網頁惡意代碼的手工處理

[B]1. 清除每次開機時自動彈出的網頁[/B]

　　　記住地址欄里出現的網址，然後打開註冊表編輯器（方法是在點擊「開始」菜單，之後點擊「運行」，在運行框中輸入regedit命令進入註冊表編輯器），分別定位到：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

下，看看在該子項下是否有一個以這個網址為值的值項，如果有的話，就將其刪除，之後重新啟動計算機。這樣在下一次開機的時候就不再會有網頁彈出來了。

　　不過網頁惡意代碼的編寫者有時也是非常的狡猾，他會在註冊表的不同鍵值中多處設有這個值項，這樣上面提的方法也未必能完全解決問題。遇到這種情況，你可以在註冊表編輯器的選項菜單里選擇「編輯」→「查找」，在「查找」對話框內輸入開機時自動打開的網址，然後點擊「查找下一個」，將查找到的值項刪除。另外，如果你是使用Windows 98的用戶，可在「開始」菜單中的「運行」對話框內輸入「msconfig」，點擊確定，打開「系統配置實用程序」並打開「啟動」選項卡，檢查其中是否有非常可疑的啟動項，如果有的話請將其禁用(在程序前的打上勾)，然後重啟機器就可以了。如果你所使用的是Windows NT/2000的用戶，可以把Windows 98下的「系統配置實用程序」複製過來並運行進行查找清除。

[B]2. IE標題欄被修改 [/B]

　　　在系統默認狀態下，是由應用程序本身來提供標題欄的信息，但也允許用戶自行在上述註冊表項目中填加信息，而一些惡意的網站正是利用了這一點來得逞的：它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息，從而達到改變瀏覽者IE標題欄的目的。

　　具體說來受到更改的註冊表項目為：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

　　解決辦法：

　　1). 在Windows啟動后，點擊「開始」→「運行」菜單項，在「打開」欄中鍵入regedit，然後按「確定」鍵；

　　2). 展開註冊表到

　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值「Window Title」 ，將該串值刪除即可，或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字；

　　3). 同理，展開註冊表到

　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　然後按2)中所述方法處理。

　　4).退出註冊表編輯器，重新啟動計算機，運行IE，你會發現困擾你的問題被解決了



[B]3. IE默認連接首頁被修改 [/B]

　　　IE瀏覽器上方的標題欄被改成「歡迎訪問……網站」的樣式，這是最常見的篡改手段，受害者眾多。

　　受到更改的註冊表項目為：

　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

　　通過修改「Start Page」的鍵值，來達到修改瀏覽者IE默認連接首頁的目的，如瀏覽「萬花谷」就會將你的IE默認連接首頁修改為「http://on888.home.chinaren.com 」，即便是出於給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的原因。

　　解決辦法：

　　1). 在Windows啟動后，點擊「開始」→「運行」菜單項，在「打開」欄中鍵入regedit，然後按「確定」鍵；

　　2). 展開註冊表到
　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值「Start Page」雙擊 ，將Start Page的鍵值改為「about:blank」即可；

　　3). 同理，展開註冊表到
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　在右半部分窗口中找到串值「Start Page」，然後按2)中所述方法處理。

　　4). 退出註冊表編輯器，重新啟動計算機，一切OK了！

　　特殊例子：當IE的起始頁變成了某些網址后，就算你通過選項設置修改好了，重啟以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器里加了一個自運行程序，它會在系統啟動時將你的IE起始頁設成他們的網站。

　　解決辦法：運行註冊表編輯器regedit.exe，然後依次展開
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

　　主鍵，然後將其下的registry.exe子鍵刪除，然後刪除自運行程序c:\Program Files\registry.exe，最後從IE選項中重新設置起始頁。


[B]4. 系統啟動時彈出對話框 [/B]

　　受到更改的註冊表項目為：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　在其下被建立了字元串「LegalNoticeCaption」和「LegalNoticeText」，其中「LegalNoticeCaption」是提示框的標題，「LegalNoticeText」是提示框的文本內容。由於它們的存在，就使得我們每次登陸到Windwos桌面前都出現一個提示窗口，顯示那些網頁的廣告信息！

　　解決辦法：

　　打開註冊表編輯器，找到

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　這一個主鍵，然後在右邊窗口中找到「LegalNoticeCaption」和「LegalNoticeText」這兩個字元串，刪除這兩個字元串就可以解決在登陸時出現提示框的現象了。


[B]5.　修復被鎖定的註冊表 [/B]

　　　註冊表被鎖定這一招是比較惡毒的，它使普遍用戶即使會簡單修改註冊表使其恢復的條件下，困難又多了一層。癥狀是在開始菜單中點擊「運行」，在運行框中輸入regedit命令時，註冊表不能夠使用，並發現系統提示你沒有許可權運行該程序，然後讓你聯繫系統管理員。

　　這是由於註冊表編輯器：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值「DisableRegistryTools」被修改為「1」的緣故，將其鍵值恢復為「0」即可恢復註冊表的使用。

　　解決辦法:

　　可以自己動手製作一個解除註冊表鎖定的工具，就是用記事本編輯一個任意名字的.reg文件，比如recover.reg，內容如下：
　　REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
　　
　　　要特別注意的是：如果你用這個方法製作解除註冊表鎖定的工具，一定要嚴格按照上面的書寫格式進行，不能遺漏更不能修改（其實你只需將上述內容「複製」、「粘貼」到你機器記事本中即可）；完成上述工作后，點擊記事本的文件菜單中的「另存為」項，文件名可以隨意，但文件擴展名必須為.reg（切記）,然後點擊「保存」。這樣一個註冊表解鎖工具就製作完成了，之後你只須雙擊生成的工具圖標，其會提示你是否將這個信息添加進註冊表，你要點擊「是」，隨後系統提示信息已成功輸入註冊表，再點擊「確定」即可將註冊表解鎖了