第3章 計算機病毒及其防治

第3章計算機病毒及其防治

計算機病毒概述3.1計算機病毒的檢測與防治3.2計算機病毒防治中的常見問題3.3計算機客戶端病毒的防范方法3.4病毒的清除3.53.1計算機病毒概述

3.1.1計算機病毒發(fā)展簡史1．計算機病毒的概念對于病毒概念的起源可追溯到科幻小說。在20世紀(jì)70年代，美國作家雷恩出版的《P1的青春》一書中構(gòu)思了一種能夠自我復(fù)制、利用通信進行傳播的計算機程序，并稱之為計算機病毒?！安《尽币辉~是借用生物學(xué)中的病毒。通過分析研究計算機病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。計算機病毒有很多種定義，從廣義上講，凡是能引起計算機故障，破壞計算機中數(shù)據(jù)的程序都統(tǒng)稱為計算機病毒。依據(jù)此定義，諸如邏輯炸彈、蠕蟲等均可稱為計算機病毒?，F(xiàn)今國外流行的定義是：計算機病毒是一段依附在其他程序上，可以實現(xiàn)自我繁殖的程序代碼。在國內(nèi)，《中華人民共和國計算機信息系統(tǒng)安全保護條例》對病毒的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用，并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。2．計算機病毒發(fā)展簡史

（1）DOS病毒（2）Windows病毒

（3）計算機網(wǎng)絡(luò)病毒3.1.2計算機病毒的分類

1．按傳染方式分類（1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒2．按寄生方式分類3．按危害程度分類（1）良性病毒又稱表現(xiàn)型病毒（2）惡性病毒又稱破壞型病毒（3）中性病毒是指那些既不對計算機系統(tǒng)造成直接破壞，又沒有表現(xiàn)癥狀，只是瘋狂地復(fù)制自身的計算機病毒，也就是常說的蠕蟲型病毒4．按攻擊對象分類

（1）攻擊DOS的病毒（2）攻擊Windows的病毒（3）攻擊網(wǎng)絡(luò)的病毒3.1.3計算機病毒的特征

1．傳染性2．破壞性3．潛伏性4．可觸發(fā)性5．演變性6．不可預(yù)見性3.2計算機病毒的檢測與防治

3.2.1計算機病毒的工作原理3.2.2計算機病毒的檢測1．病毒特征碼掃描法2．對比法3．行為監(jiān)測法4．軟件模擬法5．實時I/O掃描6．網(wǎng)絡(luò)監(jiān)測法3.2.3計算機病毒的防治

1．在思想和制度方面2．在技術(shù)措施方面3.2.4計算機病毒防治軟件的選購

1．防、殺毒軟件的選購指標(biāo)（1）掃描速度（2）識別率（3）病毒清除效果2．常用的防、殺毒軟件介紹3.2.5計算機病毒的防御步驟

1．用常識進行判斷2．安裝防病毒產(chǎn)品并保證更新最新的病毒定義碼3．首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描4．插入軟盤、光盤和其他可插拔介質(zhì)前，一定對它們進行病毒掃描5．不要從任何不可靠的渠道下載任何軟件6．警惕欺騙性的病毒7．使用其他形式的文檔，如.rtf（RichTextFormat）和.pdf（PortableDocumentFormat）8．不要用共享的軟盤安裝軟件，或者更為糟糕的是復(fù)制共享的軟盤9．禁用WindowsScriptingHost10．使用基于客戶端的防火墻或過濾措施3.3計算機病毒防治中的常見問題3.3.1根據(jù)名稱識別計算機病毒下面是對一些常見病毒前綴的解釋。1．系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等，這些病毒的一般共有特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進行傳播。如CIH病毒。2．蠕蟲病毒蠕蟲病毒的前綴是：Worm。這種病毒的共有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件、阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。3．木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息；而黑客病毒則有一個可視的界面，能對用戶的計算機進行遠程控制。木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的計算機，黑客病毒則會通過該木馬病毒來進行控制?，F(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有比較多見的針對網(wǎng)絡(luò)游戲的木馬病毒，如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之類的，一般都表示這個病毒有盜取密碼的功能（這些字母為“密碼”的英文“password”縮寫）。一些黑客程序，如網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。4．腳本病毒腳本病毒的前綴是：Script。腳本病毒的共有特性是使用腳本語言編寫，通過網(wǎng)頁進行傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5．宏病毒其實宏病毒也是腳本病毒的一種，由于它的特殊性，因此單獨算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97。感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒，采用Word97作為第二前綴，格式是：Macro.Word97；感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒，采用Word作為第二前綴，格式是：Macro.Word；感染EXCEL97及以前版本EXCEL文檔的病毒，采用Excel97作為第二前綴，格式是：Macro.Excel97；感染EXCEL97以后版本EXCEL文檔的病毒，采用Excel作為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的共有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進行傳播，如：美麗莎病毒（Macro.Melissa）。6．后門病毒后門病毒的前綴是：Backdoor。該類病毒的共有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶計算機埋下安全隱患。如很多用戶遇到過的IRC后門Backdoor.IRCBot。7．病毒種植程序病毒

這類病毒的共有特性是運行時會從體內(nèi)釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。8．破壞性程序病毒破壞性程序病毒的前綴是：Harm。這類病毒的共有特性是以好看的圖標(biāo)來誘惑用戶單擊。當(dāng)用戶單擊這類病毒時，病毒便會直接對用戶計算機產(chǎn)生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。9．玩笑病毒

玩笑病毒的前綴是：Joke，也稱惡作劇病毒。這類病毒的共有特性也是以好看的圖標(biāo)來誘惑用戶單擊。當(dāng)用戶單擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶計算機進行任何破壞。如：女鬼（Joke.Girlghost）病毒。10．捆綁機病毒捆綁機病毒的前綴是：Binder。這類病毒的共有特性是病毒作者會使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當(dāng)用戶運行這些捆綁病毒時，表面上是運行這些應(yīng)用程序，實際上是隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。3.3.2區(qū)別計算機病毒與計算機故障1．計算機病毒的現(xiàn)象與查解方法

在一般情況下，計算機病毒總是依附某一系統(tǒng)軟件或用戶程序進行繁殖和擴散的，病毒發(fā)作時危及計算機的正常工作，破壞數(shù)據(jù)與程序，侵犯計算機資源。計算機在感染病毒后，總是有一定規(guī)律地出現(xiàn)異?，F(xiàn)象，如下所列。（1）屏幕顯示異常，屏幕顯示出不是由正常程序產(chǎn)生的畫面，而是顯示混亂（2）程序裝入時間增長，文件運行速度下降（3）用戶沒有訪問的設(shè)備卻出現(xiàn)工作信號（4）磁盤出現(xiàn)莫名其妙的文件和壞塊，卷標(biāo)發(fā)生變化（5）系統(tǒng)自行引導(dǎo)（6）丟失數(shù)據(jù)或程序，文件字節(jié)數(shù)發(fā)生變化（7）內(nèi)存空間、磁盤空間減小（8）異常死機（9）磁盤訪問時間比平時增長（10）系統(tǒng)引導(dǎo)時間增長2．與病毒現(xiàn)象類似的硬件故障

（1）系統(tǒng)的硬件配置（2）電源電壓不穩(wěn)定（3）插件接觸不良（4）軟驅(qū)故障（5）CMOS的問題3．與病毒現(xiàn)象類似的軟件故障

（1）出現(xiàn)“Invaliddrivespecification”（非法驅(qū)動器號）（2）軟件程序已被破壞（非病毒）（3）DOS系統(tǒng)配置不當(dāng)（4）軟件與DOS版本的兼容性（5）引導(dǎo)過程故障（6）用不同的編輯軟件編寫程序（7）有關(guān)FoxBASE問題3.4計算機客戶端病毒的防范方法3.4.1客戶端的病毒防護步驟1．減小攻擊面2．應(yīng)用安全更新3．啟用基于主機的防火墻4．安裝防病毒軟件5．測試漏洞掃描程序6．使用最少特權(quán)策略7．限制未授權(quán)的應(yīng)用程序3.4.2客戶端應(yīng)用程序的防病毒設(shè)置1．電子郵件客戶端

2．桌面應(yīng)用程序3．即時消息應(yīng)用程序4．Web瀏覽器5．對等應(yīng)用程序3.5病毒的清除

3.5.1郵件病毒的清除1．?dāng)嚅_網(wǎng)絡(luò)2．文件備份3．殺毒軟件4．安全處理5．預(yù)防郵件病毒3.5.2QQ病毒特征及清除方法

1．“QQ尾巴”病毒（1）病毒主要特征這種病毒并不是利用QQ本身的漏洞進行傳播，而是在某個網(wǎng)站首頁上嵌入了一段惡意代碼，利用IE的iFrame系統(tǒng)漏洞自動運行惡意木馬程序，從而達到侵入用戶系統(tǒng)、進而借助QQ進行垃圾信息發(fā)送的目的。用戶系統(tǒng)如果沒安裝漏洞補丁或沒把IE升級到最高版本，那么訪問這些網(wǎng)站的時候，所訪問網(wǎng)頁中嵌入的惡意代碼即被運行，并立即會通過IE的漏洞運行一個木馬程序進駐用戶機器。然后在用戶使用QQ向好友發(fā)送信息的時候，該木馬程序就自動在發(fā)送的消息末尾插入一段廣告詞，通常都是以下類型：“HoHo～～http://www.mm**.com剛才朋友給我發(fā)來的這個東東。你不看看就后悔哦，嘿嘿。也給你的朋友吧?！保?）清除方法

在運行中輸入MSconfig，如果啟動項中有“Sendmess.exe”和“wwwo.exe”這兩個選項，將其禁止。在C：\WINDOWS一個叫qq32.INI的文件，文件里是附在QQ后的那幾句廣告詞，將其刪除。轉(zhuǎn)到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個文件刪除。安裝系統(tǒng)漏洞補丁由病毒的播方式知道，“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的，即使不執(zhí)行病毒文件，病毒依然可以借由漏洞自動執(zhí)行，達到感染的目的。因此應(yīng)該馬上下載IE的iFrame漏洞補丁。2．QQ“緣”病毒

（1）病毒特征該病毒用VB語言編寫，采用ASPack壓縮，利用QQ消息傳播。運行后會將IE默認(rèn)首頁改變?yōu)椋篐TTP://WWW.**115.COM/。如果發(fā)現(xiàn)自己的IE首頁被修改成以上網(wǎng)址，就表明是被該病毒感染了。病毒會利用QQ發(fā)送例如：“今天在網(wǎng)上下了本電子書，書名叫《緣》，寫得不錯，而且書的作者的名字很巧，點擊下面這個地址可以下載這本書”；“1937年12月13日，300000南京人民被侵華日軍集體大屠殺！所有的中國人都不應(yīng)忘記這個日子，從始至終日本人都沒有改變它們的野心，中華兒女要團結(jié)自強牢記歷史，我們要時刻警惕日本人的野心，釣魚島是中國的領(lǐng)土，臺灣是中國不可分割的一部份，請你將此消息發(fā)給你QQ上的好友!”。消息里的鏈接是病毒網(wǎng)址。（2）清除方法使用下面的辦法可將其徹底刪除。找到下列文件并刪除：C:\Windows\system\noteped.exeC:\Windows\system\Taskmgr.exeC:\Windows\noteped.exeC:\Windwos\system32\noteped.exe其中，對于Taskmgr.exe要先打開“window任務(wù)管理器”，選中進程“Taskmgr.exe”，殺掉。其中，有兩個名字叫“Taskmgr.exe”的進程，一個是QQ病毒，一個是剛才打開的“Window任務(wù)管理器”。然后到注冊表中找到：“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”找到“Taskmgr”刪除。也可以通過下面的方式刪除病毒。在任務(wù)欄上單擊鼠標(biāo)右鍵，選擇任務(wù)管理器；選擇進程里的Taskmgr.exe；單擊“開始”、“運行”，輸入Regedit進入注冊表；在注冊表中找到“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”將Taskmgr項刪除。刪除后重啟計算機，“緣”QQ病毒徹底刪除。需要注意的是，應(yīng)該盡快更新IE到IE6SP1，這樣可以減少很多的IE被改機會。3．QQ“狩獵者”病毒（1）病毒特征在進行QQ聊天時會在消息中加入如下信息：“向你介紹一個好看的動畫網(wǎng)：”當(dāng)瀏覽帶毒網(wǎng)站時，會利用IE漏洞嘗試新增sys文件和tmp文件的執(zhí)行關(guān)聯(lián)，并下載執(zhí)行病毒文件b.sys。如果IE已經(jīng)打上補丁，則會彈出一個插件對話框，引誘用戶安裝，安裝后會將病毒安裝到Windows/DownloadedProgramFiles文件夾中，文件名為b.exe。如果用戶拒絕安裝該插件，會不斷彈出對話框要求用戶安裝。復(fù)制文件復(fù)制病毒體到SystemRoot文件夾中，文件名為Rundll32.exe；復(fù)制病毒體為“C:\cmd.exe”，試圖復(fù)制病毒體到共享目錄中，名為“病毒專殺.exe”和“周杰倫演唱會.exe”。添加注冊表啟動項，以隨機啟動在注冊表的主鍵：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run處添加“LoadPowerProfile=/SystemRoot/Rundll32.exe”鍵值。修改和新增以下文件關(guān)聯(lián)修改.exe文件的關(guān)聯(lián)，每當(dāng)執(zhí)行exe文件時，首先執(zhí)行病毒預(yù)先復(fù)制的病毒文件，在注冊表的主鍵：HKEY_CLASS_ROOT\exefile\shell\open\command修改鍵值：默認(rèn)="C：\cmd.exe%1&*"新增.sys文件的執(zhí)行關(guān)聯(lián)，使得在瀏覽帶毒網(wǎng)站時執(zhí)行病毒文件b.sys在注冊表的主鍵:HKEY_CLASS_ROOT\sysfile\shell\open\command修改鍵值：默認(rèn)="%1"%*新增.tmp文件的執(zhí)行關(guān)聯(lián)在注冊表的主鍵：HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下鍵值：默認(rèn)="%1"%*試圖偷傳奇游戲的密碼，并通過自帶的郵件引擎以“mj25257758@263.”的名義發(fā)送到“scmsmj@”信箱中。在Win2000、WinXP、Win2003系統(tǒng)中，系統(tǒng)文件“Rundll32.exe”就在系統(tǒng)目錄中，因而病毒會嘗試將該文件覆蓋，但這幾個系統(tǒng)都能自動保護并恢復(fù)受到破壞的系統(tǒng)文件，因而病毒不能正常加載，但仍可以通過EXE關(guān)聯(lián)被加載。（2）清除方法

關(guān)閉WindowsMe、WindowsXP、Windows2003的“系統(tǒng)還原”功能；重新啟動到安全模式下；先將regedit.exe改名為，再用資源管理器結(jié)束cmd.exe進程，然后運行，將EXE關(guān)聯(lián)修改為“"%1"%*”，再刪除C:\cmd.exe、%Windows%\DownloadProgramFiles\b.exe文件，對于Windows9x系統(tǒng)，還要刪除%SystemRoot%\Rundll32.exe，再到共享目錄中看有沒有“病毒專殺.exe”和“周杰倫演唱會.exe”這兩個文件，文件大小為11184字節(jié)，如果有，將其刪除；清理注冊表；打開注冊表，刪除主鍵：HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open修改HKEY_CLASSES_ROOT\exefile\shell\open\command的鍵值為"%1"%*。（3）防范措施

不要輕易單擊QQ上的不明鏈接，不要安裝來歷不明的插件（如該病毒網(wǎng)站上所謂的“動畫播放插件2.0”）。3.5.3惡意網(wǎng)頁病毒癥狀分析及修復(fù)方法1．默認(rèn)主頁被修改（1）破壞特性：默認(rèn)主頁被自動改為某網(wǎng)站的網(wǎng)址。（2）表現(xiàn)形式：瀏覽器的默認(rèn)主頁被自動設(shè)為如********.COM的網(wǎng)址。（3）清除方法：采用手動修改注冊表法，單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具，按順序依次打開：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL鍵值名（用來設(shè)置默認(rèn)主頁），在右窗口單擊右鍵進行修改即可。按【F5】鍵后刷新生效。危害程度：一般2．默認(rèn)首頁被修改（1）破壞特性：默認(rèn)首頁被自動改為某網(wǎng)站的網(wǎng)址。（2）表現(xiàn)形式：瀏覽器的默認(rèn)主頁被自動設(shè)為如********.COM的網(wǎng)址。（3）清除方法：采用手動修改注冊表法，單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具，按如下順序依次打開：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到StartPage鍵值名（用來設(shè)置默認(rèn)首頁），在右窗口單擊右鍵進行修改即可。按【F5】鍵后刷新生效。危害程度：一般3．默認(rèn)的微軟主頁被修改（1）破壞特性：默認(rèn)微軟主頁被自動改為某網(wǎng)站的網(wǎng)址。（2）表現(xiàn)形式：默認(rèn)微軟主頁被篡改。（3）清除方法：手動修改注冊表法單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具。按如下順序依次打開：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL鍵值名（用來設(shè)置默認(rèn)微軟主頁），在右窗口單擊右鍵，將鍵值修改為http://www./windows/ie_intl/cn/start/即可。按【F5】鍵刷新生效。自動文件導(dǎo)入注冊表法請把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴展名為.reg的任意文件名存在C盤的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"default_page_url/windows/ie_intl/cn/start/"危害程度：一般4．主頁設(shè)置被屏蔽鎖定，且設(shè)置選項無效不可更改（1）破壞特性：主頁設(shè)置被禁用。（2）表現(xiàn)形式：主頁地址欄變成灰色被屏蔽。（3）清除方法：手動修改注冊表法單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具。按如下順序依次打開：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主鍵，然后在此主鍵下新建鍵值名為“HomePage”的DWORD值，值為“00000000”。按【F5】鍵刷新生效。自動文件導(dǎo)入注冊表法請把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴展名為.reg的任意文件名存在C盤的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]"HomePage"=dword:00000000危害程度：輕度5．默認(rèn)的IE搜索引擎被修改（1）破壞特性：將IE的默認(rèn)微軟搜索引擎更改。（2）表現(xiàn)形式：搜索引擎被篡改。（3）清除方法：手動修改注冊表法單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具。按如下順序依次打開：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search分支，找到“SearchAssistant”鍵值名，在右面窗口單擊“修改”，即可對其鍵值進行輸入為：http://ie.search./{SUB_RFC1766}/srchasst/srchasst.htm，然后再找到“CustomizeSearch”鍵值名，將其鍵值修改為：/{SUB_RFC1766}/srchasst/srchasst.htm，按【F5】鍵刷新生效。自動文件導(dǎo)入注冊表法請把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴展名為.reg的任意文件名存在C盤的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]"SearchAssistant"=/{SUB_RFC1766}/srchasst/srchasst.htm"CustomizeSearch"=/{SUB_RFC1766}/srchasst/srchasst.htm危害程度：一般6．IE標(biāo)題欄被添加非法信息（1）破壞特性：通過修改注冊表，使IE標(biāo)題欄被強行添加宣傳網(wǎng)站的廣告信息。（2）表現(xiàn)形式：在IE頂端藍色標(biāo)題欄上多出了類似“正點網(wǎng)，”的信息。（3）清除方法：手動修改注冊表法單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具。按如下順序依次打開：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”鍵值名，輸入鍵值為MicrosoftInternetExplorer，按【F5】刷新生效。按如下順序依次打開：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”鍵值名，輸入鍵值為MicrosoftInternetExplorer，按【F5】刷新生效。自動文件導(dǎo)入注冊表法把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴展名為.reg的任意文件名存在C盤的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"危害程度：一般7．OE標(biāo)題欄被添加非法信息破壞特性（1）破壞特性：通過修改注冊表，在微軟的集成電子郵件程序MicrosoftOutlook頂端標(biāo)題欄添加宣傳網(wǎng)站的廣告信息。（2）表現(xiàn)形式：在頂端的OutlookExpress藍色標(biāo)題欄添加非法信息。（3）清除方法：手動修改注冊表法單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具。按如下順序依次打開：HKEY_LOCAL_USER\Software\Microsoft\OutlookExpress分支，找到WindowTitle以及StoreRoot鍵值名，將其鍵值均設(shè)為空。按【F5】鍵刷新生效。自動文件導(dǎo)入注冊表法請把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴展名為.reg的任意文件名存在C盤的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\OutlookExpress]"WindowTitle"="""StoreRoot"=""危害程度：一般8．鼠標(biāo)右鍵菜單被添加非法網(wǎng)站鏈接（1）破壞特性：通過修改注冊表，在鼠標(biāo)右鍵彈出菜單里被添加非法站點的鏈接。（2）表現(xiàn)形式：添加“網(wǎng)址之家”等諸如此類的鏈接信息。（3）清除方法：單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具。按如下順序依次打開：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\MenuExt分支，在左邊窗口凡是屬于非法鏈接的主鍵一律刪除，按【F5】鍵刷新生效。危害程度：一般9．鼠標(biāo)右鍵彈出菜單功能被禁用失常（1）破壞特性：通過修改注冊表，鼠標(biāo)右鍵彈出菜單功能在IE瀏覽器中被完全禁止。（2）表現(xiàn)形式：在IE中單擊右鍵毫無反應(yīng)。（3）清除方法：手動修改注冊表法單擊“開始”菜單→“運行”→“regedit”→“確定”，打開注冊表編輯工具。按如下順序依次打開：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支，找到“NoBrowserContextMenu”鍵值名，將其鍵值設(shè)為“00000000”，按【F5】鍵刷新生效。自動文件導(dǎo)入注冊表法請把以下內(nèi)容輸入或粘貼復(fù)制到記事本內(nèi)，以擴展名為.reg的任意文件名存在C盤的任一目錄下，然后執(zhí)行此文件。根據(jù)提示，一路確認(rèn)，即可顯示成功導(dǎo)入注冊表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet|Explorer\Restrictions]"NoBrowse