文/木子
道高一尺,魔高一丈,恶意网页的卑鄙手段可谓是“推陈出新”啊。用一些简单的注册表修复方法后,已经不能完全解决问题了。如果你的注册表在恢复后又回到了被修改的老样子,不妨看看是否是以下原因引起的呢?
1.修改注册表禁止命令形式的修改,目的是不让用户通过注册表修复回去。
最通常的修改是锁住注册表,还有破坏关联:比如.reg,.vbs,.inf等。
关于解锁注册表,在前面已经介绍了方法,至于被修改关联,只要我前面说的注册表修改的方法里的关联还 能用,就可以用其中的任意一个,但如果.reg,.vbs,.inf都被修改了,怎么办啊?,也不用怕,把 .exe 后缀改为.com后缀,我一样可以编辑注册表,.com也被改了,怎么办?没那么狠吧,行,我再改后缀为.scr 。嘿嘿,一样还可以修改。
最好的最简单的办法,马上重新启动,按F8进入DOS下,敲入SCANREG/RESTORE,选择以前的正常时的注册表 还原就可以,注意了,一定要选择没被修改时的注册表!如果发现连scanreg都被删除了(一些网站就是这么 狠的,用A盘COPY一个scanreg.exe到COMMAN下即可。
有必要在这里说说常见的文件关联的默认值
正常的exe关联为[HKEY_CLASSES_ROOT\exefile\shell\opencommand]
默认的键值为:"%1 %*" 将此关联改回去即可使用exe文件
2.修改注册表后留后门,目的让你修改注册表好像成功,重新启动后又恢复到被修改的状态。
这主要是在启动项里留了后门,大家可以打开注册表到(也可以用一些工具比如优化大师等来察看)
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunOnce
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunServices
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run-
看看有没有可疑的启动项目,这一点最多朋友忽略,哪些启动可疑呢?
我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的,最好都去掉,还有有.vbs后缀的 启动项也去掉,还有一个很重要的,如果有这一个启动项,出现有类似键值的,比如:
system 键值是regedit -s c:\windows……请注意,这个regedit -s 是注册表的一个后门参数,是用来导 入注册表的,这样的选项一定要去掉
还有一类修改会在c:\windows产生.vbs后缀的文件,或是.dll文件,其实.dll文件实际是.reg文件(乔装成DLL文件的恶意网页病毒)
此时你要看看c:\windows\win.ini文件,看看load=,run=,这两个选项后面应该是空的,如果有其他程序 修改load=,run=,将=后面程序删除,删除前看看路径和文件名,删除后在到system下删除对应的文件
还有一种方法,大家如果屡次修改重启又恢复回去,可以搜索C盘下所有的.vbs文件,可能有隐藏的,用记 事本打开,看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉,你可以按中恶意网页的病毒的 时间来搜索文件:)
下面的这个漏洞大家非常值得注意,很多朋友说,你说的方法我都试了,启动项里绝对没有什么可疑的,也没有什么vbs文件,呵呵,大家在启动IE时还有一个陷阱,就是IE主界面的工具的菜单里的广告,一定要去 掉,因为这些会在你启动IE时启动,所以你修改完其他的先别着急打开IE窗口,否则白费力气,方法:打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到广告就删,别留情!
一个很重要的问题,在中了恶意网页的陷阱后一定要先清空IE所有临时文件,切记!
说了那么多,那如何防御这类恶意网页呢?
一个一劳永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID删掉在注册表的路径为HKEY_CLASSES_ROOT\CLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
记住,看清楚了再删除,千万别删错其他。删掉这个F935DC22-1CF0-11D0-ADB9-00C04FD58A0B对系统不会有影响的。
在IE的选单栏中选择“工具”→“Internet选项”,在弹出的对话框中切换到“安全”标签,选择“ Internet”后点击“自定义级别”按钮,在“安全设置”对话框中,把“ActiveX控件和插件”、“脚本” 中的相关选项全部选择“禁用”或“提示”即可。但如果选择了“禁用”,一些正常使用ActiveX和脚本的 网站可能无法完全显示。建议选择:提示。遇到警告时,看看该网站的原代码,如果发现有出现 Shl.RegWrite等的代码,就不要去了,如果是加密的原代码,不是自己熟悉的网站也不要去,如果连右键都用不了的,也要小心为好(看看原码有什么所谓啊,除非有什么好的JAVA或是恶意代码)
对于Windows98用户,请打开C:\WINDOWS\JAVA Packages\ CVLV1NBB.ZIP,把其中的“ActiveXComponent.class删掉,对于WindowsMe用户,请打开C:\WINDOWS\JAVAPackages.NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉,这些删掉不会影响正常浏览网页
在Windows 2000/XP,可以通过禁用“远程注册表服务”来阻挡部分恶意脚本。具体方法是:在“控制面板”→“管理工具”→“服务”中右键单击“Remote Registry Service”,在弹出选单中选择“属性”,打开属性对话框,在“General”内将“Startup ype”设为“Disabled”。这样也可以拦截部分恶意脚本程序。
嘿嘿,不用IE。用其他浏览器也可以……大家在中了恶意网页的陷阱后,先不要立即重新启动计算机,到启动项里看看,有没有什么危险的启动项,比如deltree之类的。
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章 360快剪辑怎么使用 36金山词霸如何屏幕取词百度收购PPS已敲定!3
最新文章
微信3.6.0测试版更新了微信支付漏洞会造成哪
360快剪辑怎么使用 360快剪辑软件使用方法介酷骑单车是什么 酷骑单车有什么用Apple pay与支付宝有什么区别 Apple pay与贝贝特卖是正品吗 贝贝特卖网可靠吗
人气排行 xp系统停止服务怎么办?xp系统升级win7系统方电脑闹钟怎么设置 win7电脑闹钟怎么设置office2013安装教程图解:手把手教你安装与qq影音闪退怎么办 QQ影音闪退解决方法VeryCD镜像网站逐个数,电驴资料库全集同步推是什么?同步推使用方法介绍QQ2012什么时候出 最新版下载EDiary——一款好用的电子日记本
查看所有0条评论>>