今天很幸运,抓到一个很厉害的后门程序,过了我的ESS,金山卫士,通过在线扫描过了很多杀毒软件,卡巴斯基报了Backdoor.Win32.Xyligan.bzz,网络真是太不安全了,正规网站下载的软件也会被放入后门程序,该后门通过注册表加载启动,路径:D:\Micropoin\Thunder.exe,Micropoin是伪装微点文件夹,但是少了一个t,微点正常目录为Micropoint,主程序Thunder.exe伪装为迅雷主程序,加载启动方式通过注册表实现,其中D:\Micropoin\已经被设置为开机启动目录,放入任何程序到这个目录都会自动添加开机启动项。涉及多个键值,列举几个如下:
[HKEY_CLASSES_ROOT\ini\DefaultIcon]
@=”D:\\Micropoin\\Thunder.exe,0″
[HKEY_CLASSES_ROOT\ini\Shell\Open\Command]
@=”\”D:\\Micropoin\\Thunder.exe\” \”%1\”"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
解决方法:
删除D:\Micropoin\Thunder.exe程序后,删除注册表相关启动键值。
标签归档:注册表
金山卫士提示wmuinres.dll为感染性病毒木马解析
新安装了金山卫士,查杀木马快速扫描云引擎提示发现威胁,报wmuinres.dll文件为感染性病毒,描述为通过破坏系统文件来传播和复制自己。
文件位置:
c:\windows\system32\wmuinres.dll
注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{FCO94F33-9210-4A7D-AAE9-BB0310CB1D10}
找到该文件后查看属性发现为微软文件,说明mirosoft html editing component。muinres.dll文件被explorer.exe调用,不能正常删除。经在线多引擎扫描卡巴斯基报Trojan-Clicker.Win32.VB.gcf,金山毒霸未报病毒,但是文件创建时间和修改时间比修改时间要新,尝试结束explorer.exe进程后删除这个文件,重启系统目前未对发现对系统产生影响。
删除右键“百度一下这个文件”(文件夹)的方法
鼠标右键菜单点击文件的时候多了一个“百度一下这个文件”选项,点击文件夹的时候多一个“百度一下这个文件夹”选项,这个应该是百度的插件造成的,平时这个功能应该很少用到,而且在添加删除程序没有发现百度相关软件,没意义的右键菜单只会拖累右键菜单反应时间,而且系统启动后就一直加载了这个选项相关的dll文件,也占用了一部分资源,其实通过注册表可以轻易删除这两个选项。
打开注册表regedit,到HKEY_CLASSES_ROOT\*\shell和HKEY_CLASSES_ROOT\*\shellex删除“百度一下这个文件”,到HKEY_CLASSES_ROOT\Directory\shell下删除“百度一下这个文件夹”即可。
修改IE谷歌搜索CN链接为COM.HK的方法
从谷歌转到香港之后,google.cn和g.cn域名转向一直在变化,现在这两个域名已经不提供自动转向服务,也就是网友用这两个域名搜索后不会自动跳转到google.com.hk的域名,而是出现提示类似:“点击查看oswhy在 google.com.hk 的搜索结果
请收藏我们的网址”的信息。在IE的搜索条中添加谷歌搜索提供程序依然是用的cn的域名,所以IE搜索条搜索就会出现上面这样的信息,点击后才会跳转到com.hk的域名上得到正确信息。其实只要修改注册表就可以把IE搜索条的谷歌cn链接换为com.hk。
开始-运行-regedit 进入注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9004AEB2-7CF8-4132-90C9-061B6EC36F7C} 将其中的URL一项内容:http://www.google.cn/search?hl=zh-CN&q={searchTerms} 修改为:http://www.google.com.hk/search?hl=zh-CN&q={searchTerms}即可。
删除系统配置实用程序MSCONFIG启动项的方法
回复
系统配置实用程序(开始-运行-msconfig)是我们经常用到的管理启动进程和服务的好工具,最常用的就是启动项的管理,可以管理开机启动那些进程,但是一些取消勾选的进程,并不会在启动项中自动删除,有时候软件安装的多了,启动项就会有很多无用的非勾选的启动项,今天就教大家如何删除这些启动项,方法如下:
打开注册表编辑器,开始-运行-regedit,然后找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg],删除下面的无用的项目即可。
去掉共享文件夹下的小手标志的方法
局域网共享一般会通过系统的文件夹共享功能实现,共享文件夹后原来的文件夹图标会多一个“小手”的标志,这种标志可以告知用户这个文件夹被共享了,但是有些时候,我们不想让人知道这个文件夹被共享了,想去掉这个“小手”的标志,今天就教大家通过修改注册表来实现去掉共享文件夹下“小手”标志。方法如下:
开始-运行-输入“regedit“,打开 HKEY_CLASSES_ROOT\NETWORK \SHARINGHANDLER,默认键值是“ntshrui.dll”,清空此键值,退出注册表,重新启动计算机或者重启Explorer进程后共享文件夹下面的”小手“标志就没有了。
IE8一直弹出”默认的搜索提供程序“解决方案
今天朋友的电脑出了问题,打开IE8浏览网页弹出“您计算机上的某个程序已损坏了您对Internet Explorer默认搜索提供程序的设置”。每次打开浏览器后点击链接不定时的出现这个提示窗口,进入Internet Explorer选项,打开加载项,查看搜索提供程序中只有一项,但是状态为不可用,链接指向live.com,尝试手动添加新的搜索提供程序百度和谷歌,重启浏览器后,还是弹出窗口,搜索提供程序中还是只有一项,没有添加成功,怀疑是恶意软件破坏注册表导致设置失效,检查注册表,发现SearchScopes项的权限只有一个Everyone用户,但是Everyone没有完全控制权限,应该就是这里权限问题导致修改的设置没有生效,修改权限给Everyone完全控制权限,重新修改Internet Explorer设置后,恢复正常,问题得到解决。
相关注册表键值如下:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
右键选择权限,然后给Everyone或者你当前用户完全控制权限即可。
本地连接丢失问题解决方案
1.服务没有开启
解决方法:
开始-运行-输入services.msc 然后找到remote procedure call(RPC),network connections和plug and play,这三个服务正常应该是启动状态。
2.dll注册信息丢失
解决方法:
开始-运行-依次输入下面三个命令
Windows开机显示Administrator帐户的方法
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
“Administrator”=dword:00000001
说明:Windows XP下,若只有一个名为administrator的帐户,则开机时就进入这个帐户。若新建了帐户后,则administrator帐户会自动隐藏,进桌面前无法看到administrator帐户,只能进入新建的那个帐户。这是微软XP本来就是这样设计的。如果您想进入administrator帐户,可在登陆画面时,按住Ctrl+Alt+Del,连击两次,登陆框就出来了,这时在用户名处输入administrator就可以进了。现在提供一个直接开机显示administrator账户的方法,把此注册表文件保存为reg文件,双击导入后,下次进桌面前,administrator帐户和新建的帐户就都并列显示出来了,可以随意选择。
文件夹选项显示隐藏文件选项失效解决方案
通过文件夹选项可以修改显示系统的隐藏的文件,这个操作在查找病毒中经常要用,因为大多数病毒木马都是隐藏自己达到防止被删除的目的,有些系统的文件也是隐藏的属性,目的是防止并误操作修改破坏系统。病毒等恶意程序一般会锁定文件夹选项来让显示隐藏文件和文件夹的功能失效,这样无论我们如何勾选显示隐藏文件功能,确定后都会自动被改回。这个锁定的功能可以通过修改注册表来实现,下面提供相关注册表键值。
正常的文件夹选项注册表键值: