荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: gordonlot (万劫不复), 信区: Virus
标  题: 如何应对“恶意修改”?
发信站: 荔园晨风BBS站 (Fri Jan 25 15:30:01 2002), 转信


  经常有这样的情况发生:某次上网后,系统就被修改了。有的在“开始”菜单中没
有了“关闭系统”;有的不允许修改注册表;更多时是修改了IE的起始页面,并且
禁止对起始页面修改。如何解决此类问题呢?
    归根结底,上述种种现象是某些别有用心的人利用浏览器和系统的漏洞,通过
编写含有恶意代码的脚本语言,侵入Windows系统,修改了注册表的相关表项。所
以只要利用注册表编辑器Regedit打开注册表,找到被修改的键值,将其更正就行
了。但是注册表作为Windows的核心,又岂是普通用户所能理解并擅自修改的?更
有甚者,有些恶意代码甚至禁止了Regedit命令对注册表的调用,又该怎么办呢?


在此介绍两种解决办法。

方法一、从注册表备份文件中恢复正确的注册表

    从Win 98开始,可以自动对注册表进行备份,而且能自动保存5个开机天的注
册表备份文件(.CAB文件)。恢复操作步骤如下:

1.重新启动Windows并切换到MS-DOS方式;
2.在DOS提示符后输入命令:
scanreg/restore
3.从注册表备份文件列表中,选择被恶意代码“袭击”以前的注册表备份文件(
可以通过日期判断),再点击“restore”即可。

    但是如果在遭遇恶意代码后“一味迁就”,并“带病”工作了多天(超过5天
),这种方法就不能把你从恶意代码的黑手中“解救出来”。那么,可以用方法二
解决。

方法二、利用.reg文件修改注册表

   当用Regedit命令打不开注册表时,我们可以采用建立 .reg文件的办法,直接
向注册表中添加对应项的键值。下面是对付常见恶意代码的recover.reg文件内容


REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\sy
stem]
“DisableRegistryTools”=dword:0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex
plorer]
“Norun”=dword:0
“NoLogOff”=dword:0
[HKEY_CURRENT_USERS\Software\Policies\Microsoft\Internet
Explorer\control panel]
“Homepage”=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\main]
“Windows Title”=“”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
“Windows Title”=“”

如果不知道如何将上述内容保存到一个后缀为reg的文件,可进行如下操作:

1.打开“记事本”程序(依次点“开始\程序\记事本”)。
2.输入上面recover.reg文件的内容。

输入时,一定要注意格式:

Win 98、Win ME系统,首行必须是“REGEDIT4”,且字母大写;
Win 2000、Win XP系统,首行应为“Windows Registry Editor Version 5.00”。


3.点击“文件\另存为”,文件名可用“recover .reg”,注意将“保存类型”设
为“所有文件(*.*)”,“保存在”一栏是保存文件recover.reg的目录,一定要
记住以便调用。

4.打开保存recover.reg的目录,找到该文件——它应该是带有一个堆砌蓝色小立
方体的注册表类型的图标。双击该图标,在弹出的对话框中点击“是(Y)”,接
下来的提示框会告诉你:recover.reg文件中的信息已成功输入注册表,点击“确
定”就行了。如果提示框显示:“不能引入......”,说明你的recover.reg文件
的格式不对。

    现在,“开始菜单”已经完全恢复,IE默认页面也允许手动修改。启动IE,点
击“工具\Internet选项”,在“主页”的“地址”栏中输入你希望的主页地址,
点“确定”。

    如果Windows启动时,还会自动启动IE,要取消它。可以点“开始\运行”,键
入“msconfig”、点“确定”,在打开的“系统配置实用程序”窗口中,点开右边
的“启动”页面,在启动项列表中,找出包含Internet 域名(形如www.xxxx.com
或www.xxxx.net)的行,去掉前面的对号(鼠标单击即可),点“确定”。重新启
动后,机器即告痊愈。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店