重新恢復(fù)你的IE瀏覽器全貌

   上網(wǎng)瀏覽一“積分網(wǎng)頁”后，每次打開瀏覽器都會自動登錄到這個網(wǎng)頁，并且每當(dāng)進入別的網(wǎng)址時總是在IE的標(biāo)題欄中先出現(xiàn)此網(wǎng)頁的地址，然后才顯示正在登錄的網(wǎng)頁地址提示信息，原本認為是惡意代碼修改了IE瀏覽器中的主頁地址，可沒想到的是，當(dāng)打開“工具欄”時卻發(fā)現(xiàn)“Internet選項”不見了，情急之下想打開注冊表看個究竟，當(dāng)在“開始”菜單的“運行”中輸入“regedit”，運行后卻跳出一個“管理器已被管理員禁止”的對話框。

　　看來此惡意的代碼的主要意圖就是，每當(dāng)你開機后，瀏覽器自動登錄到其主頁上，為防止用戶自行修改主頁地址，把“Internet選項”給屏蔽了，但更高明的是，為了防止用戶在注冊表中進行修改干脆把注冊表也給禁止了。我當(dāng)時的感覺是“賊進了我的屋，反把我鎖在了門外！”看來當(dāng)前最迫切的是想辦法打開注冊表，然后恢復(fù)“Internet選項”及修改“WinTitle”。當(dāng)然了，如果你不嫌費事，把機器格式化，然后重裝系統(tǒng)也是個辦法。

　　重新打開注冊表關(guān)鍵是如何把注冊表中的“HKEY_USERS＼DEFAULT＼Software＼

　　Microsoft＼Windows＼CurrentVersion＼Policies＼System”中的一個鍵名叫“DisableRegistryTools”的十六進制的值由1改為0，1為禁止，0為允許。萬幸的是，惡意代碼并沒有禁止系統(tǒng)對.reg文件的允許，筆者用Windows中的記事本做了一個打開注冊表的鑰匙：

　　REGEDIT4[HKEY_USERS＼.DEFAULT＼

　　Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼system"DisableRegistryTools"=dword:00000000]

　　最后存盤為enable.reg。注意：文件擴展名一定要用．reg，這是注冊表默認的擴展名。

　　不過，要記住這么長的鍵名也不是一件容易的事，最后的辦法是找一臺別的機器，運行“regedit”，找到“HKEY_USERS＼DEFAULT＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System”主鍵，在右邊的窗口中創(chuàng)建一個DOWRD值“DisableRegistryTools”，這時默認值為“0”，即允許使用注冊表編輯器。可利用注冊表的“導(dǎo)出注冊表文件”功能，將當(dāng)前分支導(dǎo)出到某一特定目錄，命名為enable.reg存盤。

　　鑰匙做好了，在機器上運行，選擇“是”，這樣注冊表就可以用regedit打開和修改了，接下來是：

　　1、恢復(fù)Internet選項

　　在“HKEY_CURRENT_USER＼Software＼

　　Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer”下在右邊的窗口中找到一個二進制值“NoFolderOptions”，并設(shè)值為“00 00 00 00”。

　　2、刪除開機后自動登錄的網(wǎng)址

　　在“HKEY_LOCAL_MACHINE＼Soft-

　　ware＼Microsoft＼Windows＼CurrentVersion＼

　　Run”下修改“QWW”主鍵及惡意代碼的網(wǎng)址。

　　3、刪除標(biāo)題欄中的網(wǎng)址提示

　　在“HKEY_LOCAL_MACHINE＼Soft-

　　ware＼Microsoft＼InternetExplore＼Main＼”下修改“Window Title”主鍵。

　　至此，機器恢復(fù)正常。綜上分析，惡意代碼往往是通過對注冊表的修改來達到其目的，所以經(jīng)常上網(wǎng)的用戶應(yīng)該對注冊表有一定的了解，并且對注冊表做必要的備份，發(fā)現(xiàn)問題及時解決。