注册表遭遇非法修改如何恢复?


    
    现在有些恶意网页在修改了访问者的IE默认首页、IE标题栏,
有时还会锁定注册表,这样让用户无法从“Internet选项”中恢复
原来的设置。

    非法修改注册表的手法很多,情况复杂。这里只把常见的列出,
供网友参考。务请备份注册表,以策安全。文中所举书上例子,在
Windows 98,Windows XP 下调试通过。
   部分内容,根据测试情况,作了修改补充。


  1. 问:怎样恢复 IE 使用空白页

    恢复IE默认页  98/ME/NT/2000/XP/2003(IE 5.0/6.0)
可以修改为自己需要的网站地址,还可以在“Internet选项”中设
置为“使用空白页”。但有时打开IE会自动连接到某个曾经访问过
的网站,这是由于某些“恶意网站”篡改了默认页。
①打开注册表编辑器,定位到:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
②右侧窗口 "Start Page" 的值就是被“恶意网站”修改的默认页
地址,删除其值或修改为自己需要的地址即可。
    你可以试试用下面的方法恢复:用记事本编辑一个纯文本文件
(后缀需为 reg),包含下面内容:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

注:
1.首句:Windows 98 系统下为  REGEDIT4
       Windows XP 系统下为  Windows Registry Editor Version 5.00
  下面例子同此。

2.关于本例,有的书上写道。定位到:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]。
右侧窗口“Default_Page_URL”的值就是被修改的默认页地址。
看此处是安装时的默认页地址,而不是当前浏览器的默认页地址。
请打开注册表,分别定位观察确认。


  2.   问:注册表编辑器被锁定如何解开?

   答:这是因为该注册表遭遇了非法修改的缘故。具体就是
“ HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”
中新建了一个 Dword值“ DisableRegistryTools”,且键值被设置为“1”,
这样注册表即被锁住无法编辑了。

    你可以试试用下面的方法恢复:用记事本编辑一个纯文本文件
(后缀需为 reg),包含下面内容:
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
@=""
"DisableRegistryTools"=dword:00000000

   然后双击该文件,把注册表信息添加到注册表,重新启动后即
可恢复使用注册表编辑器 regedit.exe编辑注册表了。


  3. 问:如何修复IE标题栏

       修复IE标题栏  98/ME/NT/2000/XP/2003(IE 5.0/6.0)
①打开注册表编辑器,定位到:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
②在右侧窗口中查找一个名为“Window Title”的字符串值项,其
值就是恶意网站在标题栏留下的信息,删除后再打开IE时,标题栏
将恢复本来面目。
正常情况下,也可以在该位置新建“Window Title”字符串值项,
并输入自己喜欢的内容,定制自己的IE标题栏。


  4. 问:如何修复IE右键菜单

    修复IE右键菜单  98/ME/NT/2000/XP/2003(IE 5.0/6.0)
有时“恶意网站”还会篡改IE右键菜单,如添加广告信息等,下面
的修改方法可以清除。
①打开注册表编辑器,定位到:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]
②正常情况下,该位置下的子项对应的是右键菜单中的应用软件项,
找到“恶意网站”的信息后删除该子项即可。

  5. 木马程序的清除方法一例

4.6.113 感染BackDoor v2.03木马程序的清除方法  98/ME/2000/XP/2003
①打开注册表编辑器,定位到:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]。
②删除数值为“c:\windows\notpa.exe /o=yes”的“Notepad”值
项。
③关闭注册表编辑器,重新启动系统到MS-DOS方式,删除木马程序文
件“c:\windows\notpa.exe”

      请参阅:
      《注册表配置、维护与应用实战》系统安全部分
      《软件报2003合订本》0329071.htm




                      河石 /编 2004.4.25
黄河之滨 网站 :  http://hhstone.vip.sina.com  http://www.hhstone.com