有个进程叫reg.exe,总是改我主页,在system32内,查了一下是不安全的。删了之后又出来。你说它改主页吧我让他改,可改过之后还要改,诺顿那个提示一直下不去。要怎么删。
360安全论坛好像有这种专杀工具可供下载,你自己去找找看。
如果要手动解决这种IE主页劫持病毒,对新手来说是很困难的。
还有一个最简单的方法,就是让它改主页,也不要改回来,在桌面或任务栏放一个IE浏览器的快捷方式(有小箭头的那种),右键单击IE快捷方式图标→ 属性→点“快捷方式”选项卡→ 在“目标”框里面输入:
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" site.baidu.com
注意,如果系统在D盘,就把C:改成D:;
这样修改之后,点击IE浏览器的快捷方式,不论主页是什么,一律打开site.baidu.com网站,如果想换成其他网站,把site.baidu.com换成其他网址即可,注意,双引号与网址之间有一个空格。
如果是NTFS格式的磁盘,还可以点击“安全”选项卡,禁止任何帐户修改IE快捷方式的属性,这样病毒更加没办法了。
C:\WINDOWS\system32下的reg.exe文件开机的时候自动更改IE首页,手动删除,刷新后又出现。这个reg.exe没有任务管理器打不开,提示被管理员禁用,IE打开后不多久就会自动关掉,打开任务管理器以后发现进程里有很多很多的reg.exe进程在运行,而且每2秒刷新出来一个,一直刷,刷到电脑吃不消什么都打不开等现象,只是修改IE首页,所以试遍了网上的专杀和手动清除方法都不管用。最后没办法了,进入安全模式手动删除,然后重启后竟然没有发作,到C:\WINDOWS\system32查看,reg.exe已经被删除。本来很简单就能解决的问题,绕了一大圈才找到解决办法。
reg.exe
1. reg add
用该命令加入一个新的指定键值,从给出的例子文件来看,基本的使用方法如下:
命令-计算机名称-根键名-[子键名称-类型-数据]下面是更详细、规范的表述:
reg add [\\machine\]keyname [/v valuename /ve] [/t type] [/s separator] [/d data] [/f]
参数及说明:
machine :
计算机名称,此处关于计算机名称的介绍,其它命令也将使用,请注意.以machine指定远程计算机名称,如果省略,默认值是使用当前的本地计算机,不能使用驱动器名来指定远程计算机名.计算机名称前面的双反斜杠符号不能省去.如:\\mydiac 就是一个正确的范例.
keyname :键名,此处关于键名的解释,其它命令也将使用,请注意.
格式:[rootkey\]key
rootkey 是根键
根键可以使用以下形式的简写:
根键名
简写形式
hkey_local_machine
hklm
hkey_current_user
hkcu
hkey_classes_root
hkcr
hkey_current_configuration
hkcc
注意: hklm 和 hkcu 键值仅适用与远程计算机。
key :子键
所选根键之下的子键的完整名字
/v valuename
向指定注册表加入新键值的名称,如果包含有空格,则字符串应使用引号
/ve
加入的空键值名
/t type
指定使用的数字或字符串的类型,这些类型与win9x相同,这里不再详细介绍.
/s separator
指定注册表使用的数据字符串的分隔字符,例如使用reg_multi_sz类型时.默认情况下就 "\o" 作为分隔字符。
/f
允许覆盖现存的注册表
/d data
向注册表中的指定键以指定数据赋于键值
2. reg compare
将当前(本地计算机)的注册表与另外一个注册表或另外一个远程计算机上的注册表进行比较.将比较结果输出到一个文件上.
reg compare [\\machine\]keyname1 [\\machine\]keyname2 [/v valuename] /ve] [/s] [output]
参数及说明:
machine :
指定的计算机名称.含义与上面一样
keyname1, keyname2:
注册表的键名,含义及格式与上面一样
/v valuename:
进行比较的键值的名称,如果包含有空格,则字符串应使用引号
/ve, /ve
比较默认(无键名的)键值
/s, /s :
比较所有子键
output 输出
以下列形式的开关参数控制输出结果:
/oa,/oa:输出全部的不同部分与相同部分
/od,/od:仅输出不同部分; /os,/os:仅输出相同部分
/on,/on没有任何输出
返回代码的含义:
0:成功地进行了比较,比较的结果是二者相同
1:比较过程失败; 2-成功地进行了比较,比较的结果是二者不相同
3.reg copy
将当前的注册表或远程计算机上的注册表拷贝到一个新的位置(或计算机上)。
reg copy [\\machine\]sourcekey [\\machine\]destinationkey [/s] [/f]
参数及说明:
machine :
指定的计算机名称.含义与上面一样
sourcekey 和 destinationkey:
"源"键和"目的"键:注册表的键名称,含义及格式与上面一样
/s :
拷贝全部子键及键值
/f
强制拷贝
举例:
甲例子:reg copy hklm\software\myco\myapp hklm\software\myco\savemyapp
这里myapp和 savemyapp 是不同注册表中的子键名,都在键名为 myco的键之下.执行结果是将myapp拷贝向 savemyapp中。
乙例子: reg copy \\safari\hklm\software\myco \\zodiac\hklm\software\myco
这里的zodiac和safari是计算机名,myco 是两台机器的注册表中都有的键名,执行结果是safari机器的键值被拷向zodiac.它与上面一个的主要区别是:1.两台机器都是远程计算机.2.所拷贝的是该键之下的全部内容而不是某一项.
丙例子: reg copy \\zodiac\hklm\software\myco hklm\software\myco1
作用与上面类似,但zodiac是远程计算机,而hklm是本地当前所用计算机.
4.reg delete
删除一个注册表、注册表键值或子键值.
reg delete [\\machine\]keyname [/v valuename /ve /va] [/f]
360安全论坛好像有这种专杀工具可供下载,你自己去找找看。
如果要手动解决这种IE主页劫持病毒,对新手来说是很困难的。
还有一个最简单的方法,就是让它改主页,也不要改回来,在桌面或任务栏放一个IE浏览器的快捷方式(有小箭头的那种),右键单击IE快捷方式图标→ 属性→点“快捷方式”选项卡→ 在“目标”框里面输入:
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" site.baidu.com
注意,如果系统在D盘,就把C:改成D:;
这样修改之后,点击IE浏览器的快捷方式,不论主页是什么,一律打开site.baidu.com网站,如果想换成其他网站,把site.baidu.com换成其他网址即可,注意,双引号与网址之间有一个空格。
如果是NTFS格式的磁盘,还可以点击“安全”选项卡,禁止任何帐户修改IE快捷方式的属性,这样病毒更加没办法了。
C:\WINDOWS\system32下的reg.exe文件开机的时候自动更改IE首页,手动删除,刷新后又出现。这个reg.exe没有任务管理器打不开,提示被管理员禁用,IE打开后不多久就会自动关掉,打开任务管理器以后发现进程里有很多很多的reg.exe进程在运行,而且每2秒刷新出来一个,一直刷,刷到电脑吃不消什么都打不开等现象,只是修改IE首页,所以试遍了网上的专杀和手动清除方法都不管用。最后没办法了,进入安全模式手动删除,然后重启后竟然没有发作,到C:\WINDOWS\system32查看,reg.exe已经被删除。本来很简单就能解决的问题,绕了一大圈才找到解决办法。
reg.exe
1. reg add
用该命令加入一个新的指定键值,从给出的例子文件来看,基本的使用方法如下:
命令-计算机名称-根键名-[子键名称-类型-数据]下面是更详细、规范的表述:
reg add [\\machine\]keyname [/v valuename /ve] [/t type] [/s separator] [/d data] [/f]
参数及说明:
machine :
计算机名称,此处关于计算机名称的介绍,其它命令也将使用,请注意.以machine指定远程计算机名称,如果省略,默认值是使用当前的本地计算机,不能使用驱动器名来指定远程计算机名.计算机名称前面的双反斜杠符号不能省去.如:\\mydiac 就是一个正确的范例.
keyname :键名,此处关于键名的解释,其它命令也将使用,请注意.
格式:[rootkey\]key
rootkey 是根键
根键可以使用以下形式的简写:
根键名
简写形式
hkey_local_machine
hklm
hkey_current_user
hkcu
hkey_classes_root
hkcr
hkey_current_configuration
hkcc
注意: hklm 和 hkcu 键值仅适用与远程计算机。
key :子键
所选根键之下的子键的完整名字
/v valuename
向指定注册表加入新键值的名称,如果包含有空格,则字符串应使用引号
/ve
加入的空键值名
/t type
指定使用的数字或字符串的类型,这些类型与win9x相同,这里不再详细介绍.
/s separator
指定注册表使用的数据字符串的分隔字符,例如使用reg_multi_sz类型时.默认情况下就 "\o" 作为分隔字符。
/f
允许覆盖现存的注册表
/d data
向注册表中的指定键以指定数据赋于键值
2. reg compare
将当前(本地计算机)的注册表与另外一个注册表或另外一个远程计算机上的注册表进行比较.将比较结果输出到一个文件上.
reg compare [\\machine\]keyname1 [\\machine\]keyname2 [/v valuename] /ve] [/s] [output]
参数及说明:
machine :
指定的计算机名称.含义与上面一样
keyname1, keyname2:
注册表的键名,含义及格式与上面一样
/v valuename:
进行比较的键值的名称,如果包含有空格,则字符串应使用引号
/ve, /ve
比较默认(无键名的)键值
/s, /s :
比较所有子键
output 输出
以下列形式的开关参数控制输出结果:
/oa,/oa:输出全部的不同部分与相同部分
/od,/od:仅输出不同部分; /os,/os:仅输出相同部分
/on,/on没有任何输出
返回代码的含义:
0:成功地进行了比较,比较的结果是二者相同
1:比较过程失败; 2-成功地进行了比较,比较的结果是二者不相同
3.reg copy
将当前的注册表或远程计算机上的注册表拷贝到一个新的位置(或计算机上)。
reg copy [\\machine\]sourcekey [\\machine\]destinationkey [/s] [/f]
参数及说明:
machine :
指定的计算机名称.含义与上面一样
sourcekey 和 destinationkey:
"源"键和"目的"键:注册表的键名称,含义及格式与上面一样
/s :
拷贝全部子键及键值
/f
强制拷贝
举例:
甲例子:reg copy hklm\software\myco\myapp hklm\software\myco\savemyapp
这里myapp和 savemyapp 是不同注册表中的子键名,都在键名为 myco的键之下.执行结果是将myapp拷贝向 savemyapp中。
乙例子: reg copy \\safari\hklm\software\myco \\zodiac\hklm\software\myco
这里的zodiac和safari是计算机名,myco 是两台机器的注册表中都有的键名,执行结果是safari机器的键值被拷向zodiac.它与上面一个的主要区别是:1.两台机器都是远程计算机.2.所拷贝的是该键之下的全部内容而不是某一项.
丙例子: reg copy \\zodiac\hklm\software\myco hklm\software\myco1
作用与上面类似,但zodiac是远程计算机,而hklm是本地当前所用计算机.
4.reg delete
删除一个注册表、注册表键值或子键值.
reg delete [\\machine\]keyname [/v valuename /ve /va] [/f]
作者:jackxiang@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:https://jackxiang.com/post/2449/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!
Windows:取消磁盘容量警告,取消XP磁盘空间低警告
Linux学习指导:linux技术进阶示意图评论列表
