網際論壇 - 寬頻使用 / 防毒防駭討論 - 可以幫我看看這有沒有問題嗎?
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: 可以幫我看看這有沒有問題嗎? 上一主題 | 下一主題
  nick5032
  基本會員 
 


  積分 68
  發文 13
  註冊 2006-7-20
  狀態 離線
#1  可以幫我看看這有沒有問題嗎?

如題
我發現我電腦內的登錄編輯程式(regedit)裡面的HKEY_LOCAL_MACHINE→SOFTWARE→Policies→Microsoft的下面有名為 `zw*p+ 的機碼而裡面有名為8ce74e4e8db760fa的REG_QWORD值資料為 b2 01 06 ef 72 f4 1b 9f

請問各位大大
這有問題嗎?
如果有要怎麼辦?
刪除?
還是??


2008-8-21 08:00 PM
查看資料  發短消息   編輯文章  引用回覆
  as780611as
  一般會員 
 



  積分 529
  發文 96
  註冊 2008-5-28
  狀態 離線
#2  

通常放在這種地方的登錄值,可以限制電腦一些功能無法使用,先確地電腦有沒有被限制住某些功能,我雖然沒有看過這種,但仔細看非常確定不是電腦原來內建登錄值,建議你直接刪除

以下是一些常被病毒修改登錄檔,而功能卻被限制住,把開起記事本另存全部恢復.vbs
Set WshShell = WScript.CreateObject("WScript.Shell")
With WScript.CreateObject("WScript.Shell")

On Error Resume Next

.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
.RegDelete "HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD"
.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
.RegDelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr"
.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu"
.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives"

End With

Mybox = MsgBox(jobfunc & enab & vbCR & "regedit,工作管理員,cmd和鎖右鍵已經恢復使用!! 請按重新啟動", 4096, t)

我來解說一下

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"這個字串值代表你無法使用登錄檔,如果輸入regedit,電腦會說你的登錄檔暫停使用,當然也包含reg檔案

"HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD"這個字串值代表cmd(dos模式)無法使用,當然也包含bat批此檔

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr"
這兩個都代表工作管理員已經停止使用,如果你按Ctrl + Alt + Del ,電腦會說工作管理員已經停止使用

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu"這個登錄值代表右鍵禁止使用(刪除這個字串值必須重新啟動Explorer),開啟記事本另存Explorer重新啟動.bat
@echo off
taskkill /im explorer.exe /f
start explorer.exe

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives"這個代表磁碟機或隨身碟被隱藏

其他像usb無法使用
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003(3代表可以用,4代表停止使用)(請自行自動刪掉這一行說明)

恢復控制控制台隱藏功能
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:1
"DefaultValue"=dword:2
"HelpID"="shell.hlp#51105"
"HKeyRoot"=dword:80000001
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"(@shell32.dll,-30501代表標題為顯示隱藏,@shell32.dll,-30500代表標題為隱藏檔案,只代表電腦顯示標題)(請自行自動刪掉這一行說明)
"Type"="radio"
"ValueName"="Hidden"

關閉控制台隱藏功能
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

以上就是目前小弟我知道的

[ Last edited by as780611as on 2008-9-26 at 07:45 AM ]


2008-8-22 09:42 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  nick5032
  基本會員 
 


  積分 68
  發文 13
  註冊 2006-7-20
  狀態 離線
#3  謝謝大大

感謝樓上這位大大的精闢講解
還有提供的幫助
非常的謝謝!!!


2008-8-22 03:02 PM
查看資料  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: