Análisis profundo del motivo de la recuperación fallida del registro

La carretera tiene un pie de altura, la altura del diablo es de un pie, la media de páginas web maliciosas se puede describir como "vender nuevas" y " Después de usar algunos métodos simples de reparación del registro, el problema no se puede resolver completamente. Si su registro ha vuelto al antiguo después de ser restaurado, ¿puede ver las siguientes razones?

1. Modifique el registro para prohibir la modificación del formulario de comando, el propósito es no permitir que el usuario repare a través del registro.

La modificación más común es bloquear el registro y destruir asociaciones: por ejemplo, .reg, .vbs, .inf, etc.

Acerca de desbloquear el registro, el método se introdujo en la sección anterior. En cuanto a la asociación que se está modificando, siempre que se pueda usar la asociación en el método de modificación del registro que mencioné anteriormente, se puede usar cualquiera de ellos, pero si .reg, .vbs, .inf se han modificado, ¿qué debo hacer? No tenga miedo, cambie el sufijo .exe por el sufijo .com. También puedo editar el registro. .Com también ha cambiado. ¿Qué debo hacer? No es tan embarazoso, está bien, cambié el sufijo a .scr. Oh, también puede ser modificado.

La forma mejor y más fácil es reiniciar de inmediato, presione F8 para ingresar a DOS, escriba SCANREG /RESTORE, seleccione la restauración del registro normal anterior, debe prestar atención, debe elegir no ser Modificado el registro! Si descubre que incluso se eliminó scanreg (algunos sitios web son tan vergonzosos, use un disco COPY a scanreg.exe para COMMAN.)

Es necesario hablar sobre el valor predeterminado asociado con el archivo común < Br>

La asociación exe normal es [HKEY_CLASSES_ROOT \\ exefile \\ shell \\ opencommand]

El valor de clave predeterminado es: "% 1% * " Cambie esta asociación para usar el archivo exe < Br>

2. Después de modificar el registro, salir de la puerta de atrás, el propósito es hacer que se modifique, el registro parece tener éxito y luego volver al estado modificado después de reiniciar.

Esto es principalmente para dejar la puerta de atrás en el elemento de inicio. , puede abrir el registro para (también puede usar algunas herramientas, como maestros de optimización para ver)

HKCUSoftware \\ Microsoft \\ Windows \\ CurrentVersion \\ Run

HKCUSoftware \\ Microsoft \\ Windows \\ CurrentVersion \\ RunOnce

HKCUSoftware \\ Microsoft \\ Windows \\ CurrentVersion \\ RunServices

HKCUSoftware \\ Microsoft \\ Windows \\ CurrentVersion \\ Run-

A ver si hay algún proyecto de inicio sospechoso, esta es la mayoría de los amigos Ignorar, que arranque puede ser Aquí?

Le daré algunos puntos para anotar aquí. Los valores clave en los elementos de inicio son los sufijos .hml y .htm. Es mejor eliminarlos. También se eliminan los elementos de inicio con el sufijo .vbs. También hay una muy importante, si hay este elemento de inicio, hay valores clave similares, tales como:

el valor de la clave del sistema es regedit -sc: \\ windows … … Tenga en cuenta que esto es regedit -s Es un parámetro de puerta trasera del registro, se usa para importar el registro, tales opciones deben eliminarse

También hay un tipo de modificación que se generará en el archivo de sufijo c: \\ windows.vbs, o en el archivo .dll De hecho, el archivo .dll es en realidad un archivo .reg (un virus de página web malintencionado disfrazado de archivo DLL).

En este punto, debe ver el archivo c: \\ windows \\ win.ini y ver load =, run =, Estas dos opciones deben estar vacías después. Si hay otros programas que modifican load =, run =, se eliminará el siguiente programa. Mire la ruta y el nombre del archivo antes de eliminar. Elimine el archivo correspondiente en el sistema después de la eliminación

Hay otra forma, si modifica repetidamente el reinicio y luego vuelve, puede buscar en la unidad C Algunos archivos .vbs pueden estar ocultos. Ábralos con el Bloc de notas. Si ve los cambios en el registro, bórrelos o cambie el sufijo. Puede buscar archivos en el momento en que aparezca el virus en la página web maliciosa. :)

La siguiente vulnerabilidad es muy notable. Muchos amigos dijeron que probé todos los métodos que mencionaste. No hay absolutamente ninguna sospecha en los elementos de inicio y no hay un archivo vbs. Oh, todos están empezando. También hay una trampa en IE, es decir, el anuncio en el menú de la herramienta de la interfaz principal de IE debe eliminarse, ya que se iniciarán al iniciar IE, por lo que no tiene que preocuparse por abrir la ventana de IE después de modificar otras cosas, de lo contrario se agotará. Método: Abra el registro HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Internet Explorer \\ Extensions para ver el anuncio eliminado, ¡no sea misericordioso!

Una pregunta muy importante, en la trampa de las páginas web maliciosas, primero debes borrar todos los archivos temporales de IE, ¡recuerda!

Habiendo dicho eso, ¿cómo te defiendes contra esas páginas web maliciosas?

Una forma de hacerlo de una vez por todas, eliminar el ID de F935DC22-1CF0-11D0-ADB9-00C04FD58A0B en el registro como HKEY_CLASSES_ROOT \\ CLSID {F935DC22-1CF0-11D0-ADB9-00C04FD58B2 <<< > Recuerde, léalo claramente y elimínelo, no borre el otro. Eliminar este F935DC22-1CF0-11D0-ADB9-00C04FD58A0B no tendrá ningún efecto en el sistema.

En la barra de menú de IE, seleccione " Herramientas " → " Opciones de Internet ", en el cuadro de diálogo emergente, cambie a la pestaña " Seguridad ", seleccione " Internet " y haga clic en &" El botón "Nivel personalizado", en el cuadro de diálogo "Configuración de seguridad", selecciona todas las opciones relevantes en "Controles y complementos ActiveX", "Script" " deshabilita " o " prompt " Sin embargo, si selecciona " Deshabilitar ", es posible que algunos sitios web que normalmente usan ActiveX y scripts no se muestren completamente. Opción sugerida: pronta. Cuando encuentre una advertencia, mire el código original del sitio web. Si encuentra que hay un código como Shl.RegWrite, no vaya. Si es un código original cifrado, no vaya a un sitio web con el que esté familiarizado. No, tenga cuidado también (mire cuál es el código original, a menos que exista un código malicioso o JAVA bueno)

Para usuarios de Windows98, abra C: \\ WINDOWS \\ JAVA Packages \\ CVLV1NBB .ZIP, elimine "ActiveXComponent.class", para los usuarios de WindowsMe, abra C: \\ WINDOWS \\ JAVAPackages.NZVFPF1.ZIP, elimine "ActiveXComponent.class", que no afectará la normalidad. Navegando por la web

En Windows 2000 /XP, puede bloquear algunos scripts maliciosos deshabilitando " servicio de registro remoto ". El método específico es: haga clic con el botón derecho en "Servicio de registro remoto" en el "Panel de control" " &rarquo; " Herramientas de administración " &rarquo; " Servicio ", seleccione " Propiedades " en el menú emergente, abra las propiedades En el cuadro de diálogo, establezca " Inicio ype " a " Deshabilitado " en " General ". Esto también puede bloquear algunos scripts maliciosos.

Hola, no IE. También puede usar otros navegadores … …; después de haber atrapado la trampa de una página web maliciosa, no reinicie la computadora de inmediato. Vaya al elemento de inicio y vea si hay elementos de inicio peligrosos, como deltree.