Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows XP系統教程 >> 關於XP系統教程 >> 深度解析注冊表修復不成功的原因

深度解析注冊表修復不成功的原因

日期:2017/1/23 17:13:22      編輯:關於XP系統教程

  道高一尺,魔高一丈,惡意網頁的卑鄙手段可謂是“推陳出新”啊。用一些簡單的注冊表修復方法後,已經不能完全解決問題了。如果你的注冊表在恢復後又回到了被修改的老樣子,不妨看看是否是以下原因引起的呢?

  1.修改注冊表禁止命令形式的修改,目的是不讓用戶通過注冊表修復回去。

  最通常的修改是鎖住注冊表,還有破壞關聯:比如.reg,.vbs,.inf等。

  關於解鎖注冊表,在前面已經介紹了方法,至於被修改關聯,只要我前面說的注冊表修改的方法裡的關聯還 能用,就可以用其中的任意一個,但如果.reg,.vbs,.inf都被修改了,怎麼辦啊?,也不用怕,把 .exe 後綴改為.com後綴,我一樣可以編輯注冊表,.com也被改了,怎麼辦?沒那麼狠吧,行,我再改後綴為.scr 。嘿嘿,一樣還可以修改。

  最好的最簡單的辦法,馬上重新啟動,按F8進入DOS下,敲入SCANREG/RESTORE,選擇以前的正常時的注冊表 還原就可以,注意了,一定要選擇沒被修改時的注冊表!如果發現連scanreg都被刪除了(一些網站就是這麼 狠的,用A盤COPY一個scanreg.exe到COMMAN下即可。

  有必要在這裡說說常見的文件關聯的默認值

  正常的exe關聯為[HKEY_CLASSES_ROOT\exefile\shell\opencommand]

  默認的鍵值為:"%1 %*" 將此關聯改回去即可使用exe文件

  2.修改注冊表後留後門,目的讓你修改注冊表好像成功,重新啟動後又恢復到被修改的狀態。

  這主要是在啟動項裡留了後門,大家可以打開注冊表到(也可以用一些工具比如優化大師等來察看)

  HKCUSoftware\Microsoft\Windows\CurrentVersion\Run

  HKCUSoftware\Microsoft\Windows\CurrentVersion\RunOnce

  HKCUSoftware\Microsoft\Windows\CurrentVersion\RunServices

  HKCUSoftware\Microsoft\Windows\CurrentVersion\Run-

  看看有沒有可疑的啟動項目,這一點最多朋友忽略,哪些啟動可疑呢?

  我這裡給出幾個大家需要注意的,啟動項裡鍵值有出現.hml和.htm後綴的,最好都去掉,還有有.vbs後綴的 啟動項也去掉,還有一個很重要的,如果有這一個啟動項,出現有類似鍵值的,比如:

  system 鍵值是regedit -s c:\windows……請注意,這個regedit -s 是注冊表的一個後門參數,是用來導 入注冊表的,這樣的選項一定要去掉

  還有一類修改會在c:\windows產生.vbs後綴的文件,或是.dll文件,其實.dll文件實際是.reg文件(喬裝成DLL文件的惡意網頁病毒)

  此時你要看看c:\windows\win.ini文件,看看load=,run=,這兩個選項後面應該是空的,如果有其他程序 修改load=,run=,將=後面程序刪除,刪除前看看路徑和文件名,刪除後在到system下刪除對應的文件

  還有一種方法,大家如果屢次修改重啟又恢復回去,可以搜索C盤下所有的.vbs文件,可能有隱藏的,用記 事本打開,看到裡面有關於修改注冊表的都把它刪除或保險起見把後綴改掉,你可以按中惡意網頁的病毒的 時間來搜索文件:)

  下面的這個漏洞大家非常值得注意,很多朋友說,你說的方法我都試了,啟動項裡絕對沒有什麼可疑的,也沒有什麼vbs文件,呵呵,大家在啟動IE時還有一個陷阱,就是IE主界面的工具的菜單裡的廣告,一定要去 掉,因為這些會在你啟動IE時啟動,所以你修改完其他的先別著急打開IE窗口,否則白費力氣,方法:打開注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到廣告就刪,別留情!

  一個很重要的問題,在中了惡意網頁的陷阱後一定要先清空IE所有臨時文件,切記!

  說了那麼多,那如何防御這類惡意網頁呢?

  一個一勞永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B這個ID刪掉在注冊表的路徑為HKEY_CLASSES_ROOT\CLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}

  記住,看清楚了再刪除,千萬別刪錯其他。刪掉這個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統不會有影響的。

  在IE的選單欄中選擇“工具”→“Internet選項”,在彈出的對話框中切換到“安全”標簽,選擇“ Internet”後點擊“自定義級別”按鈕,在“安全設置”對話框中,把“ActiveX控件和插件”、“腳本” 中的相關選項全部選擇“禁用”或“提示”即可。但如果選擇了“禁用”,一些正常使用ActiveX和腳本的 網站可能無法完全顯示。建議選擇:提示。遇到警告時,看看該網站的原代碼,如果發現有出現 Shl.RegWrite等的代碼,就不要去了,如果是加密的原代碼,不是自己熟悉的網站也不要去,如果連右鍵都用不了的,也要小心為好(看看原碼有什麼所謂啊,除非有什麼好的JAVA或是惡意代碼)

  對於Windows98用戶,請打開C:\WINDOWS\JAVA Packages\ CVLV1NBB.ZIP,把其中的“ActiveXComponent.class刪掉,對於WindowsMe用戶,請打開C:\WINDOWS\JAVAPackages.NZVFPF1.ZIP,把其中的“ActiveXComponent.class”刪掉,這些刪掉不會影響正常浏覽網頁

  在Windows 2000/XP,可以通過禁用“遠程注冊表服務”來阻擋部分惡意腳本。具體方法是:在“控制面板”→“管理工具”→“服務”中右鍵單擊“Remote Registry Service”,在彈出選單中選擇“屬性”,打開屬性對話框,在“General”內將“Startup ype”設為“Disabled”。這樣也可以攔截部分惡意腳本程序。

  嘿嘿,不用IE。用其他浏覽器也可以……大家在中了惡意網頁的陷阱後,先不要立即重新啟動計算機,到啟動項裡看看,有沒有什麼危險的啟動項,比如deltree之類的。

Copyright © Windows教程網 All Rights Reserved