道高一尺
魔高一丈
惡意網頁的卑鄙手段可謂是
推陳出新
啊
用一些簡單的注冊表修復方法後
已經不能完全解決問題了
如果你的注冊表在恢復後又回到了被修改的老樣子
不妨看看是否是以下原因引起的呢?
修改注冊表禁止命令形式的修改目的是不讓用戶通過注冊表修復回去 最通常的修改是鎖住注冊表
還有破壞關聯
比如
reg
vbs
inf等
關於解鎖注冊表
在前面已經介紹了方法
至於被修改關聯
只要我前面說的注冊表修改的方法裡的關聯還 能用
就可以用其中的任意一個
但如果
reg
vbs
inf都被修改了
怎麼辦啊?
也不用怕
把
exe 後綴改後綴
我一樣可以編輯注冊表也被改了
怎麼辦?沒那麼狠吧
行
我再改後綴為
scr
嘿嘿
一樣還可以修改
最好的最簡單的辦法
馬上重新啟動
按F
進入DOS下
敲入SCANREG/RESTORE
選擇以前的正常時的注冊表 還原就可以
注意了
一定要選擇沒被修改時的注冊表!如果發現連scanreg都被刪除了(一些網站就是這麼 狠的
用A盤COPY一個scanreg
exe到COMMAN下即可
有必要在這裡說說常見的文件關聯的默認值
正常的exe關聯為[HKEY_CLASSES_ROOT\exefile\shell\opencommand]
默認的鍵值為
%
%*
將此關聯改回去即可使用exe文件
修改注冊表後留後門目的讓你修改注冊表好像成功重新啟動後又恢復到被修改的狀態 這主要是在啟動項裡留了後門
大家可以打開注冊表到(也可以用一些工具比如優化大師等來察看)
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunOnce
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunServices
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
看看有沒有可疑的啟動項目
這一點最多朋友忽略
哪些啟動可疑呢?
我這裡給出幾個大家需要注意的
啟動項裡鍵值有出現後綴的
最好都去掉
還有有
vbs後綴的 啟動項也去掉
還有一個很重要的
如果有這一個啟動項
出現有類似鍵值的
比如
system 鍵值是regedit
s c:\windows……請注意
這個regedit
s 是注冊表的一個後門參數
是用來導 入注冊表的
這樣的選項一定要去掉
還有一類修改會在c:\windows產生
vbs後綴的文件
或是
dll文件
其實
dll文件實際是
reg文件(喬裝成DLL文件的惡意網頁病毒)
此時你要看看c:\windows\win
ini文件
看看load=
run=
這兩個選項後面應該是空的
如果有其他程序 修改load=
run=
將=後面程序刪除
刪除前看看路徑和文件名
刪除後在到system下刪除對應的文件
還有一種方法
大家如果屢次修改重啟又恢復回去
可以搜索C盤下所有的
vbs文件
可能有隱藏的
用記 事本打開
看到裡面有關於修改注冊表的都把它刪除或保險起見把後綴改掉
你可以按中惡意網頁的病毒的 時間來搜索文件:)
下面的這個漏洞大家非常值得注意
很多朋友說
你說的方法我都試了
啟動項裡絕對沒有什麼可疑的
也沒有什麼vbs文件
呵呵
大家在啟動IE時還有一個陷阱
就是IE主界面的工具的菜單裡的廣告
一定要去 掉
因為這些會在你啟動IE時啟動
所以你修改完其他的先別著急打開IE窗口
否則白費力氣
方法
打開注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到廣告就刪
別留情!
一個很重要的問題
在中了惡意網頁的陷阱後一定要先清空IE所有臨時文件
切記!
說了那麼多
那如何防御這類惡意網頁呢?
一個一勞永逸的方法
把F
DC
CF
D
ADB
C
FD
A
B這個ID刪掉在注冊表的路徑為HKEY_CLASSES_ROOT\CLSID{F
DC
CF
D
ADB
C
FD
A
B}
記住
看清楚了再刪除
千萬別刪錯其他
刪掉這個F
DC
CF
D
ADB
C
FD
A
B對系統不會有影響的
在IE的選單欄中選擇
工具
→
Internet選項
在彈出的對話框中切換到
安全
標簽
選擇
Internet
後點擊
自定義級別
按鈕
在
安全設置
對話框中
把
ActiveX控件和插件
腳本
中的相關選項全部選擇
禁用
或
提示
即可
但如果選擇了
禁用
一些正常使用ActiveX和腳本的 網站可能無法完全顯示
建議選擇
提示
遇到警告時
看看該網站的原代碼
如果發現有出現 Shl
RegWrite等的代碼
就不要去了
如果是加密的原代碼
不是自己熟悉的網站也不要去
如果連右鍵都用不了的
也要小心為好(看看原碼有什麼所謂啊
除非有什麼好的JAVA或是惡意代碼)
對於Windows
用戶
請打開C:\WINDOWS\JAVA Packages\ CVLV
NBB
ZIP
把其中的
ActiveXComponent
class刪掉
對於WindowsMe用戶
請打開C:\WINDOWS\JAVAPackages
NZVFPF
ZIP
把其中的
ActiveXComponent
class
刪掉
這些刪掉不會影響正常浏覽網頁
在Windows
/XP
可以通過禁用
遠程注冊表服務
來阻擋部分惡意腳本
具體方法是
在
控制面板
→
管理工具
→
服務
中右鍵單擊
Remote Registry Service
在彈出選單中選擇
屬性
打開屬性對話框
在
General
內將
Startup ype
設為
Disabled
這樣也可以攔截部分惡意腳本程序
嘿嘿
不用IE
用其他浏覽器也可以……大家在中了惡意網頁的陷阱後
先不要立即重新啟動計算機
到啟動項裡看看
有沒有什麼危險的啟動項
比如deltree之類的
From:http://tw.wingwit.com/Article/Fault/201311/10429.html
