您现在的位置是: 首页 > 安装教程 安装教程
software注册表被删了_winlogon注册表被删
tamoadmin 2024-09-27 人已围观
简介1.注册表没有Winlogon项2.注册表编辑器里没有winlogon分支下的shell怎么办3.xp系统由于错误的userinit.exe注册表参数导致反复重启电脑的解决方法4.如何修复注册表电脑一登陆就停在登陆界面的解决办法 这个问题的出现,通常是在用某些杀毒软件杀病毒后;或者对系统进行一些清理后。 症状主要是:一开机(或一输入密码)就停下来,安全模式下也无法进入系统。 下面是我在实践的基础上
1.注册表没有Winlogon项
2.注册表编辑器里没有winlogon分支下的shell怎么办
3.xp系统由于错误的userinit.exe注册表参数导致反复重启电脑的解决方法
4.如何修复注册表
电脑一登陆就停在登陆界面的解决办法
这个问题的出现,通常是在用某些杀毒软件杀病毒后;或者对系统进行一些清理后。
★症状主要是:一开机(或一输入密码)就停下来,安全模式下也无法进入系统。
下面是我在实践的基础上总结出的,基本上可以说是目前最简洁也是最有效的解决方案,以供以后遇到该问题的站友参考。觉得好的话请支持一下(注:下列方法在XP操作系统下测试有效)
★原因分析:有两种可能:
(1)由于注册表的userinit.exe被误删;
(2)由于system32下的userinit.exe被病毒删除,或者被卡巴连带病毒一起删除。
修复方法:用深山红叶等winPE。
★详细解决方法如下:
1.如果是注册表被修改,可用下列方法:
(1)将要电脑的BIOS的first boot选项设置为光盘启动;
(2)用“深山红叶”等光盘进入winPE光盘操作系统操作系统;
(3)开始-强力系统修复ERD2003-设置当前系统目录(必须设置该步骤,如果系统装在C盘,通常是C:\windows,确定)
(4)开始-强力系统修复ERD2003-注册表编辑器;
(5)在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 下面,看是否有Userinit键值。如果没有,新建一个“字符串值”,命名为userinit并用右键修改数值数据为C:\WINDOWS\System32\userinit.exe
(6)退出并重新启动系统即可正常进入系统。
2.如果是C:\WINDOWS\System32下的userinit.exe文件被删除了,可用下列方法:
(1)将要电脑的BIOS的firstboot选项设置为光盘启动;
(2)用“深山红叶”等光盘系统进入winPE操作系统;
(3)将正常的userinit.exe复制到C:\WINDOWS\System32下。需要说明的是:一般的我用过的比较好的winPE光盘,都同时集成了系统安装盘,因此,在用winPE进入系统后,在电脑的B盘能够搜索到userinit.exe,然后把它拷贝到C:\WINDOWS\System32就行。
(4)退出并重新启动系统即可正常进入系统。
3.系统还原
(1)将要电脑的BIOS的firstboot选项设置为光盘启动;
(2)用“深山红叶”等光盘系统进入winPE操作系统;
(3)系统还原到一个较早的日期
4.GHOST还原
(1)将要电脑的BIOS的firstboot选项设置为光盘启动;
(2)用光盘启动GHOST还原;
5.系统修复
用Windows 2000(或者Windows XP/2003)安装光盘引导系统,在“欢迎使用安装程序”的界面上按“R”键,选择修复。
2、然后按“C”键选择使用故障恢复控制台。
3、键入一个数字,选择某个Windows 安装,通常是“1”。然后输入管理员密码
4、进入system32目录,输入命令:
del userinit32.exe
copy userinit.exe userinit32.exe
5、重启系统。
以上确定能解决问题,用这个办法,我拯救过很多台一开机就注销的电脑。虽然看上去这么多行比较麻烦,但操作起来很简单,熟练的话,5-10分钟左右就能弄好。
补充说明:winPE,是一种光盘操作系统,它可以不依赖原操作系统而独立运行,很有用处。常玩系统的人必备
启动计算机后,进入桌面系统自动弹出“我的文档”。如何解决
此类问题是因为中毒造成,多数情况是用了移动盘,建议把自动播放关掉;
解决方法:可按照下面的方法解决了这个问题:
(1)按"Ctrl+Alt+Del"调出windows任务管理器,结束掉explorer.exe进程,其中explorer.exe进程有两个,一个是系统的,一个是病毒的,系统的所在位置是"c:\windows”,病毒的所在位置是"c:\windows\system32",只需结束掉病毒的进程就行了。若不能区别两个进程,可以把两个进程都结束掉,然后再切换到——应用程序——新任务——浏览——选择"c:\windows"文件夹下的 explorer.exe,然后打开、确定就可以重新启动系统的explorer.exe进程了。
(2)结束掉wsctf.exe进程。
(3)进入"c:\windows\system32"——工具——文件夹选项——查看——去掉“隐藏受保护的操作系统文件”前面的勾,在弹出的对话框中按“是”,然后再选择“显示所有文件和文件夹”——确定——删除掉文件夹里面的wsctf.exe和explorer.exe两个文件——按刚才的操作,重新隐藏系统文件。
(4)开始——运行——输入regedit,按确定后打开注册表,进入hkey_current_user\software\microsoft\ windows\currentversion\run目录,右键删除掉wsctf.exe和explorer.exe两条记录。进入 hkey_local_machine\software\microsoft\windowsnt\currentversion\winlogon, 可以看到项userinit,其内容为userinit.exe,explorer.exe,双击userinit将中间的逗号和 explorer.exe删除——确定。
(5)重启电脑,OK!!!
桌面的网络和我的文档被病毒弄不见了
桌面空白处右键-属性-个性化桌面-勾选被删除的图标
电脑XP系统不停的注销
只要你有WINPE,可以去电脑城买系统光盘,要盗版的(废话了,电脑城好像都是盗版的,有WINPE的,或者买个U盘(
不是所有U盘都可以做WINPE,不是所有的DIOS都支持U盘启动),自己装U盘版WINPE到U盘(不会就百度找如何做)。
如果是光盘的,开机按DEL键,进入BIOS设定CD-ROM为第一启动,记得要进WINPE而不要重装系统啊,如果是U盘WINPE,进入BIOS设定USB-ZIP(要看你做U盘WINPE时是哪种方式启动)为第一启动。进入WINPE后,开始找问题。系统在C盘为例,
两种可能,一是C:\WINDOWS\system32\userinit.exe文件被删除或被病毒替换;二是注册表被删除关键键值,WINPE里的开始菜单程序里有个注册表编辑器,打开注册表(要记得看清打开的是你电脑里系统的注册表而不是WINPE系统的注册表,好像是要选远程注册表)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon,单击Winlogon,
右边窗口一定要有Userinit
它的值是"C:\WINDOWS\system32\userinit.exe,"或"userinit.exe,"没有路径默认就是32目录下,如果其它路径就要小心了,那个文件可能是病毒。如是把C:\WINDOWS\system32\userinit.exe这个系统文件放到D盘,那么Userinit的值是"D:\userinit.exe"这样也是可以启动电脑的。如果文件不见了,你就从正常的系统复制userinit.exe到U盘,再复到C:\WINDOWS\system32\下和C:\WINDOWS\system32\dllcache下,
XP电脑开机后,无法进入桌面系统,点击旁边的用户名自动注销后一直停在欢迎使用界面。这怎麽回事
这是由于启动项被杀毒软件误删后造成的。
解决办法;将正常的userinit.exe复制到C:\WINDOWS\System32下
然后重启。
建议重装系统,这样才会稳定!
注册表没有Winlogon项
winlogon.exe
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe,然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再清除 AOL instant messenger 7.0 服务,位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
winlogon.exe病毒的查杀方法
这个进程是不是一个程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇的木马,至于会不会盗其他帐号如QQ,网银就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒包括方新等修改过的51pywg传家宝,和他们破解的其他一切,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么放,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。解决“落雪”病毒的方法
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroute.exe(忘了是不是这个名字了,红色图标有图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销!重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
若是还是无法执行.EXE文件,下面我们就来看看如何恢复被篡改后的.EXE文件修复工作吧。一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了,因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令,选择“文件类型”标签,在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮,在“文件扩展名”后输入“.exe”,按[高级]按钮,系统自动将其文件类型定义为“应用程序”,按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”,选择它后按[更改]按钮,系统要求选择要使用的程序,可是到底要选择什么应用程序来打开EXE文件?看来这个方法无效,只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联,所以在“已注册的文件类型”列表中选择“EXE应用程序”,并按[删除]按钮将它删除。由于所有EXE文件都不能执行,所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表,看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键,出现“Windows 2000高级选项菜单”,选其中的“最后一次正确的配置”,进入Windows 2000时仍然报错。只好再次重新启动,这次选“安全模式”,虽然没有报错,但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项,启动成功后在命令提示符窗口的命令行输入:help| more(“|”是管道符号,在键盘上位于Backspace键左边),在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”,大致意思是“ASSOC显示或修改文件扩展名关联”,按任意键继续查看,又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”,大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”,原来在命令提示符窗口还隐藏着这两个特殊命令,可以用来设置文件扩展名关联。于是,在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置,终于解决了EXE文件不能运行的故障。故障解决先在命令行command输入:assoc .exe来显示EXE文件关联,系统显示“没有为扩展名.exe找到文件关联”,难怪EXE文件都不能执行。接着输入:ftype | more来分屏显示系统中所有的文件类型,其中有一行显示为“exefile="%1" %*”,难道只要将EXE文件与“exefile”关联,故障就会解决?于是在命令行输入:assoc .exe=exefile(assoc与.exe之间有一空格),屏幕显示“.exe=exefile”。现在关闭命令提示符窗口,按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口,按[关机]按钮后选择“重新启动”选项,按正常模式启动Windows 2000后,所有的EXE文件都能正常运行了。另外,的利用regedit.com的方法应该是最行之有效的办法。1、修改regedit.exe 为 regedit.com2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %
清除winlogon.exe病毒 与恢复EXE文件的全过程
我们黑基的帅哥kine,机器不知怎么中了winlogon.exe病毒,搞的就要重装系统的下场了。那么让我们来看看这个winlogon.exe病毒到底是什么东西的呢这么的历害的呢,winlogon.exe病毒这个进程是不是一个程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
注册表编辑器里没有winlogon分支下的shell怎么办
两种办法
一,
开始运行输入
control userpasswords2
弹出一个窗口 把要使用本机必须输入密码的勾 勾上 点应用 就可以了
二,
开始运行输入 net user %user% 新密码
把当前用户的密码改掉换一个 其中新密码换成你要改的密码
xp系统由于错误的userinit.exe注册表参数导致反复重启电脑的解决方法
你好
可以在注册表里 添加一个
或者在开始菜单 --所有程序--附件 --命令提示符 --右键以管理员身份打开
执行 命令
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /d "explorer.exe" /t REG_SZ /f
如何修复注册表
上篇文章跟广大xp系统用户提及到,导致电脑反复重启的的原因是userinit.exe文件丢失,其实除了这个原因之外,还有可能是由于电脑中毒导致的对应注册表键值损坏。反复重启电脑不仅对电脑损害很大,还影响到我们工作的效率问题,所以遇到是由于对应注册表值损坏的缘故,我们应该如何解决呢?下面小编就以中关村xp纯净版系统为例,带大家一起了解下反复重启电脑的另外一种原因的解决方法!
方法如下:
1、开机时,一直按F8键,进入安全模式;
2、进入系统界面,单击“开始”菜单,选择“运行”选项,在对话框中输入“regedit”命令,单击“确定”键;
3、在打开的注册表编辑器左侧依次展开HKEY_LOCAL_MACHINE、SOFTWARE、Microsoft、WindowsNT、CurrentVersion、Winlogon选项;
4、在右侧双击“Userinit”的字符串,修改其数值数据为“%windir%\system32\userinit.exe”,单击“确定”键;
5、左侧依次展开HKEY_LOCAL_MACHINE、SOFTWARE、Microsoft、WindowsNT、CurrentVersion、ImageFileExecutionOptions选项;
6、在“ImageFileExecutionOptions”主项下找到名为“userinit.exe”的子项,右键删除即可。
以上6个步骤就是xp系统由于错误的userinit.exe注册表参数导致反复重启电脑的解决方法,对于由于userinit.exe文件丢失而导致反复重启电脑的解决方法,大家可以查看上篇文章——绿茶Ghostxp系统userinit.exe文件丢失导致电脑反复重启的解决方法。
1、解开被禁用的注册表
执行软盘中的“unlockreg.reg”文件,此文件是用记事本建立一个以REG为后缀名的文件,文件名可自定义,内容如下:
REGEDIT4
空一行[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000
要注意的是,在“REGEDIT4”一定要大写(如果你是Windows 2000或Windows XP用户,请将“REGEDIT4”写为“Windows Registry Editor Version 5.00)”,且后面要空一行,并且“REGEDIT4”中“T”和“4”之间一定不能有空格,否则……
注册表解开了,下面就要对症下药,对注册表进行修改了。
2、解决IE属性主页不能修改
打开注册表,展开注册表到
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下,将“homepage”的键值由原来的“1”修改为“0”即可,或干脆将“Control Panel”删除就可以了!
3、修改IE的标题栏
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
在注册表中找到以上两处主键,将其下的“Window Title”主键值更改为“Microsoft Internet Explorer”即可。
4、IE默认连接首页被修改
被更改的注册表项目为:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page将键值修改为自己喜欢的网址即可。
5、删除自运行程序
打开“HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVesion\”及“\HKEY_LOCALMA CHINE\Software\Microsoft\ Windows\CurrentVersion\”,在其下的RUN文件夹中,有许多Windows启动时便开始运行的程序,但是在菜单“开始/程序/启动”中却找不到。把自运行程序删除就可以了。
6、右键菜单中的网页广告
将注册表展开到HKEY_CURRENT_ USER\Software\Microsoft\Internet Explorer\MenuExt,在IE中显示的附加右键菜单都在这里设置,常见的“网络蚂蚁”和“网际快车”点击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。
7、启动时的提示窗口
这个设置其实与IE无关,而是Windows的登录提示窗口,不过最近有些网页对它动上了脑筋,在这个窗口里做广告。
受到更改的注册表项目为:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在其下被建立了字符串“LegalNotice-Caption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。这就使得我们每次登录到Windows桌面前都出现一个提示窗口,显示那些网页的广告信息。
8、恢复“运行”选项
在注册表中展开至HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer,在右侧栏中将“NoRun”的键值由“1”修改为“0”即可,或者将“NoRun”删除也可。
经过一番辛苦的修改,完全解除了某些网站上的恶意程序对系统的限制,可是如果不小心又访问了该网站,岂不是又重蹈覆辙,其实,你可以在IE中做一些设置以便永远不进入该站点:打开IE,点击“工具→Internet选项→内容→分级审查”,点击[启用]按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,按[从不]按钮,再点击[确定]即大功告成!
防患未然
上面的解决方法乃下策,要想不发生类似的情况,上策是加强预防,对于预防的方法笔者提如下几点建议:
1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击〔自定义级别〕按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。有利就有弊,你还是自己看着办吧。
3、建议安装Norton AntiVirus 2002 V8.0杀毒软件,此软件已经把通过IE修改注册表的代码定义为Trojan.Offensive ,增加了Script Blocking功能,它将对此类恶作剧进行监控,并予以拦截。
4、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器Regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!
加锁方法如下:
展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器Regedit.exe。
5、对Windows 2000用户,还可以通过在Windows 2000下把服务里面的远程注册表*作服务“Remote Registry Service”禁用,来对付该类网页。具体方法是:点击“管理工具→服务→Remote Registry Service(允许远程注册表*作)”,将这一项禁用即可。
6、升级你的IE为6.0版本,可以有效防范上面这些症状。
7、下载微软最新的Microsoft Windows Script 5.6,可以预防上面所说的现象,更可预防目前流行的、可恶的混客绝情炸弹。
关于IE被修改
近来,有很多网友提问,说自己的主页标题和一些其他信息被更改,甚至于注册表被锁定,其实这些情况都是网页里含有写入注册表得代码做得怪,下面我就说说几种常见得被更改情况和怎样恢复
1更改网页标题栏主要是在这里
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Microsoft Internet Explorer"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Microsoft Internet Explorer"
"Start Page"="about:blank" ------启始页
"Search Page"="" ---搜索页
手动修改就是把“*”这里面的网址改为自己喜欢的网站名字就可以了
2更改开机提示信息
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
刚打开计算机就有个对话框说什么欢迎到…………网站,然后点了确定才可以进windows
3开机自动打开网页
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"ScanRegistry"="C:\WINDOWS\scanregw.exe /autorun"
"TaskMonitor"="C:\WINDOWS\taskmon.exe"
"SystemTray"="systray.exe"
"LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
"qwe"="" -------这里看到了吗
"Kingsoft AntiVirus"="D:\KAV\KAV9X.EXE -Logon -Watcher"
这个例子在我得电脑上的启动程序,这就是在系统配置实用程序里加载,让你刚开机就自动打开它得网页
4IE工具栏的修改
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{8DE0FCD4-5EB5-11D3-AD25-00002100131c}]
"ButtonText"="■网址QQ宝贝" -----------这里被我改成“C盘”了
"CLSID"="{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"
"ClsidExtension"="{8DE0FCD4-5EB5-11D3-AD25-00002100131c}"
"Default Visible"="Yes"
"Exec"="" --------------打掉网址
"HotIcon"=""
"Icon"=""
呵呵,具体什么意思我也不太明白,因为GGyou也不是高手
这段再我的任务栏里多添加了一个带图标的网址,然后在C盘生成一个网页链接
就这样变废为宝,任务栏里多了个剪刀图标的C盘的快捷方式,呵呵
算了,我说的很不透彻,转载一篇文章大家自己看吧
严防守,保卫IE
(tugener 2001年10月16日 17:38)
最近这段时间网民们上网冲浪时常常会碰到一件令人反感的事,就是在浏览一些网站?多为个人主页 后IE浏览器的标题栏被篡改成了诸如“欢迎访问……网站”的字样,IE的起始页、主页默认页也被设置成了那些网站的网址,更有甚者在访问者的IE右键菜单中加入了那些网站的名字。这都是那些网站为了宣传自己的网站通过在网页中嵌入JavaScript脚本语言来修改浏览者的注册表中相应的键值造成的,让我们这些“网虫”很烦。那我们怎样恢复IE的“本来面目”呢?让我们将其“个个击破”。
篡改IE标题栏
症状:IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式,这是最常见的篡改手段,受害者众多。
涉及子键:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window Title
说明:这两个“Window Title”子键的键值就是IE标题栏中的标题。
修复方法:运行注册表编辑器regedit.exe,展开上述两个子键,将这两个子键的键值修改为“Microsoft Internet Explorer”(IE默认值),或者你也可以将键值改为像“我的专用浏览器”这样体现个性的标题,重新运行IE就可以看到效果了。怎么样?是不是感到很亲切?
篡改IE起始页
症状:这里所说的IE起始页就是一运行IE就会自动打开的网页,也就是说起始页被改成了篡改网站的网址。
涉及子键:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
说明:这个子键的键值就是IE起始页的网址。
修复方法:运行注册表编辑器,展开上述子键,将“Start Page”子键的键值修改为某个网址即可。如果你不想一运行IE就自动打开某网页的话,你可以将IE起始页设为空白页,即将“Start Page”子键的键值修改为“about?blank”,重新运行IE就可以看到效果了。其实也可以通过IE的选项设置来更改IE的起始页,设置方法:点击“工具/Internet选项”,在“主页”中输入起始页。
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
修复方法:运行注册表编辑器regedit.exe,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
篡改IE起始页的默认页
症状:有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。
涉及子键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
说明:该子键的键值即起始页的默认页。
修复方法:运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
篡改IE默认的搜索引擎
症状:在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。
涉及子键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
修复方法:运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。
篡改IE右键菜单
症状:当你在浏览网页的时候右击鼠标的时候在弹出菜单中有一项“欢迎访问……网站”的话你会怎样?是不是有一种恶魔缠身的感觉?
涉及子键:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\欢迎访问……网站
说明:“MenuExt”主键是IE扩展菜单项的控制主键,如果你机器里安装了网际快车或者网络蚂蚁的话,在这个子键下面就能看到“使用网际快车下载”这样的子键啦。
修复方法:运行注册表编辑器,开上述主键,在“MenuExt”主键下面就会有“欢迎访问……网站”相似内容的主键,将其删除,但是在删除之前你可以展开这个主键看一下,在这里面有一个链接打开一个HTML文件的子键,看看这个文件路径,然后根据路径将这个文件也删除(注意,这个HTML文件被设置了隐藏属性,从菜单选择“查看/文件夹选项/查看页/显示所有文件”即可看见它啦!)。这样才彻底清楚干净,是不是有种如释重负的感觉?呵呵!
系统启动时弹出对话框
症状:开机时,会弹出推荐网站“欢迎访……”样式的窗口。进入系统后,会自动打开IE浏览器,自动访问默认主…… 并且无法更改。
涉及子键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Winlogon\LegalNoticeCaption
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Winlogon\LegalNoticeText
说明:其实这个主键与IE并不相关,而是Windows登录提示对话框的控制项。
修复方法:运行注册表编辑器,然后依次展开上述主键,将“LegalNoticeCaption”和“LegalNoticeText”主键删除就万事大吉啦。
小结
上面介绍了几种篡改手段所涉及到的子键以及恢复方法,但是有些篡改网站所涉及的子键以及放置自启动程序的路径会不尽相同或者还有新的篡改“技术”出现,那怎么办?不要紧,我们还有一招,可以以不变应万变。当你不清楚它们修改了注册表哪个子键的时候,你可以“透过现象看本质”,进入注册表编辑器,然后按“F3”键打开“查找”,查找内容就是那个篡改网站的网站名或者网址,当找到后你可以对相应键值或删除或修改,然后再按“F3”键“查找下一个”,直到将它们清理干净了才罢休。对于设置了自运行程序或者设置了文件链接的情况,你还要根据文件路径顺藤摸瓜直捣黄龙得而诛之以图后快,呵呵!