惡意網頁的卑鄙手段可謂是“推陳出新”,用一(yī)些簡單的注冊表修複方法後，已經不能完全解決問題了。如果你的注冊表在恢複後又(yòu)回到了被修改的老樣子,不妨看看是否是以下(xià)原因引起的呢？

1.修改注冊表禁止命令形式的修改，目的是不讓用戶通過注冊表修複回去(qù)。

　　最通常的修改是鎖住注冊表，還有破壞關聯：比如.reg，.vbs，.inf等。

　　關于解鎖注冊表，在前面已經介紹了方法，至于被修改關聯，隻要我(wǒ)前面說的注冊表修改的方法裏的關聯還 能用，就可以用其中(zhōng)的任意一(yī)個，但如果.reg，.vbs，.inf都被修改了，怎麽辦啊？，也不用怕，把 .EⅩE 後綴改爲.com後綴，我(wǒ)一(yī)樣可以編輯注冊表，.com也被改了，怎麽辦？沒那麽狠吧，行，我(wǒ)再改後綴爲.scr 一(yī)樣還可以修改。

　　最好的最簡單的辦法，馬上重新啓動，按F8進入DOS下(xià)，敲入SCANREG/RESTORE，選擇以前的正常時的注冊表 還原就可以，注意了，一(yī)定要選擇沒被修改時的注冊表！如果發現連scanreg都被删除了(一(yī)些網站就是這麽 狠的，用A盤COPY一(yī)個scanreg.EⅩE到COMMAN下(xià)即可。

　　有必要在這裏說說常見的文件關聯的默認值

　　正常的exe關聯爲[HKEY_CLASSES_ROOTexefileshellopencommand]

　　默認的鍵值爲："%1 %*" 将此關聯改回去(qù)即可使用exe文件

　　2.修改注冊表後留後門，目的讓你修改注冊表好像成功，重新啓動後又(yòu)恢複到被修改的狀态。

　　這主要是在啓動項裏留了後門，大(dà)家可以打開(kāi)注冊表到（也可以用一(yī)些工(gōng)具比如優化大(dà)師等來察看)

　　HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices HKCUSoftwareMicrosoftWindowsCurrentVersionRun-

　　看看有沒有可疑的啓動項目，這一(yī)點最多朋友忽略，哪些啓動可疑呢？

　　我(wǒ)這裏給出幾個大(dà)家需要注意的,啓動項裏鍵值有出現.hml和.htm後綴的，最好都去(qù)掉，還有有.vbs後綴的 啓動項也去(qù)掉，還有一(yī)個很重要的，如果有這一(yī)個啓動項，出現有類似鍵值的，比如：

　　system 鍵值是regedit -s c:windows……請注意，這個regedit -s 是注冊表的一(yī)個後門參數，是用來導 入注冊表的，這樣的選項一(yī)定要去(qù)掉

　　還有一(yī)類修改會在c:windows産生(shēng).vbs後綴的文件，或是.dll文件，其實.dll文件實際是.reg文件(喬裝成DLL文件的惡意網頁病毒)

　　此時你要看看c:windowswin.ini文件，看看load=，run=，這兩個選項後面應該是空的，如果有其他程序 修改load=，run=，将=後面程序删除，删除前看看路徑和文件名，删除後在到system下(xià)删除對應的文件

　　還有一(yī)種方法，大(dà)家如果屢次修改重啓又(yòu)恢複回去(qù)，可以搜索C盤下(xià)所有的.vbs文件，可能有隐藏的，用記事本打開(kāi)，看到裏面有關于修改注冊表的都把它删除或保險起見把後綴改掉，你可以按中(zhōng)惡意網頁的病毒的 時間來搜索文件

　　下(xià)面的這個漏洞大(dà)家非常值得注意,大(dà)家在啓動IE時還有一(yī)個陷阱，就是IE主界面的工(gōng)具的菜單裏的廣告，一(yī)定要去(qù) 掉，因爲這些會在你啓動IE時啓動，所以你修改完其他的先别着急打開(kāi)IE窗口，否則白(bái)費(fèi)力氣，方法：打開(kāi)注冊表HKEY_LOCAL_MACHINE Software Microsoft Internet ExplorerExtensions看到廣告就删，别留情！

　　一(yī)個很重要的問題，在中(zhōng)了惡意網頁的陷阱後一(yī)定要先清空IE所有臨時文件，切記！

　　說了那麽多，那如何防禦這類惡意網頁呢？

　　一(yī)個一(yī)勞永逸的方法，把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B這個ID删掉在注冊表的路徑爲HKEY_CLASSES_ROOT CLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}

　　記住，看清楚了再删除，千萬别删錯其他。删掉這個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統不會有影響的。

　　在IE的選單欄中(zhōng)選擇“工(gōng)具”→“Internet選項”，在彈出的對話(huà)框中(zhōng)切換到“安全”标簽，選擇“ Internet”後點擊“自定義級别”按鈕，在“安全設置”對話(huà)框中(zhōng)，把“ActiveX控件和插件”、“腳本” 中(zhōng)的相關選項全部選擇“禁用”或“提示”即可。但如果選擇了“禁用”，一(yī)些正常使用ActiveX和腳本的 網站可能無法完全顯示。建議選擇：提示。遇到警告時，看看該網站的原代碼，如果發現有出現 Shl.RegWrite等的代碼，就不要去(qù)了，如果是加密的原代碼，不是自己熟悉的網站也不要去(qù)，如果連右鍵都用不了的，也要小(xiǎo)心爲好(看看原碼有什麽所謂啊，除非有什麽好的JAVA或是惡意代碼）

　　對于Windows98用戶，請打開(kāi)C:WINDOWS JAVA Packages CVLV1NBB.ZIP，把其中(zhōng)的“ActiveXComponent.class删掉，對于WindowsMe用戶，請打開(kāi)C:WINDOWSJAVAPackages.NZVFPF1.ZIP，把其中(zhōng)“ActiveXComponent.class”删掉，這些删掉不會影響正常浏覽網頁

　　在Windows 2000/XP，可以通過禁用“遠程注冊表服務”來阻擋部分(fēn)惡意腳本。具體(tǐ)方法是：在“控制面闆”→“管理工(gōng)具”→“服務”中(zhōng)右鍵單擊“Remote Registry Service”，在彈出選單中(zhōng)選擇“屬性”，打開(kāi)屬性對話(huà)框，在“General”内将“Startup ype”設爲“Disabled”。這樣也可以攔截部分(fēn)惡意腳本程序。

　　嘿嘿，不用IE。用其他浏覽器也可以……大(dà)家在中(zhōng)了惡意網頁的陷阱後，先不要立即重新啓動計算機，到啓動項裏看看，有沒有什麽危險的啓動項，比如deltree之類的