解析系统安全之注册表修复不成功的原因

　道高一尺，魔高一丈，恶意网页的卑鄙手段可谓是“推陈出新”啊。用一些简单的注册表修复方法后，已经不能完全解决问题了。如果你的注册表在恢复后又回到了被修改的老样子，不妨看看是否是以下原因引起的呢？

　　1.修改注册表禁止命令形式的修改，目的是不让用户通过注册表修复回去。

　　最通常的修改是锁住注册表，还有破坏关联：比如.reg，.vbs，.inf等。

　　关于解锁注册表，在前面已经介绍了方法，至于被修改关联，只要我前面说的注册表修改的方法里的关联还能用，就可以用其中的任意一个，但如果.reg，.vbs，.inf都被修改了，怎么办啊？，也不用怕，把.exe 后缀改为.com后缀，我一样可以编辑注册表，.com也被改了，怎么办？没那么狠吧，行，我再改后缀为.scr。嘿嘿，一样还可以修改。

　　最好的最简单的办法，马上重新启动，按F8进入DOS下，敲入SCANREG/RESTORE，选择以前的正常时的注册表还原就可以，注意了，一定要选择没被修改时的注册表！如果发现连scanreg都被删除了(一些网站就是这么狠的，用A盘COPY一个scanreg.exe到COMMAN下即可。

　　有必要在这里说说常见的文件关联的默认值，正常的exe关联为：

　　[HKEY_CLASSES_ROOT\exefile\shell\opencommand]

　　默认的键值为："%1 %*" 将此关联改回去即可使用exe文件。

　　2.修改注册表后留后门，目的让你修改注册表好像成功，重新启动后又恢复到被修改的状态。

　　这主要是在启动项里留了后门，大家可以打开注册表到(也可以用一些工具比如优化大师等来察看)。
QUOTE:  
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunOnce
HKCUSoftware\Microsoft\Windows\CurrentVersion\RunServices
HKCUSoftware\Microsoft\Windows\CurrentVersion\Run-  

　　看看有没有可疑的启动项目，这一点最多朋友忽略，哪些启动可疑呢？

　　我这里给出几个大家需要注意的，启动项里键值有出现.hml和.htm后缀的，最好都去掉，还有有.vbs后缀的启动项也去掉，还有一个很重要的，如果有这一个启动项，出现有类似键值的，比如：

　　system 键值是regedit -s c:\windows……请注意，这个regedit -s 是注册表的一个后门参数，是用来导入注册表的，这样的选项一定要去掉还有一类修改会在c:\windows产生.vbs后缀的文件，或是.dll文件，其实.dll文件实际是.reg文件(乔装成DLL文件的恶意网页病毒)。