| 導購 | 订阅 | 在线投稿
分享
 
 
 

注冊表 保護系統

來源:互聯網  2008-09-05 07:10:20  評論

首先要懂得備份注冊表,改出了問題,也可以直接回複,老鼠要記得:單擊「開始→運行」菜單項,在「運行」對話框中輸入「Regedit」,單擊「確定」按鈕後打開注冊表編輯器,如果要備份整個注冊表,要選擇注冊表根目錄(即「我的電腦」節點),然後單擊鼠標右鍵,選擇「導出」命令,打開「導出注冊表文件」對話框,在「文件名」框中輸入注冊表文件的名稱及保存的路徑,單擊「保存」按鈕即可。注冊表備份文件擴展名爲REG。恢複注冊表只要雙擊備份文件就行(要說明的是:如果你今天備份,明天恢複注冊表,就相當于,整個系統回到今天的樣子,所以備份注冊表也是系統還原的一種方式)

點擊「開始」→「運行」輸入regedit 點「確定」。

1.預防Acid Battery v1.0木馬的破壞

打開hkey-local-machine\software\microsoft\windows\current version\runservices並選中它,若在右側窗口中發現了「explorer」鍵值,則感染了Acid Battery v1.0木馬,將它刪除。然後重啓計算機就ok了。

2.預防YAI木馬的破壞

打開hkey-local-machine\software\microsoft\windows\current version\runservices並選中它,若在右側窗口中發現了「batterieanzeige」鍵值,則感染了YAI木馬,將它刪除。然後重啓計算機。

3.預防WinNuke的破壞

打開hkey-local-machine\system\currentcorolset\servicesnt\vx

d\mstcp選中它,在右側窗口中新建或更改字符串「BSDUrgent」

設其值爲「0」。然後重啓計算機。

4.查找BackOffice黑客程序

打開hkey-local-machine\software\microsoft\windows\current version\runservices並選中,若發現「.exe」鍵值,則刪除。然後重啓計算機,然後打開C:\windows\system下的「空格.exe」和「windll.dll」。

5.查找Pretty park黑客程序

打開hkey-local-machine\exefile\shell\open\comman並選中它

若在右側窗口中發現了「FILES32.VXD」%1」%*」之類的字符串,說明已經被安裝上了Pretty park,將其刪除。然後重啓。

6.在注冊表的路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options裏面新建立一個項(隨便叫什麽),在項內新建一個字串符值,命名爲「Debugger」,雙擊,輸入要禁止的文件的路徑。

例如,發現進程中有木馬或病毒,路徑爲 C:\aaa\123.exe,則就在剛建立的Debugger中輸入C:\\aaa\\123.exe (這裏路徑斜杠用雙斜杠)。然後關閉注冊表編輯器,重新啓動電腦。這時病毒無法啓動了,然後直接刪除就可以了。

我把最常用的4種文件關聯的默認值寫出來!~以後,要是懷疑自己中了木馬,你可以查看這5種文

件的關聯,在注冊表中是不是被改,如果被改的話,一定要馬上把他們還原!~

exe關聯:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] 默認值是:%l %*

txt關聯:

[HKEY-CLASSES-ROOT\txtfile\shell\open\command],默認值是:%SystemRoot%\system32\NOTEPAD.EXE %1

com關聯:

[HKEY_CLASSES_ROOT\comfile\shell\open\command], 默認值是:%l %*

ini關聯:

[HKEY-CLASSES-ROOT\Inifile\shell\Open\Cpmmand],默認值是:%SystemRoot%\System32\NOTEPAD.EXE %1

inf關聯:

[HKEY-CLASSES-ROOT\Inffile\shell\Open\Cpmmand],默認值是:%SystemRoot%\System32\NOTEPAD.EXE %1

有些情況比較複雜,導致你計算機啓動不到windows界面,那就要用Dos來恢複,在老鼠啓動計算機時按F8 ,就可以進入Dos界面,只要備份過注冊表就好,實際上,注冊表中的數據保存在System.dat和User.dat這兩個文件中。要做的就是在DOS下重寫這兩個文件。首先用系統盤啓動進入DOS模式,然後輸入命令進行恢複。具體格式爲:Regedit /L:system /R:user /C file.reg。其中/L:system用于指定System.dat文件所在的路徑;/R:user用于指定User.dat文件所在的路徑;/C參數將告訴注冊表編輯器,用其後邊的.reg文件中的內容重新建立注冊表。例如系統裝載C盤,需要用注冊表文件file.reg文件中的內容重新建立整個注冊表,可以輸入:Regedit /L:C:\windows\ /R:C:\Windows\Profiles\ /C file1.reg,回車後即可完成寫入。接下來重啓就行!

你比較守舊,上面的方法對你的電腦很管用。另外還要說明的是,注冊表雖然讓你的系統恢複正常,但是如果中了病毒,它們只是被抑制了,弄好後,記得還要用,升級過後的殺毒軟件殺一下,放心,被關在「牢」裏的病毒能輕松殺掉!水平有限,但所描述皆經得起實踐,不吝賜教,謝謝!

首先要懂得備份注冊表,改出了問題,也可以直接回複,老鼠要記得:單擊「開始→運行」菜單項,在「運行」對話框中輸入「Regedit」,單擊「確定」按鈕後打開注冊表編輯器,如果要備份整個注冊表,要選擇注冊表根目錄(即「我的電腦」節點),然後單擊鼠標右鍵,選擇「導出」命令,打開「導出注冊表文件」對話框,在「文件名」框中輸入注冊表文件的名稱及保存的路徑,單擊「保存」按鈕即可。注冊表備份文件擴展名爲REG。恢複注冊表只要雙擊備份文件就行(要說明的是:如果你今天備份,明天恢複注冊表,就相當于,整個系統回到今天的樣子,所以備份注冊表也是系統還原的一種方式) 點擊「開始」→「運行」輸入regedit 點「確定」。 1.預防Acid Battery v1.0木馬的破壞 打開hkey-local-machine\software\microsoft\windows\current version\runservices並選中它,若在右側窗口中發現了「explorer」鍵值,則感染了Acid Battery v1.0木馬,將它刪除。然後重啓計算機就ok了。 2.預防YAI木馬的破壞 打開hkey-local-machine\software\microsoft\windows\current version\runservices並選中它,若在右側窗口中發現了「batterieanzeige」鍵值,則感染了YAI木馬,將它刪除。然後重啓計算機。 3.預防WinNuke的破壞 打開hkey-local-machine\system\currentcorolset\servicesnt\vx d\mstcp選中它,在右側窗口中新建或更改字符串「BSDUrgent」 設其值爲「0」。然後重啓計算機。 4.查找BackOffice黑客程序 打開hkey-local-machine\software\microsoft\windows\current version\runservices並選中,若發現「.exe」鍵值,則刪除。然後重啓計算機,然後打開C:\windows\system下的「空格.exe」和「windll.dll」。 5.查找Pretty park黑客程序 打開hkey-local-machine\exefile\shell\open\comman並選中它 若在右側窗口中發現了「FILES32.VXD」%1」%*」之類的字符串,說明已經被安裝上了Pretty park,將其刪除。然後重啓。 6.在注冊表的路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options裏面新建立一個項(隨便叫什麽),在項內新建一個字串符值,命名爲「Debugger」,雙擊,輸入要禁止的文件的路徑。 例如,發現進程中有木馬或病毒,路徑爲 C:\aaa\123.exe,則就在剛建立的Debugger中輸入C:\\aaa\\123.exe (這裏路徑斜杠用雙斜杠)。然後關閉注冊表編輯器,重新啓動電腦。這時病毒無法啓動了,然後直接刪除就可以了。 我把最常用的4種文件關聯的默認值寫出來!~以後,要是懷疑自己中了木馬,你可以查看這5種文 件的關聯,在注冊表中是不是被改,如果被改的話,一定要馬上把他們還原!~ exe關聯: [HKEY_CLASSES_ROOT\exefile\shell\open\command] 默認值是:%l %* txt關聯: [HKEY-CLASSES-ROOT\txtfile\shell\open\command],默認值是:%SystemRoot%\system32\NOTEPAD.EXE %1 com關聯: [HKEY_CLASSES_ROOT\comfile\shell\open\command], 默認值是:%l %* ini關聯: [HKEY-CLASSES-ROOT\Inifile\shell\Open\Cpmmand],默認值是:%SystemRoot%\System32\NOTEPAD.EXE %1 inf關聯: [HKEY-CLASSES-ROOT\Inffile\shell\Open\Cpmmand],默認值是:%SystemRoot%\System32\NOTEPAD.EXE %1 有些情況比較複雜,導致你計算機啓動不到windows界面,那就要用Dos來恢複,在老鼠啓動計算機時按F8 ,就可以進入Dos界面,只要備份過注冊表就好,實際上,注冊表中的數據保存在System.dat和User.dat這兩個文件中。要做的就是在DOS下重寫這兩個文件。首先用系統盤啓動進入DOS模式,然後輸入命令進行恢複。具體格式爲:Regedit /L:system /R:user /C file.reg。其中/L:system用于指定System.dat文件所在的路徑;/R:user用于指定User.dat文件所在的路徑;/C參數將告訴注冊表編輯器,用其後邊的.reg文件中的內容重新建立注冊表。例如系統裝載C盤,需要用注冊表文件file.reg文件中的內容重新建立整個注冊表,可以輸入:Regedit /L:C:\windows\ /R:C:\Windows\Profiles\ /C file1.reg,回車後即可完成寫入。接下來重啓就行! 你比較守舊,上面的方法對你的電腦很管用。另外還要說明的是,注冊表雖然讓你的系統恢複正常,但是如果中了病毒,它們只是被抑制了,弄好後,記得還要用,升級過後的殺毒軟件殺一下,放心,被關在「牢」裏的病毒能輕松殺掉!水平有限,但所描述皆經得起實踐,不吝賜教,謝謝!
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有