文/木子

　　道高一尺，魔高一丈，惡意網(wǎng)頁的卑鄙手段可謂是“推陳出新”啊。用一些簡單的注冊表修復(fù)方法后，已經(jīng)不能完全解決問題了。如果你的注冊表在恢復(fù)后又回到了被修改的老樣子，不妨看看是否是以下原因引起的呢？

　　1.修改注冊表禁止命令形式的修改，目的是不讓用戶通過注冊表修復(fù)回去。
 
　　最通常的修改是鎖住注冊表，還有破壞關(guān)聯(lián)：比如.reg，.vbs，.inf等。

　　關(guān)于解鎖注冊表，在前面已經(jīng)介紹了方法，至于被修改關(guān)聯(lián)，只要我前面說的注冊表修改的方法里的關(guān)聯(lián)還 能用，就可以用其中的任意一個，但如果.reg，.vbs，.inf都被修改了，怎么辦啊？，也不用怕，把 .exe 后綴改為.com后綴，我一樣可以編輯注冊表，.com也被改了，怎么辦？沒那么狠吧，行，我再改后綴為.scr 。嘿嘿，一樣還可以修改。

　　最好的最簡單的辦法，馬上重新啟動，按F8進(jìn)入DOS下，敲入SCANREG/RESTORE，選擇以前的正常時的注冊表 還原就可以，注意了，一定要選擇沒被修改時的注冊表！如果發(fā)現(xiàn)連scanreg都被刪除了(一些網(wǎng)站就是這么 狠的，用A盤COPY一個scanreg.exe到COMMAN下即可。

　　有必要在這里說說常見的文件關(guān)聯(lián)的默認(rèn)值

　　正常的exe關(guān)聯(lián)為[HKEY_CLASSES_ROOT/exefile/shell/opencommand]

　　默認(rèn)的鍵值為："%1 %*" 將此關(guān)聯(lián)改回去即可使用exe文件

　　2.修改注冊表后留后門，目的讓你修改注冊表好像成功，重新啟動后又恢復(fù)到被修改的狀態(tài)。

　　這主要是在啟動項里留了后門，大家可以打開注冊表到(也可以用一些工具比如優(yōu)化大師等來察看)

　　HKCUSoftware/Microsoft/Windows/CurrentVersion/Run

　　HKCUSoftware/Microsoft/Windows/CurrentVersion/RunOnce

　　HKCUSoftware/Microsoft/Windows/CurrentVersion/RunServices

　　HKCUSoftware/Microsoft/Windows/CurrentVersion/Run-

　　看看有沒有可疑的啟動項目，這一點(diǎn)最多朋友忽略，哪些啟動可疑呢？

　　我這里給出幾個大家需要注意的,啟動項里鍵值有出現(xiàn).hml和.htm后綴的，最好都去掉，還有有.vbs后綴的 啟動項也去掉，還有一個很重要的，如果有這一個啟動項，出現(xiàn)有類似鍵值的，比如：

　　system 鍵值是regedit -s c:/windows……請注意，這個regedit -s 是注冊表的一個后門參數(shù)，是用來導(dǎo) 入注冊表的，這樣的選項一定要去掉

　　還有一類修改會在c:/windows產(chǎn)生.vbs后綴的文件，或是.dll文件，其實(shí).dll文件實(shí)際是.reg文件(喬裝成DLL文件的惡意網(wǎng)頁病毒)

　　此時你要看看c:/windows/win.ini文件，看看load=，run=，這兩個選項后面應(yīng)該是空的，如果有其他程序 修改load=，run=，將=后面程序刪除，刪除前看看路徑和文件名，刪除后在到system下刪除對應(yīng)的文件

　　還有一種方法，大家如果屢次修改重啟又恢復(fù)回去，可以搜索C盤下所有的.vbs文件，可能有隱藏的，用記 事本打開，看到里面有關(guān)于修改注冊表的都把它刪除或保險起見把后綴改掉，你可以按中惡意網(wǎng)頁的病毒的 時間來搜索文件:)

　　下面的這個漏洞大家非常值得注意，很多朋友說，你說的方法我都試了，啟動項里絕對沒有什么可疑的，也沒有什么vbs文件，呵呵，大家在啟動IE時還有一個陷阱，就是IE主界面的工具的菜單里的廣告，一定要去 掉，因?yàn)檫@些會在你啟動IE時啟動，所以你修改完其他的先別著急打開IE窗口，否則白費(fèi)力氣，方法：打開注冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Extensions看到廣告就刪，別留情！

　　一個很重要的問題，在中了惡意網(wǎng)頁的陷阱后一定要先清空IE所有臨時文件，切記！

　　說了那么多，那如何防御這類惡意網(wǎng)頁呢？

　　一個一勞永逸的方法，把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B這個ID刪掉在注冊表的路徑為HKEY_CLASSES_ROOT/CLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}

　　記住，看清楚了再刪除，千萬別刪錯其他。刪掉這個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統(tǒng)不會有影響的。

　　在IE的選單欄中選擇“工具”→“Internet選項”，在彈出的對話框中切換到“安全”標(biāo)簽，選擇“ Internet”后點(diǎn)擊“自定義級別”按鈕，在“安全設(shè)置”對話框中，把“ActiveX控件和插件”、“腳本” 中的相關(guān)選項全部選擇“禁用”或“提示”即可。但如果選擇了“禁用”，一些正常使用ActiveX和腳本的 網(wǎng)站可能無法完全顯示。建議選擇：提示。遇到警告時，看看該網(wǎng)站的原代碼，如果發(fā)現(xiàn)有出現(xiàn) Shl.RegWrite等的代碼，就不要去了，如果是加密的原代碼，不是自己熟悉的網(wǎng)站也不要去，如果連右鍵都用不了的，也要小心為好(看看原碼有什么所謂啊，除非有什么好的java或是惡意代碼)

　　對于Windows98用戶，請打開C:/WINDOWS/JAVA Packages/ CVLV1NBB.Zip，把其中的“ActiveXComponent.class刪掉，對于WindowsMe用戶，請打開C:/WINDOWS/JAVAPackages.NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉，這些刪掉不會影響正常瀏覽網(wǎng)頁

　　在Windows 2000/XP，可以通過禁用“遠(yuǎn)程注冊表服務(wù)”來阻擋部分惡意腳本。具體方法是：在“控制面板”→“管理工具”→“服務(wù)”中右鍵單擊“Remote Registry Service”，在彈出選單中選擇“屬性”，打開屬性對話框，在“General”內(nèi)將“Startup ype”設(shè)為“Disabled”。這樣也可以攔截部分惡意腳本程序。

　　嘿嘿，不用IE。用其他瀏覽器也可以……大家在中了惡意網(wǎng)頁的陷阱后，先不要立即重新啟動計算機(jī)，到啟動項里看看，有沒有什么危險的啟動項，比如deltree之類的。