先試試這樣
------------------------------------------------------------
1.修改注冊表禁止命令形式的修改,目的是不讓用戶通過注冊表修復回去。
最通常的修改是鎖住注冊表,還有破壞關聯:比如.reg,.vbs,.inf等
關于解鎖注冊表,在前面已經介紹了方法,至于被修改關聯,只要我前面說的注冊表修改的方法里的關聯還 能用,就可以用其中的任意一個,但如果.reg,.vbs,.inf都被修改了,怎么辦啊?,也不用怕,把 .exe 后綴改為.com后綴,我一樣可以編輯注冊表,.com也被改了,怎么辦?沒那么狠吧,行,我再改后綴為.scr 。嘿嘿,一樣還可以修改。
最好的最簡單的辦法,馬上重新啟動,按F8進入DOS下,敲入/,選擇以前的正常時的注冊表 還原就可以,注意了,一定要選擇沒被修改時的注冊表!如果發現連都被刪除了(一些網站就是這么 狠的,用A盤COPY一個.exe到下即可
有必要在這里說說常見的文件關聯的默認值
正常的exe關聯為[\\shell\open\]
默認的鍵值為:"%1 %*" 將此關聯改回去即可使用exe文件
2.修改注冊表后留后門,目的讓你修改注冊表好像成功,重新啟動后又恢復到被修改的狀態。
這主要是在啟動項里留了后門,大家可以打開注冊表到(也可以用一些工具比如優化大師等來察看)
HKCU\\\\\Run
HKCU\\\\\
HKCU\\\\\
HKCU\\\\-
看看有沒有可疑的啟動項目,這一點最多朋友忽略,哪些啟動可疑呢?
我這里給出幾個大家需要注意的,啟動項里鍵值有出現.hml和.htm后綴的,最好都去掉,還有有.vbs后綴的 啟動項也去掉,還有一個很重要的,如果有這一個啟動項,出現有類似鍵值的,比如:
鍵值是 -s c:\……請注意,這個 -s 是注冊表的一個后門參數,是用來導 入注冊表的,這樣的選項一定要去掉
還有一類修改會在c:\\產生.vbs后綴的文件,或是.dll文件,其實.dll文件實際是.reg文件(喬裝成DLL文件的惡意網頁病毒)
此時你要看看c:\\win.ini文件,看看load=,run=,這兩個選項后面應該是空的讓exe關聯回原狀態,如果有其他程序 修改load=,run=,將=后面程序刪除,刪除前看看路徑和文件名,刪除后在到下刪除對應的文件
還有一種方法,大家如果屢次修改重啟又恢復回去,可以搜索C盤下所有的.vbs文件,可能有隱藏的,用記 事本打開,看到里面有關于修改注冊表的都把它刪除或保險起見把后綴改掉,你可以按中惡意網頁的病毒的 時間來搜索文件:)
下面的這個漏洞大家非常值得注意,很多朋友說,你說的方法我都試了,啟動項里絕對沒有什么可疑的,也沒有什么vbs文件,呵呵,大家在啟動IE時還有一個陷阱,就是IE主界面的工具的菜單里的廣告,一定要去 掉,因為這些會在你啟動IE時啟動,所以你修改完其他的先別著急打開IE窗口,否則白費力氣,方法:打開注冊表\\\ \看到廣告就刪,別留情!
一個很重要的問題,在中了惡意網頁的陷阱后一定要先清空IE所有臨時文件,切記!
說了那么多,那如何防御這類惡意網頁呢?
一個一勞永逸的方法,把-1CF0-11D0-ADB9-這個ID刪掉在注冊表的路徑為\CLSID\{-1CF0-11D0-ADB9-}
記住,看清楚了再刪除,千萬別刪錯其他。刪掉這個-1CF0-11D0-ADB9-對系統不會有影響的。
在IE的選單欄中選擇“工具”→“選項”,在彈出的對話框中切換到“安全”標簽,選擇“ ”后點擊“自定義級別”按鈕,在“安全設置”對話框中,把“控件和插件”、“腳本” 中的相關選項全部選擇“禁用”或“提示”即可。但如果選擇了“禁用”,一些正常使用和腳本的 網站可能無法完全顯示。建議選擇:提示。遇到警告時,看看該網站的原代碼,如果發現有出現 Shl.等的代碼,就不要去了,如果是加密的原代碼,不是自己熟悉的網站也不要去,如果連右鍵都用不了的,也要小心為好(看看原碼有什么所謂啊,除非有什么好的JAVA或是惡意代碼)
對于用戶,請打開C:\\JAVA\\.ZIP,把其中的“.class刪掉,對于用戶,請打開C:\\JAVA\\.ZIP,把其中的“.class”刪掉,這些刪掉不會影響正常瀏覽網頁
在 2000/XP,可以通過禁用“遠程注冊表服務”來阻擋部分惡意腳本。具體方法是:在“控制面板”→“管理工具”→“服務”中右鍵單擊“ ”,在彈出選單中選擇“屬性”,打開屬性對話框,在“”內將“ ype”設為“”。這樣也可以攔截部分惡意腳本程序。
嘿嘿,不用IE。用其他瀏覽器也可以……大家在中了惡意網頁的陷阱后,先不要立即重新啟動計算機,到啟動項里看看,有沒有什么危險的啟動項,不如之類的 .
---------------------------------------------------
如果上述不行就這樣:
---------------------------------------------------
XP注冊表故障修復
電腦出現故障的原因很多,其中有不少是由注冊表產生的。一般出現以下癥狀則可以初步斷定為注冊表出了問題:(1)運行程序時彈出“找不到*.dll”信息;(2)應用程序出現“找不到服務器上的嵌入對象”或“找不到OLE控件”錯誤提示;(3)單擊某個文檔時, XP給出“找不到應用程序打開這種類型的文檔”信息;(4)資源管理器中存在沒有圖標的文件夾、文件或奇怪的圖標;(5)菜單、控制面板中的一些項目丟失或處于不可激活狀態;(6)網絡連接無法建立;(7)工作正常的硬件設備變得不起作用;(8) XP根本無法啟動,或僅能從安全模式啟動;(9) XP系統顯示“注冊表損壞”等信息。
此時可采取以下方法修復注冊表:
A.在 XP下用備份文件還原
如果 XP還能啟動,只是出現出錯提示信息并且有些系統程序不能用,單擊“開始”→“所有程序”→“附件”→“系統工具”→“備份”菜單項,調出“備份工具”對話框,然后點擊“備份工具”對話框中的“還原與管理媒體”標簽,將注冊表還原到損壞前的狀態。此方法有個前提條件,就是你必須有注冊表損壞前的備份文件。
B.用 XP的“系統還原”功能還原
和上一方法一樣,必須能啟動進入 XP系統。單擊“開始”→“所有程序”→“附件”→“系統工具”→“系統還原”菜單項,調出“系統還原”對話框,選擇“恢復我的計算機到一個較早的時間”項,單擊“下一步”,選擇一個較早的還原點,然后單擊“下一步”確認。 XP便會重新啟動系統,將系統設置還原到指定的時間,并給出恢復完成的提示。如果你的 XP的系統還原功能被關閉,可單擊“開始”→“控制面板”→“系統”項,并點擊“系統還原”標簽,去掉“在所有驅動器上關閉系統還原”復選框前面的“√”。
C.使用上次正常啟動的注冊表配置
如 XP無法正常啟動,可使用上次正常啟動的注冊表配置。當電腦通過內存、硬盤自檢后,按F8鍵,進入啟動菜單,選擇“最后一次正確的配置”項,這樣 XP就可以正常啟動,同時將當前注冊表恢復為上次的注冊表。這里需要注意的是選擇“最后一次正確的配置”,并不能解決由于驅動程序或文件被損壞、丟失所導致的問題。同時,選擇“最后一次正確的配置”, XP只還原注冊表項\\中的信息。任何在其他注冊表項中所作的更改均保持不變。
D.使用安全模式恢復注冊表
如果使用“最后一次正確的配置”項無效,則可以在啟動菜單中選擇“安全模式”,這樣 XP可自動修復注冊表中的錯誤,從而使啟動能夠正常引導下去。引導進入系統后再執行方法1或方法2。
E.使用故障恢復控制臺修復損壞后的 XP注冊表
如果連安全模式都進不去,那么我們就不得不利用 XP的恢復控制臺來修復系統了。
將 XP安裝光盤放入光驅中,然后在BIOS中將光驅設為第一啟動驅動器。啟動電腦進入“歡迎使用安裝程序”界面,按“R”鍵進入 XP的“故障恢復控制臺”頁面,系統會將電腦中的 XP系統都列出來,選擇需要修復的系統,并鍵入管理員密碼。為了盡可能修復注冊表到損壞前的設置和狀態,可按以下4步進行操作。
進入故障恢復控制臺,新建一個臨時文件夾,備份當前的注冊表文件到臨時文件夾中以備不時之需,然后將當前注冊表文件刪除,接著將“%%\”目錄下文件拷貝到“%%\\”目錄下,最后重新啟動系統便可進入 XP系統。不過恢復此項操作的是 XP剛安裝完后的注冊表,因此,安裝完后所做的任何改變和設置都將丟失。具體操作如下(這里假設 XP安裝在E:\下,具體操作應根據情況改變此文件夾):(1)進入故障恢復控制臺
(2)鍵入以下命令,每鍵入1行便按回車鍵1次:
md tmp
copy e:\\\\sam e:\\tmp\sam.bak
e:\\\\sam
copy e:\\\sam e:\\\\sam
接著將后3行中的“sam”字符分別替換為“”、“”、“”和“”,分別鍵入(即除上述4行命令,還另有12行命令)。這里需要注意的是,熟悉DOS命令的朋友可以將語句去除,在進行copy時選擇“Yes”;此外這里的copy命令不支持通配符“*”和“?”,一次只能復制一個文件。如果你有另外一臺電腦可用,為節省時間也可用記事本新建一個文本文件讓exe關聯回原狀態,并將全部命令拷入,例如將其取名為r1.txt,把它拷貝到目錄下,并在故障恢復控制臺的目錄下運行“batch r1.txt”命令。
(3)鍵入“exit”退出故障恢復控制臺,電腦將自動重新啟動,直接以正常模式進入 XP系統。
這一步需要從 文件夾中拷貝注冊表文件,以恢復系統設置,不過此文件夾在故障恢復控制臺下不能用,在正常情況下的 XP系統中也不可見,因此首先應改變幾項設置使得文件夾可見。
(1)重新啟動系統,從“安全模式”以管理員組成員()的身份進入 XP系統。
(2)進入資源管理器窗口,點擊“工具”→“文件夾選項”,然后點選“查看”標簽,在“高級設置”框中的“隱藏文件和文件夾”下點選“顯示所有文件和文件夾”項,再清除“隱藏受保護的操作系統文件”前的“√”,最后單擊“確定”。
(3)進入 XP系統所在驅動器,進入 \{-4366-49A4-8B15-}\RPn\目錄(RPn中的“n”為數字,若有多個,選擇最大的那個),將該目錄中的.、、、STEM、M共5個文件拷貝到\tmp文件夾中,分別將其重命名為、、、、sam。
在這一步中又要進入故障恢復臺,將當前注冊表文件刪除,然后把剛才拷貝到\tmp中的5個文件,復制到\\文件夾下替代當前注冊表文件。具體操作請先進入故障恢復控制臺,然后在命令行下輸入如下命令:
del e:\\\\sam
copy e:\\tmp\sam e:\\\\sam
同理將“sam”字符分別替換為“”、“”、“”和“”,分別鍵入(共10行命令)。
同樣的道理也可以用batch命令進行上述操作,另外如果 XP不安裝在E盤,請根據實際情況更改。
以正常模式進入 XP系統,運行“系統還原”工具,將系統還原到所需的還原點。具體操作可以參照前面的方法。