回复:安全软件和sreng工具被关闭并删除的,这里自助清理。
以前JAVQHC一般是单兵作战,用修改过的sreng2只要扫描出进程中的病毒文件,即可解决问题。但现在其它病毒把JAVQHC作为工具,并且加强了它的功能,JAVQHC在中毒机中似乎不止一个启动项,其中一个是活动的,其余是是备用的(这只是一种猜测),因而造成系统需反复清理方能解决问题。因此,让sreng2扫描出启动项成了摆在面前的急需解决的问题。我想了很多方法,但因水平有限,有些不能实现。现在提供一个可行的方法(
我们可以建立两个批处理及两个ini文件,方便求助者操作):
1、编辑一个regini.ini文件,内容如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad []
2、在命令提示符下输入: regini X:\regini.ini
3、重新启动电脑(关机时虚拟机蓝屏,估计和病毒不能读写注册表有关),此时JAVQHC不能加载。我们再编辑一下regini.ini文件,并且重复第二步:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad [1 7 17]
4、运行sreng2,即可扫描出比较完整的报告。JAVQHC的加载项一览无余。
2008年8月4日星期一2:08PM
Regini使用说明
作者:天涯
Regini是一个设置注册表权限的安全工具,常用于命令行方式批量更改注册表权限来达到提高系统安全性,下面我们先看看regnin所对应的格式和权限数值:
在renini.ini的格式:
注册表键数值[更改的权限]
例如:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun[1717]
上例中是分别设置AdministratorseveryoneSystem三个用户对注册表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
拥有完全访问权限
下面我们看看对应的权限代码
1-Administrators完全访问
2-Administrators只读访问
3-Administrators读和写入访问
4-Administrators读、写入、删除访问
5-Creator完全访问
6-Creator读和写入访问
7-everyone完全访问
8-everyone只读访问
9-everyone读和写入访问
10-everyone读、写入、删除访问
11-PowerUsers完全访问
12-PowerUsers读和写入访问
13-PowerUsers读、写入、删除访问
14-SystemOperators完全访问
15-SystemOperators读和写入访问
16-SystemOperators读、写入、删除访问
17-System完全访问
18-System读和写入访问
19-System只读访问
20-Administrators读、写、执行访问
21-InteractiveUser完全访问
22-InteractiveUser读和写入访问
23-InteractiveUser读、写入、删除访问
就第一个例子,我们要设置常见的3个组的用户为只读权限.那么先新建一个文件名为regini.ini然后编辑regini.ini的内容如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRun[2 8 19]
然后保存regini.ini在命令行下导入regini.ini的命令是:
regini regini.ini
上传时间:2008-02-0114:41:51
