主题:您的IE被改，注册表被封，开机弹窗，开始的运行不见了

IE被首页被改，注册表不能使用，鼠标右键不能用或右键菜单加入其它选项,开机弹出窗口，开始的运行不见了......



这就是有名的万花谷病毒，“万花谷”实际上是一个含有JavaScript脚本代码的网页文件，但因为其脚本代码具



有恶意破坏能力，而且许多个人网站(尤其是色情网站)竞相模仿该网站，给上网用户造成了极大的影响，因此也被各大反病毒厂商



作为一种病毒对待。



“万花谷”病毒是通过ActiveX对注册表进行修改的，为了达到破坏的目的，它要修改或添加注册表的以下键值。



它的工作原理如下：



设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer主键下的



“NoRun”键值数据为“00000001”，以取消开始菜单上的“运行”项。



　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的



“NoClose”键值数据为“00000001”，以取消开始菜单上的“关闭”项。



　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的



“NoLogOff”键值数据为“00000001”，以取消开始菜单上的“注销”项。



　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的



“NoDrives”键值数据为“00000004”，以取消对 C 盘的访问权限。



　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\主键下的



“DisableRegistryTools”键值数据为“00000001”，以禁止使用注册表工具regedit.exe。



　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的



“NoDesktop”键值数据为“00000001”，以取消桌面所有图标。



　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp主键下的



“Disabled”键值数据为“00000001”，以禁用开始菜单/程序中的“MS－DOS方式”项。



　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\主键下的



“NoRealMode”键值数据为“00000001”，以禁用开始菜单/关闭系统中的“重新启动计算机并切换到MS－DOS方



式”。



　　设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的



“LegalNoticeCaption”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置开



机时的恐怖提示。



　　设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的



“LegalNoticeText”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置登录窗



口的恐怖提示。



　　设置HKEY_LOCAL_MACHINE\Software\Microsoft\Internet

Explorer\Main\主键下的“Window Title”为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，



以设置 IE 浏览器窗口的标题提示。



　　修改HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Main\主键下的“Start Page”为“http://www.on888.home.chinaren.com/”，以设置 IE浏览器启动



时自动进入“万花谷”网站。



其它的还有很多，如添加垃圾网站到你的收藏夹，在你的时间旁边显示一个名字，添加垃圾工具在你的鼠标右键



菜单里等等等等等。。。。。这一切都是可以运行regedit , 然后查找这些关键字一一删除就行了。



在你发现中了病毒后，立刻重新启动，并在开机时按F8启动，出现开机菜单时，选第五项进入 DOS 模式下，然



后运行Scanreg/restore命令，选择恢复感染“万花谷”病毒前一天正常的注册表即可。但如果你过了五天以后再



用本方法就不行了，因为WINDOWS默认只能备份五天的注册表记录，五天后恢复的仍然是被修改后的注册表，所以



使用这种方法的要求是及时。



也可参考上面的注册表位置自己去修改，当然，首先你的注册表没有被封才行，如果您对上述方法不能理解，可



去下载魔法兔子 http://download.pchome.net/system/treak/4503.html

windows 优化大师 http://download.pchome.net/system/treak/2721.html 等等软件来自动修复。



当然，还是要预防为主，几乎所有的带即时监控的杀毒软件都可以在你浏览网页的时候清除万花谷病毒，去安装



一个吧。



天网网页出了个惊心之旅，是利用IE的后门来控制你的计算机，如果你对自己的计算机是否能抵挡网页黑客程序



有怀疑的话，可以去http://sky.net.cn/heartsite/index.html去测试一下。

解决方法就是去微软升级所有的补丁。

=.=.=.=.=.=.=.=.=

我倒......[img]/icons/8.gif > 中招！

=.=.=.=.=.=.=.=.=

天啊！怎么打不开了



这就是你的万花谷网站！！

缘来时我好好珍惜,缘去是我随风飘逝!

太不幸了，楼上的链接把大家往黑路上引。

以网会友，技术共享。如果觉得我能帮你，请点击我的名字留消息。

不见识 一下怎么知道是好是坏



小朋友，没有见到就不要随便说话吗？？

缘来时我好好珍惜,缘去是我随风飘逝!

再次推荐



http://www.on888.home.chinaren.com

缘来时我好好珍惜,缘去是我随风飘逝!

这个帖子应当让版主一直锁定在第一行，让不管是以发帖顺序排，还是回帖顺序排都可以让着急解惑的人看到。

以网会友，技术共享。如果觉得我能帮你，请点击我的名字留消息。

我也来顶一下，我姐家里的电脑上个星期刚中的病毒，被我用优化大师加注册表修改改了半天，才搞定，可惜还是有个网页在开机以后打开，注册表里面也找不到，急死个人。

万万的万万，万千的万，千万的万，记住了吗？

哈哈哈，我笑

这个家伙很懒，什么也没留下......

No.NO. NO.我只是客观反映事实，如若不信，我发个帖子问问？

以网会友，技术共享。如果觉得我能帮你，请点击我的名字留消息。

贴 子是发的好，

不过有这么多的点击量，

我想是应该与你在这个论坛里的名气有关

不信你试试，

随便扔一贴看看

点击率也是高得怕人！！！

欢迎大家去看看我的主页！谢谢！


http://achaog.yeah.net


Email：achaogg@163.com

以前有个叫小马的网友在帖子里顶撞徐大侠，我就警告他说如果他把徐客行气跑了，不仅网友们不答应，而且pchome的老总也会将他告上法庭，他会永不安生的。

有时我也在想，就目前的情况，如果徐客行走了，那pchome的访问率肯定会“急转直下，一日千里”的。

以网会友，技术共享。如果觉得我能帮你，请点击我的名字留消息。

你好,我的时间旁边被他加了一个网站的名字.对应的注册表位置在哪里?可以告诉我吗?谢谢!

这个家伙很懒，什么也没留下......

upup!!

这个家伙很懒，什么也没留下......