深度解析登錄檔修復不成功的原因(轉)

深度解析登錄檔修復不成功的原因(轉)[@more@]

　　道高一尺，魔高一丈，惡意網頁的卑鄙手段可謂是“推陳出新”啊。用一些簡單的登錄檔修復方法後，已經不能完全解決問題了。如果你的登錄檔在恢復後又回到了被修改的老樣子，不妨看看是否是以下原因引起的呢？

　　1.修改登錄檔禁止命令形式的修改，目的是不讓使用者透過登錄檔修復回去。

　　最通常的修改是鎖住登錄檔，還有破壞關聯：比如.reg，.vbs，.inf等。

　　關於解鎖登錄檔，在前面已經介紹了方法，至於被修改關聯，只要我前面說的登錄檔修改的方法裡的關聯還 能用，就可以用其中的任意一個，但如果.reg，.vbs，.inf都被修改了，怎麼辦啊？，也不用怕，把 .exe 字尾改為.com字尾，我一樣可以編輯登錄檔，.com也被改了，怎麼辦？沒那麼狠吧，行，我再改字尾為.scr 。嘿嘿，一樣還可以修改。

　　最好的最簡單的辦法，馬上重新啟動，按F8進入DOS下，敲入SCANREG/RESTORE，選擇以前的正常時的登錄檔 還原就可以，注意了，一定要選擇沒被修改時的登錄檔！如果發現連scanreg都被刪除了(一些網站就是這麼 狠的，用A盤COPY一個scanreg.exe到COMMAN下即可。

　　有必要在這裡說說常見的檔案關聯的預設值

　　正常的exe關聯為[HKEY_CLASSES_ROOTexefileshellopencommand]

　　預設的鍵值為："%1 %*" 將此關聯改回去即可使用exe檔案

　　2.修改登錄檔後留後門，目的讓你修改登錄檔好像成功，重新啟動後又恢復到被修改的狀態。

　　這主要是在啟動項裡留了後門，大家可以開啟登錄檔到(也可以用一些工具比如最佳化大師等來察看)

　　HKCUSoftwareMicrosoftWindowsCurrentVersionRun

　　HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

　　HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices

　　HKCUSoftwareMicrosoftWindowsCurrentVersionRun-

　　看看有沒有可疑的啟動專案，這一點最多朋友忽略，哪些啟動可疑呢？

　　我這裡給出幾個大家需要注意的,啟動項裡鍵值有出現.hml和.htm字尾的，最好都去掉，還有有.vbs字尾的 啟動項也去掉，還有一個很重要的，如果有這一個啟動項，出現有類似鍵值的，比如：

　　system 鍵值是regedit -s c:windows……請注意，這個regedit -s 是登錄檔的一個後門引數，是用來導 入登錄檔的，這樣的選項一定要去掉

　　還有一類修改會在c:windows產生.vbs字尾的檔案，或是.dll檔案，其實.dll檔案實際是.reg檔案(喬裝成DLL檔案的惡意網頁病毒)

　　此時你要看看c:windowswin.ini檔案，看看load=，run=，這兩個選項後面應該是空的，如果有其他程式 修改load=，run=，將=後面程式刪除，刪除前看看路徑和檔名，刪除後在到system下刪除對應的檔案

　　還有一種方法，大家如果屢次修改重啟又恢復回去，可以搜尋C盤下所有的.vbs檔案，可能有隱藏的，用記 事本開啟，看到裡面有關於修改登錄檔的都把它刪除或保險起見把字尾改掉，你可以按中惡意網頁的病毒的 時間來搜尋檔案:)

　　下面的這個漏洞大家非常值得注意，很多朋友說，你說的方法我都試了，啟動項裡絕對沒有什麼可疑的，也沒有什麼vbs檔案，呵呵，大家在啟動IE時還有一個陷阱，就是IE主介面的工具的選單裡的廣告，一定要去 掉，因為這些會在你啟動IE時啟動，所以你修改完其他的先彆著急開啟IE視窗，否則白費力氣，方法：開啟登錄檔HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions看到廣告就刪，別留情！

　　一個很重要的問題，在中了惡意網頁的陷阱後一定要先清空IE所有臨時檔案，切記！

　　說了那麼多，那如何防禦這類惡意網頁呢？

　　一個一勞永逸的方法，把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B這個ID刪掉在登錄檔的路徑為HKEY_CLASSES_ROOTCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}

　　記住，看清楚了再刪除，千萬別刪錯其他。刪掉這個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統不會有影響的。

　　在IE的選單欄中選擇“工具”→“Internet選項”，在彈出的對話方塊中切換到“安全”標籤，選擇“ Internet”後點選“自定義級別”按鈕，在“安全設定”對話方塊中，把“ActiveX控制元件和外掛”、“指令碼” 中的相關選項全部選擇“禁用”或“提示”即可。但如果選擇了“禁用”，一些正常使用ActiveX和指令碼的 網站可能無法完全顯示。建議選擇：提示。遇到警告時，看看該網站的原始碼，如果發現有出現 Shl.RegWrite等的程式碼，就不要去了，如果是加密的原始碼，不是自己熟悉的網站也不要去，如果連右鍵都用不了的，也要小心為好(看看原碼有什麼所謂啊，除非有什麼好的JAVA或是惡意程式碼)

　　對於Windows98使用者，請開啟C:WINDOWSJAVA Packages CVLV1NBB.ZIP，把其中的“ActiveXComponent.class刪掉，對於WindowsMe使用者，請開啟C:WINDOWSJAVAPackages.NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉，這些刪掉不會影響正常瀏覽網頁

　　在Windows 2000/XP，可以透過禁用“遠端登錄檔服務”來阻擋部分惡意指令碼。具體方法是：在“控制皮膚”→“管理工具”→“服務”中右鍵單擊“Remote Registry Service”，在彈出選單中選擇“屬性”，開啟屬性對話方塊，在“General”內將“Startup ype”設為“Disabled”。這樣也可以攔截部分惡意指令碼程式。

　　嘿嘿，不用IE。用其他瀏覽器也可以……大家在中了惡意網頁的陷阱後，先不要立即重新啟動計算機，到啟動項裡看看，有沒有什麼危險的啟動項，比如deltree之類的。