深度解析注冊(cè)表修復(fù)不成功的原因

道高一尺，魔高一丈，惡意網(wǎng)頁(yè)的卑鄙手段可謂是“推陳出新”啊。用一些簡(jiǎn)單的注冊(cè)表修復(fù)方法后，已經(jīng)不能完全解決問(wèn)題了。如果你的注冊(cè)表在恢復(fù)后又回到了被修改的老樣子，不妨看看是否是以下原因引起的呢？
    1.修改注冊(cè)表禁止命令形式的修改，目的是不讓用戶通過(guò)注冊(cè)表修復(fù)回去。
    最通常的修改是鎖住注冊(cè)表，還有破壞關(guān)聯(lián)：比如.reg，.vbs，.inf等。
    關(guān)于解鎖注冊(cè)表，在前面已經(jīng)介紹了方法，至于被修改關(guān)聯(lián)，只要我前面說(shuō)的注冊(cè)表修改的方法里的關(guān)聯(lián)還 能用，就可以用其中的任意一個(gè)，但如果.reg，.vbs，.inf都被修改了，怎么辦?。?，也不用怕，把 .exe 后綴改為.com后綴，我一樣可以編輯注冊(cè)表，.com也被改了，怎么辦？沒(méi)那么狠吧，行，我再改后綴為.scr 。嘿嘿，一樣還可以修改。
    的最簡(jiǎn)單的辦法，馬上重新啟動(dòng)，按F8進(jìn)入DOS下，敲入SCANREG/RESTORE，選擇以前的正常時(shí)的注冊(cè)表 還原就可以，注意了，一定要選擇沒(méi)被修改時(shí)的注冊(cè)表！如果發(fā)現(xiàn)連scanreg都被刪除了(一些網(wǎng)站就是這么 狠的，用A盤COPY一個(gè)scanreg.exe到COMMAN下即可。
    有必要在這里說(shuō)說(shuō)常見(jiàn)的文件關(guān)聯(lián)的默認(rèn)值
    正常的exe關(guān)聯(lián)為[HKEY_CLASSES_ROOT\exefile\shell\opencommand]
    默認(rèn)的鍵值為："%1 %*" 將此關(guān)聯(lián)改回去即可使用exe文件
    2.修改注冊(cè)表后留后門，目的讓你修改注冊(cè)表好像成功，重新啟動(dòng)后又恢復(fù)到被修改的狀態(tài)。
    這主要是在啟動(dòng)項(xiàng)里留了后門，大家可以打開(kāi)注冊(cè)表到(也可以用一些工具比如優(yōu)化大師等來(lái)察看)
    HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
    HKCUSoftware\Microsoft\Windows\CurrentVersion\RunOnce
    HKCUSoftware\Microsoft\Windows\CurrentVersion\RunServices
    HKCUSoftware\Microsoft\Windows\CurrentVersion\Run-
    看看有沒(méi)有可疑的啟動(dòng)項(xiàng)目，這一點(diǎn)最多朋友忽略，哪些啟動(dòng)可疑呢？
    我這里給出幾個(gè)大家需要注意的,啟動(dòng)項(xiàng)里鍵值有出現(xiàn).hml和.htm后綴的，都去掉，還有有.vbs后綴的 啟動(dòng)項(xiàng)也去掉，還有一個(gè)很重要的，如果有這一個(gè)啟動(dòng)項(xiàng)，出現(xiàn)有類似鍵值的，比如：
    system 鍵值是regedit -s c:\windows……請(qǐng)注意，這個(gè)regedit -s 是注冊(cè)表的一個(gè)后門參數(shù)，是用來(lái)導(dǎo) 入注冊(cè)表的，這樣的選項(xiàng)一定要去掉
    還有一類修改會(huì)在c:\windows產(chǎn)生.vbs后綴的文件，或是.dll文件，其實(shí).dll文件實(shí)際是.reg文件(喬裝成DLL文件的惡意網(wǎng)頁(yè)病毒)