惡意網(wǎng)頁之注冊表后門—注冊表使用全攻略之十九


瀏覽器頑固不改， 修改注冊表成功，重新啟動后又恢復(fù)到被修改的狀態(tài)



主要是修改注冊表后留后門，目的讓你修改注冊表好像成功，重新啟動后又恢復(fù)到被修改的狀態(tài)。 這主要是在啟動項(xiàng)里留了后門，大家可以打開注冊表到

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersionRun-

將其下的registry.exe子鍵刪除，然后刪除自運(yùn)行程序c:\Program Files\registry.exe


2、以下為重要提示：看看有沒有其他可疑的啟動項(xiàng)目，這一點(diǎn)最多朋友忽略，哪些啟動可疑呢？

啟動項(xiàng)里鍵值有出現(xiàn).hml和.htm后綴的，最好都去掉，還有有.vbs后綴的

還有一個很重要的，如果有這一個啟動項(xiàng)，出現(xiàn)有類似鍵值的，比如：

system 鍵值是regedit -s c:\windows……請注意，這個regedit -s 是注冊表的一個后門參

數(shù)，是用來導(dǎo) 入注冊表的，這樣的選項(xiàng)一定要去掉

還有一類修改會在c:\windows\產(chǎn)生.vbs后綴的文件，或是.dll文件，你要看看

c:\windows\win.ini文件，看看load=，run=，這兩個選項(xiàng)后面應(yīng)該是空的，如果有其他程

序 修改load=，run=，將=后面程序刪除，刪除前看看路徑和文件名，刪除后在到

system下刪除對應(yīng)的文件

還有一種方法，大家如果屢次修改重啟又恢復(fù)回去，可以搜索C盤下所有的.vbs文件，可能

有隱藏的，用記 事本打開，看到里面有關(guān)于修改注冊表的都把它刪除或保險起見把后綴改

掉，你可以按中惡意網(wǎng)頁的病毒的 時間來搜索文件,

下面的這個漏洞大家非常值得注意，在啟動IE時IE主界面的工具的菜單里的廣告，一定要

去 掉，因?yàn)檫@些會在你啟動IE時啟動，所以你修改完其他的先別著急打開IE窗

口，否則白費(fèi)力氣，方法：打開 注冊表

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到廣告就刪，別留情

一個很重要的問題，在中了惡意網(wǎng)頁的陷阱后一定要先清空IE所有臨時文件，切記

（出處：熱點(diǎn)網(wǎng)絡(luò)）

最新評論