小心防范最易被黑客盯上的注冊表位置

　　問:前兩天我打開了mail中的一個附件因為那個mail的地址和我一個同事的地址很像因此沒有多考慮就將附件下載打開了不想這個附件是個病毒它讓我的機器變的很慢殺毒之後好像沒有太大作用請問我該怎麼辦?

　　答:病毒木馬和一些惡意軟件往往都會對Widnows的注冊表下毒手雖然破壞形式不盡相同但是經過分析它們的破壞手法並非無規律可循這裡列出了一些用戶系統中被易被修改的系統設置和注冊表項建議再換用其他木馬專殺工具試一下並再針對以下注冊表鍵值進行檢查看看是否有被改動過的跡象

　　系統設置文件

　　對於Widnows X系統常見的是病毒修改可能會更改autoexecbat只要在其中加入執行病毒程序文件的語句即可在系統啟動時自動激活病毒*更改drive:\windows\winini或者systemini文件病毒通常會在winini的run=後面加入病毒自身的文件名或者在systemini文件中將shell=更改

　　注冊表鍵值

　　目前只要新出的蠕蟲/特洛伊類病毒一般都有修改系統注冊表的動作它們修改的位置一般有以下幾個地方:

　　在系統啟動時自動執行的程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　在系統啟動時自動執行的系統服務程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　在系統啟動時自動執行的程序這是病毒最有可能修改/添加的地方

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command

　　說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行以此類推\txtfile\ 或者 \comfile\ 也可被更改以便實現病毒自動運行的功能

　　另外有些健值還可能被利用來實現比較特別的功能:

　　有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =

　　為了阻止用戶利用REG文件修改注冊表鍵值以下鍵值也會被修改來顯示一個內存訪問錯誤窗口

　　例如:WinSwenB 病毒 會將缺省健值修改為:

　　HKCR\regfile\shell\open\command\(Default) = cxsgrhclexe showerror

　　通過對以上地方的修改病毒程序主要達到的目的是在系統啟動或者程序運行過程中能夠自動被執行已達到自動激活的目的

From:http://tw.wingwit.com/Article/os/xtgl/201311/9249.html