惡意網頁修改系統資料庫的12種現象

一、系統資料庫被修改的原因及解決辦法 

其實，該惡意網頁是含有有害代碼的ActiveX網頁檔案，這些廣告資訊的出現是因為浏覽者的系統資料庫被惡意更改的結果。

1、IE預設連接配接首頁被修改

IE浏覽器上方的标題欄被改成“歡迎通路……網站”的樣式，這是最常見的篡改手段，受害者衆多。

受到更改的系統資料庫項目為：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

通過修改“Start Page”的鍵值，來達到修改浏覽者IE預設連接配接首頁的目的，如浏覽“萬花谷”就會将你的IE預設連接配接首頁修改為“[url]http://on888.home.chinaren.com[/url] ”，即便是出于給自己的首頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。

解決辦法：

①在Windows啟動後，點選“開始”→“運作”菜單項，在“打開”欄中鍵入regedit，然後按“确定”鍵； 

②展開系統資料庫到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

下，在右半部分視窗中找到串值“Start Page”輕按兩下 ，将Start Page的鍵值改為“about:blank”即可； 

③同理，展開系統資料庫到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分視窗中找到串值“Start Page”，然後按②中所述方法處理。

④退出系統資料庫編輯器，重新啟動計算機，一切OK了！

特殊例子：當IE的起始頁變成了某些網址後，就算你通過選項設定修改好了，重新開機以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器裡加了一個自運作程式，它會在系統啟動時将你的IE起始頁設成他們的網站。

解決辦法：運作系統資料庫編輯器regedit.exe，然後依次展開

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

主鍵，然後将其下的registry.exe子鍵删除，然後删除自運作程式c:\Program Files\registry.exe，最後從IE選項中重新設定起始頁就好了。

　　2、篡改IE的預設頁

有些IE被改了起始頁後，即使設定了“使用預設頁”仍然無效，這是因為IE起始頁的預設頁也被篡改啦。具體說來就是以下系統資料庫項被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\

Main\Default_Page_URL

“Default_Page_URL”這個子鍵的鍵值即起始頁的預設頁。

運作系統資料庫編輯器，然後展開上述子鍵，将“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設定為IE的預設值。

3、修改IE浏覽器預設首頁，并且鎖定設定項，禁止使用者更改回來。

主要是修改了系統資料庫中IE設定的下面這些鍵值(DWORD值為1時為不可選)：

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]

"Settings"=dword:1

"Links"=dword:1

"SecAddSites"=dword:1

将上面這些DWORD值改為“0”即可恢複功能。

4、IE的預設首頁灰色按扭不可選

這是由于系統資料庫HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”，被修改為“1”（即為灰色不可選狀态）。

将“homepage”的鍵值改為“0”即可。

5、IE标題欄被修改

在系統預設狀态下，是由應用程式本身來提供标題欄的資訊，但也允許使用者自行在上述系統資料庫項目中填加資訊，而一些惡意的網站正是利用了這一點來得逞的：它們将串值Window Title下的鍵值改為其網站名或更多的廣告資訊，進而達到改變浏覽者IE标題欄的目的。

具體說來受到更改的系統資料庫項目為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

①在Windows啟動後，點選“開始”→“運作”菜單項，在“打開”欄中鍵入regedit，然後按“确定”鍵；

下，在右半部分視窗中找到串值“Window Title” ，将該串值删除即可，或将Window Title的鍵值改為“IE浏覽器”等你喜歡的名字； 

然後按②中所述方法處理。

④退出系統資料庫編輯器，重新啟動計算機，運作IE，你會發現困擾你的問題解決了！

　　6、IE右鍵菜單被修改

受到修改的系統資料庫項目為：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

下被建立了網頁的廣告資訊，并由此在IE右鍵菜單中出現！

打開注冊标編輯器，找到

7、IE預設搜尋引擎被修改

在IE浏覽器的工具欄中有一個搜尋引擎的工具按鈕，可以實作網絡搜尋，被篡改後隻要點選那個搜尋工具按鈕就會連結到那個篡改網站。出現這種現象的原因是以下系統資料庫被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

運作系統資料庫編輯器，依次展開上述子鍵，将“CustomizeSearch”和“SearchAssistant”的鍵值改為某個搜尋引擎的網址即可。

8、系統啟動時彈出對話框

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

在其下被建立了字元串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标題，“LegalNoticeText”是提示框的文本内容。由于它們的存在，就使得我們每次登陸到Windwos桌面前都出現一個提示視窗，顯示那些網頁的廣告資訊！你瞧，多讨厭啊！

打開系統資料庫編輯器，找到

這一個主鍵，然後在右邊視窗中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字元串，删除這兩個字元串就可以解決在登陸時出現提示框的現象了。

9、浏覽網頁系統資料庫被禁用

這是由于系統資料庫

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

下的DWORD值“DisableRegistryTools”被修改為“1”的緣故，将其鍵值恢複為“0”即可恢複系統資料庫的使用。

解決辦法

用記事本程式建立以REG為字尾名的檔案，将下面這些内容複制在其中就可以了：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“DisableRegistryTools”=dword:00000000

　　10、浏覽網頁開始菜單被修改

這是最“狠”的一種，讓浏覽者有生不如死的感覺。浏覽後不僅有類似上面所說的那些症狀，還會有以下更悲慘的遭遇：

1)禁止“關閉系統” 

2)禁止“運作” 

3)禁止“登出” 

4)隐藏C槽——你的C槽找不到了！

5)禁止使用系統資料庫編輯器regedit 

6)禁止使用DOS程式

7)使系統無法進入“實模式” 

8)禁止運作任何程式

具體的原因和解決辦法請看天極網e企業之安全之路欄目的這篇文章：《浏覽網頁系統資料庫被修改之迷及解決辦法》。

以上是比較常見的修改浏覽者系統資料庫的現象，今天在浏覽網頁時，無意中來到某個個人網站，又遇到了以前沒有碰到過的問題：

11、IE中滑鼠右鍵失效

浏覽網頁後在IE中滑鼠右鍵失效，點選右鍵沒有任何反應！

12、檢視““源檔案”菜單被禁用

在IE視窗中點選“檢視”→“源檔案”，發現“源檔案”菜單已經被禁用。

我在浏覽網頁時并沒有注意到上面這兩個問題，因為當時正好朋友叫我有事，于是我就退出電腦了，晚上吃完飯開啟電腦連線上網，就發現IE中滑鼠右鍵失效，“檢視”菜單中的“源檔案”被禁用。不能檢視源檔案也就罷了，但是無法使用滑鼠右鍵真是太不友善了。得想個辦法！

找出最新版的超級兔子魔法設定試試吧，呀！不能解決！看來是個新問題，不過自己好歹也是“老革命”了，這點問題應該難不住我。于是到系統資料庫中一番搜尋，經過一番查找終于弄明白了問題的所在。

原來，惡意網頁修改了我的系統資料庫，具體的位置為：

在系統資料庫

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

下建立子鍵“Restrictions”，然後在“Restrictions”下面建立兩個DWORD值：“NoViewSource”和“NoBrowserContextMenu”，并為這兩個DWORD值指派為“1”。

   HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

下，将兩個DWORD值：“NoViewSource”和“NoBrowserContextMenu”的鍵值都改為了“1”。

通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效，使“檢視”菜單中的“源檔案”被禁用的目的。要向你說明的是第2點中提到的系統資料庫其實相當于第1點中提到的系統資料庫的分支，修改第1點中所說的系統資料庫鍵值，第2點中系統資料庫鍵值随之改變。

明白了道理，問題解決起來就容易多了，具體解決辦法為：将以下内容另存為字尾名為reg的系統資料庫檔案，比方說unlock.reg，輕按兩下unlock.reg導入系統資料庫，不用重新開機電腦，重新運作IE就會發現IE的功能恢複正常了。 

REGEDIT4 

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] 

“NoViewSource”=dword:00000000 

"NoBrowserContextMenu"=dword:00000000 

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions] 

“NoBrowserContextMenu”=dword:00000000 

要特别注意的是，在你編制的系統資料庫檔案unlock.reg中，“REGEDIT4”一定要大寫，并且它的後面一定要空一行，還有，“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則将前功盡棄！許多朋友寫系統資料庫檔案之是以不成功，就是因為沒有注意到上面所說的内容，這回該注意點喽。請注意如果你是Win2000或WinXP使用者，請将“REGEDIT4”改為Windows Registry Editor Version 5.00。

轉貼于 華夏黑客同盟 [url]http://www.77169.org[/url]

本文轉自loveme2351CTO部落格，原文連結： http://blog.51cto.com/loveme23/8394，如需轉載請自行聯系原作者