来源:www.hackbase.com 
本文以Windows
XP为例(其他Windows版本可参考操作),介绍使用Windows“记事本”程序查找、修改注册表数据以及使用简单的批处理脚本备份注册表的方法。

1.快速删除键值

()

批处理代码:

作为站长我们有些时候是要手工清除服务器上的一些病毒,现在我司整理相关的网站资源,行文如下,希望“windows服务器手工杀毒要掌握的命令”这篇文章可以帮助vps主机和服务器托管用户彻底清除爱机上的病毒和木马!

  两个重要的分支

  通常情况下我们要删除注册表中的某个键或者键值,都是打开“注册表编辑器”,然后定位到相关分支进行删除操作。但如果我们要对多台计算机做同样的操作呢?或者这种删除操作是需要常常进行的呢?这就不方便了。其实可以通过将删除操作做成*.reg文件的形式,双击该*.reg文件即可完成删除操作。

WinXP/2003开机启动项在注册表中的位置:

复制代码 代码如下:

【适合对象】

  1.用户个人数据[HKEY_CURRENT_USER]

  删除某个注册表分支:打开“注册表编辑器”,将要删除的分支导出为*.reg文件,用“记事本”打开该文件,将形如“[HKEY_LOCAL_MACHINESOFTWARE……]”的字段修改为“[-HKEY_LOCAL_MACHINESOFTWARE……]”即可。

1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,右侧窗口中的每一个键值即代表一个启动项

@echo off
:: 删除”运行”、”查找”等处的历史记录
reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
/v ClearRecentDocsonExit /t REG_DWORD /d 00000001

1、vps主机用户

  该分支中存放的是当前登录用户的个人喜好设置、所用的软件的设置等个人数据。无论来宾、受限用户、高级用户还是管理员,都可以修改属于自己个人的注册表数据。用户个人的注册表数据就是“注册表编辑器”左侧窗格[HKEY_CURRENT_USER]所包含的项、子项和值项。

  删除某个注册表键:同样将该键导出为*.reg文件,用“记事本”打开该文件,将要删除键的键值修改为“-”即可,如要删除某名为“cfan”的键,则修改为形如:”cfan”=-。

2、HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run,右侧窗口中的每一个键值即代表一个启动项

清除“运行”对话框中记录的输入内容,可修改注册表。这些记录被保存在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
RunMRU”分支下,将其完全删除后重启。此外,该主键下的“DocFindSpecMRU”项,在右侧栏目中显示的是“查找”的历史记录,可一并删除。

2、服务器托管用户

  2.系统的核心数据[HKEY_LOCAL_MACHINE]

  2.修复EXE文件的注册表关联

3、HKEY_LOCAL_MACHINE\Software\Microsoft\Shared
Tools\MSConfig\startupreg,其下的每一个子键即代表一个启动项;

怎样清除XP系统中“我最近的文档”的记录呢或者不在那里留下记录

3、服务器安全爱好者

  只有管理员权限的用户可以访问系统注册表数据,其中存放了系统中各项重要的核心设置数据。系统的注册表数据就是“注册表编辑器”左侧窗格显示的[HKEY_LOCAL_MACHINE]所包含的项、子项和值项。

  中了木马之后其实最麻烦的并不是查杀,而是查杀之后的系统设置恢复过程,由于木马普遍都对注册表比较感兴趣,而在查杀之后杀毒软件又不会自动修复注册表,所以经常出现杀毒后反而无法正常使用的情况。EXE文件的注册表关联就是最典型的例子,如何快速修复它呢?

4、HKEY_LOCAL_MACHINE\Software\Microsoft\Shared
Tools\MSConfig\startupfloder,其下的每一个子键即代表一个启动项。

在运行对话框中输入“gpedit.msc”运行组策略。依次展开“用户配置”-“管理模板”-“任务栏和开始菜单”再双击右窗口的“不要保留最近打开文档的记录”选择“已启用”按下“确定”即可。

一、TaskList命令备份系统进程

  与备份注册表过招

  (1)由于无法运行EXE文件,而又需要通过Regedit.exe来修改注册表,所以先要把C:Windows目录下的Regedit.exe文件重命名为Regedit.com,运行Regedit.com启动“注册表编辑器”。

在注册表中删除了启动项的键值或子键后,启动项即被关闭,同时“系统配置实用程序”窗口的“启动”页中也不再显示该启动项。

修改注册表,
HKLM\Software\Microsoft\windows\curent version\policies\
在其下面新建一个DOWNWARD型键值,其值设为1.
重启即可。

在刚装好系统的时候,最好使用TaskList命令将系统的进程做下备份,这样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程

  任务1:备份注册表分支并编辑部分设置

  (2)定位到[HKEY_CLASSES_ROOT.exe],将右侧窗口中“默认”的键值改为“exefile”。

 

让xp添加开机自动运行bat文件
autorunexec.bat是开机自动加载的bat文件
用记事本打开编辑就可以了。这个bat文件在C盘根目录,你把你的文件内容替换掉就可以了

在命令提示符下输入:

  第一步:点击“开始→运行”(或命令行提示符),输入以下命令导出两个注册表分支(驱动器、路径及文件可自定义),导出后的myreg.reg大小约为8MB~9MB,而sysreg.reg大小约为30MB~60MB,视个人情况略有不同。

  (3)依次展开[HKEY_CLASSES_ROOTexefileshellopencommand]分支,然后将右侧窗口中的“默认”的键值改为“”%1″
%*”(不要外侧引号)。

打开注册表

注册表项:
HKEY_CURRENT_USER/Software/Midrosoft/Windows
NT/CurrentVersion/WinLogon
双击右侧中的“ParseAutoexec”字符串值项(如果没有的话就新建一个),将其“数值数据”由默认的“0”修改为“1”,退出注册表,即可让windows
XP/2000/2003启动时运行Autoexec.bat

  TaskList /fo:csv>g:zc.csv

  reg export hkcu c:myreg.reg

  (4)关闭“注册表编辑器”,运行一个EXE文件检查是否正常,如果还不行可以点击此处下载一个“EXE
File Association Fix”文件,解压后将文件合并到注册表中即可。

找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

0代表不运行, 1代表运行

  上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件.

  reg export hklm c:sysreg.reg

  3.自制Net Transport的128线程补丁

主键,然后在它的窗口右边建立一个的键值名,并填入相应键值,退出注册表编辑器。想提供了一次性的自启动功能。紧跟在“Run”主键后面有一个“RunOnce”和“RunOnceEx”子键,你可以在这两个子键内设置新的键值,让系统自动运行一次某个程序,即仅在下一次启动
Windows时才有效。

二、FC命令比较进程列表文件

  第二步:分别右击myreg.reg和sysreg.reg,选择“编辑”或“发送到→记事本”(创建右键菜单“发送到→记事本”,可将“开始”菜单中的“记事本”快捷方式复制到“C:Documents
and SettingsusernameSendTo”文件夹),用“记事本”程序打开myreg.reg文件。

  第一步:点击“开始→运行”,输入“Regedit.exe”(不含引号)
回车,打开“注册表编辑器”,转至

举例:增加任务管理器开机启动项

感觉服务器有病毒时,那么就有必要检查一下进入命令提示符下,输入下列命令:

  第三步:点击菜单命令“编辑→查找”,输入要查找内容的关键字,单击“查找下一个”。查找到一个数据,可执行删除、修改操作,然后按F3键可继续查找下一个数据。查找、修改所有数据,选择菜单“文件→保存”保存注册表文件。

  [HKEY_CURRENT_USERSoftwareXiNetTransport 2Download]。

第一步:找到注册表的启动项位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run主键

  TaskList /fo:csv>g:yc.csv

相关文章