名字为“TEXPLORE.EXE”,而桌面上原来的IE快捷方式名字为“INTERNET EXPLORER”,二者不仅名字不同,而且“内涵”也不同。继续,用鼠标右键单击该快捷方式,选择“属性”,会弹出“IEXPLORE.EXE属性“对话框;选择其中的”快捷方式“标签,然后在”目标“框里填入:“C:\program files\internet explorer\IEXPLORE.EXE”-NOHOME,既给IEXPLORE.EXE加上参数“-nohome”。输入时请注意在参数“-nohome”前面有一个空格。电击“确定”即可
这样我们就永远不用担心IE被改了。
因为修改后就连“about;blank”也不显示
Top
19 楼lijiuhua0721(随缘)回复于 2003-06-07 19:13:23 得分 1
建议用WINDOWS优化大师,在网络设置里的IE设置把禁止更改我的主页加上就可以了!!Top
20 楼lijiuhua0721(随缘)回复于 2003-06-07 19:13:43 得分 1
另外,把病毒防火墙安装上!!Top
21 楼smallrascal(㊣小无赖㊣有事给我留言㊣)回复于 2003-06-08 22:07:10 得分 1
我很少会被改,其实有一个方法,将WSCRIPT.EXE和CSCRIPT.EXE改名或者删除就很少再受这种网站的侵袭了,这两个文件很少用到的Top
22 楼july(沉船侧畔)回复于 2003-06-08 23:05:38 得分 0
谢谢各位,现在结帖,我很同意公布这种网站的意见,而且将这样做,一起来堵截这种不文明的现象Top
