熱點推薦:
您现在的位置: 電腦知識網 >> 電腦故障 >> 正文

深度解析注冊表修復不成功的原因

2013-11-11 23:59:42  來源: 電腦故障 

  道高一尺魔高一丈惡意網頁的卑鄙手段可謂是推陳出新用一些簡單的注冊表修復方法後已經不能完全解決問題了如果你的注冊表在恢復後又回到了被修改的老樣子不妨看看是否是以下原因引起的呢?
  
  修改注冊表禁止命令形式的修改目的是不讓用戶通過注冊表修復回去
  最通常的修改是鎖住注冊表還有破壞關聯比如regvbsinf等
  
  關於解鎖注冊表在前面已經介紹了方法至於被修改關聯只要我前面說的注冊表修改的方法裡的關聯還 能用就可以用其中的任意一個但如果regvbsinf都被修改了怎麼辦啊?也不用怕exe 後綴改後綴我一樣可以編輯注冊表也被改了怎麼辦?沒那麼狠吧我再改後綴為scr 嘿嘿一樣還可以修改
  
  最好的最簡單的辦法馬上重新啟動按F進入DOS下敲入SCANREG/RESTORE選擇以前的正常時的注冊表 還原就可以注意了一定要選擇沒被修改時的注冊表!如果發現連scanreg都被刪除了(一些網站就是這麼 狠的用A盤COPY一個scanregexe到COMMAN下即可
  
  有必要在這裡說說常見的文件關聯的默認值
  
  正常的exe關聯為[HKEY_CLASSES_ROOT\exefile\shell\opencommand]
  
  默認的鍵值為% %* 將此關聯改回去即可使用exe文件
  
  修改注冊表後留後門目的讓你修改注冊表好像成功重新啟動後又恢復到被修改的狀態
  這主要是在啟動項裡留了後門大家可以打開注冊表到(也可以用一些工具比如優化大師等來察看)
  
  HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
  
  HKCUSoftware\Microsoft\Windows\CurrentVersion\RunOnce
  
  HKCUSoftware\Microsoft\Windows\CurrentVersion\RunServices
  
  HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
  
  看看有沒有可疑的啟動項目這一點最多朋友忽略哪些啟動可疑呢?
  
  我這裡給出幾個大家需要注意的啟動項裡鍵值有出現後綴的最好都去掉還有有vbs後綴的 啟動項也去掉還有一個很重要的如果有這一個啟動項出現有類似鍵值的比如
  
  system 鍵值是regedit s c:\windows……請注意這個regedit s 是注冊表的一個後門參數是用來導 入注冊表的這樣的選項一定要去掉
  
  還有一類修改會在c:\windows產生vbs後綴的文件或是dll文件其實dll文件實際是reg文件(喬裝成DLL文件的惡意網頁病毒)
  
  此時你要看看c:\windows\winini文件看看load=run=這兩個選項後面應該是空的如果有其他程序 修改load=run=將=後面程序刪除刪除前看看路徑和文件名刪除後在到system下刪除對應的文件
  
  還有一種方法大家如果屢次修改重啟又恢復回去可以搜索C盤下所有的vbs文件可能有隱藏的用記 事本打開看到裡面有關於修改注冊表的都把它刪除或保險起見把後綴改掉你可以按中惡意網頁的病毒的 時間來搜索文件:)
  
  下面的這個漏洞大家非常值得注意很多朋友說你說的方法我都試了啟動項裡絕對沒有什麼可疑的也沒有什麼vbs文件呵呵大家在啟動IE時還有一個陷阱就是IE主界面的工具的菜單裡的廣告一定要去 掉因為這些會在你啟動IE時啟動所以你修改完其他的先別著急打開IE窗口否則白費力氣方法打開注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到廣告就刪別留情!
  
  一個很重要的問題在中了惡意網頁的陷阱後一定要先清空IE所有臨時文件切記!
  
  說了那麼多那如何防御這類惡意網頁呢?
  
  一個一勞永逸的方法把FDCCFDADBCFDAB這個ID刪掉在注冊表的路徑為HKEY_CLASSES_ROOT\CLSID{FDCCFDADBCFDAB}
  
  記住看清楚了再刪除千萬別刪錯其他刪掉這個FDCCFDADBCFDAB對系統不會有影響的
  
  在IE的選單欄中選擇工具Internet選項在彈出的對話框中切換到安全標簽選擇 Internet後點擊自定義級別按鈕安全設置對話框中ActiveX控件和插件腳本 中的相關選項全部選擇禁用提示即可但如果選擇了禁用一些正常使用ActiveX和腳本的 網站可能無法完全顯示建議選擇提示遇到警告時看看該網站的原代碼如果發現有出現 ShlRegWrite等的代碼就不要去了如果是加密的原代碼不是自己熟悉的網站也不要去如果連右鍵都用不了的也要小心為好(看看原碼有什麼所謂啊除非有什麼好的JAVA或是惡意代碼)
  
  對於Windows用戶請打開C:\WINDOWS\JAVA Packages\ CVLVNBBZIP把其中的ActiveXComponentclass刪掉對於WindowsMe用戶請打開C:\WINDOWS\JAVAPackagesNZVFPFZIP把其中的ActiveXComponentclass刪掉這些刪掉不會影響正常浏覽網頁
  
  在Windows /XP可以通過禁用遠程注冊表服務來阻擋部分惡意腳本具體方法是控制面板管理工具服務中右鍵單擊Remote Registry Service在彈出選單中選擇屬性打開屬性對話框General內將Startup ype設為Disabled這樣也可以攔截部分惡意腳本程序
  
  嘿嘿不用IE用其他浏覽器也可以……大家在中了惡意網頁的陷阱後先不要立即重新啟動計算機到啟動項裡看看有沒有什麼危險的啟動項比如deltree之類的
From:http://tw.wingwit.com/Article/Fault/201311/10429.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.