学会注册表，让菜鸟高飞

学会注册表，让菜鸟高飞！
作为菜鸟必须打破注册表神秘而不敢动的观点，当然功手之前做好备份。运行输入regedit回车，打开注册表，选择“文件”，“导出”，再给导出的注册表选择保存路径。作了备份就可以大胆动注册表了。
今日要熟悉病毒、木马喜欢的藏身之地，如果有了病毒、木马不易清除，就打开注册到下面几个地方查、并作处理。注册表是树状结构，那就按照先树干再分枝的办法，一路展开。
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRun 中有许多自启功的程序。对于不熟悉的，可疑的启动项，就要删除。类似Run 这样项在注册表还有几处，均以Run 开头。分别是：.
HKEY_CURRENT_MACHINESofiwareMicrosoftWindeowsCurrent VersionRun 项，以及它下面的 RunOnce ,RunOnceEx ,RunServices 等项，同样要引起注意，看到可疑启动项要立即删除。
HEKY_LOCAL_MACHINESOFWAREMicrosoftWindows NTCurrent VersionWinlogon 在右边窗口的 shell 字符串值数据应为 Explorer.exe 很容易被木马等捆绑随系统一起启动，并且无法查杀。如果发现有捆绑程序，最好的办法是双击 shell 字符串值，把值改为 explorer.exe。例如：C:WINDOWSEXPLORER.EXE。
HKEY_CLASSES_ROOTexefieshellopencommand 右边的默认字符串值的数据是："%1"%* 该数据也容易被修改，解决方法是将数值数据改回默认值："%1"%* 。
HKEY_CURRENT_USERSofiwareMicrosoftWindows NTCurrent VersionWindows 是一个高危险项。右键点击该项，按“权限”命令，选择所有用户，将其权限“完全控制”设置为“拒绝”，“应用”后就可以避免一些不必要的病毒加载。
此外，该项右边窗口有 Load 和 Run 两字符串值，其默认键值好空白，如果发现不为空，可能被病毒、木马加载了什么，这时一定要把值改回默认。
右边窗口中还有一个 Programs 字符串的默认数值为 com exe bat pif cmd 。病毒喜欢在这里添加一个特殊的文件类型，比如 “病毒.cpw”，能逃过很多杀毒软件的扫描（查不出来）。一旦发现，就右键选中 Run 字符串，将该字符串值删除，并双击 Load 和 Programs，将它们数值全部改好空。
HEKY_LOCAL_MACHINESYSTEMControSet001ControlSession Manager ，右边 BootExecute 多字符串值默认键值为 autocheck autochk* 。此外还要注意有没有 PendingFileRenameOperations 这个多字符串值，它一般是由软件的安装程序自动生成。木马或者病毒可以通过它来实现自身文件改名，再配合前面所说的 BootExecute多字符串来加载启动。
上面是病毒、木马容易侵入的地方，平时正常情况下，也应打开注册表递次展开看一看，目的是熟悉，这样会默记在心。以后发现病毒、木马用杀毒软件也杀不干净， 能快速展开注册表准确找到病毒删除。
需要说明的是：如对某字符串键值怀疑，可以粘贴复制到百度或者魔法兔子主页，查询框中查出它的真面目。在修改了注册表以后，一定按F5键刷新注册表，验证是否修改成功

====================快活林===================

沙发啊.

====================快活林===================

顶啊~~~~~!!<

====================快活林===================

支持楼住.............................
< < <