注册表的解释和一些简单的修改

注册表的解释和一些简单的修改

一、 HKEY_CLASSES_ROOT根键
  此根键中主要记录着Windows 95/98中所有的文件类型,包括安装操作系统时约定注册的和由于以后安装软件而新加载的各种文件类型,并将不同的文件类型与相应的应用程序关联起来。
1. 在已定义的很多文件类型中都可以找到shell\open\command这个主键,其键值决定了双击此类型文件后,系统将自动调用哪个应用程序将其打开。
应用实例
◆定义.JPG格式文件的默认打开程序为ACDSee
  将HKEY_CLASSES_ROOT\jpegfile\shell\open\command的“默认”键值改为“D:\Program Files\ACDSee32\Acdsee32.exe %1”,以后只要双击.JPG文件,就将自动调用ACDSee把它打开。
◆在.JPG文件的右键菜单中增加“打印”选项
  在Windows 9X中,只有少数文件的右键菜单中会出现“打印”选项,用下面的方法你可以为任意文件的右键菜单增加“打印”命令。这里我们以给.JPG文件的右键菜单中增加“打印”选项为例:在HKEY_CLASSES_ROOT\jpegfile\shell下新建一主键,将其命名为“print”,在该主键下再新建“command”主键,将其“默认”键值改为“D:\Adobe\Photoshop\Photoshop.exe %1”。以后只要选中.JPG文件,单击鼠标右键,然后在出现的右键菜单中选择“打印”命令,就将自动调用Photoshop对该.JPG文件进行打印。
◆双击“我的电脑”图标打开资源管理器
  大家知道,在按住Shift键的同时,双击“我的电脑”图标可迅速打开Windows的资源管理器。其实,我们也可以通过修改注册表来实现这一功能。方法是:在HKEY_CLASSES_ROOT\CLSID\{20D04FEO-3AEA-1069-A2D8-08002B30309D}\shell下新建一个“open” 主键,在此“open”主键下新建一个“command”主键,将command主键的键值改为“explorer /e,c:/”,关闭注册表编辑器后修改即可生效。

2.某一文件类型或系统文件夹的主键中,包含着表示该文件类型或系统文件夹的一些文本显示信息。我们可以根据自己的需要对其进行修改。
应用实例
◆更改.MOV文件属性中的类型显示信息
将HKEY_CLASSES_ROOT\movfile主键的默认键值由原来的“视频剪辑”改为“VCD视频剪辑”。退出注册表编辑器后,用鼠标右键单击一个.mov文件,可以看到其“属性”中的文件类型已被改为“VCD视频剪辑”。
修改前 修改后
◆更改“控制面板”的名称及文本提示信息
在HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-A2DD-08002B30309D}中有“默认”和“InfoTip”两个字符串值。其中“默认”值对应的是系统文件夹“控制面板”的名称,而“InfoTip”值则对应选中“控制面板”后,在Web查看方式下出现在文件夹窗口左边的提示信息。我们可以对二者进行任意修改,如把“控制面板”改为“系统设置”,提示信息改为:利用该文件夹中的组件可以改变系统中的一些默认设置。
◆更改“我的电脑”图标的提示信息
当鼠标指针放于“我的电脑”图标上一定时间后会出现“显示计算机中的内容”的提示信息,我们可对此段提示信息进行修改。方法为:展开HKEY_CLASSES_ROOT\CLSID\{20D04FEO-3AEA-1069-A2D8-08002B30309D},更改其下的“InfoTip”的键值为所需的内容即可。
◆更改桌面上“我的文档”的名称
展开HKEY_CLASSES_ROOT\CLSID\{450d8fba-ad25-11d0-98a8-080036161103},将“默认”键值项的值改成所需的名称即可。

3. 我们知道,使用鼠标的右键弹出菜单可以方便操作。一般文件类型、一般文件夹和系统文件夹(如“我的电脑”、“控制面板”)的右键弹出菜单,其内容都包含在HKEY_CLASSES_ROOT根键下,在此一一说明。展开某文件类型扩展名的主键,其shell主键下的各子键即为此类型文件的右键弹出菜单中的部分内容。HKEY_CLASSES_ROOT\Directory\shell主键下各子键是一般文件夹右键弹出菜单中的部分内容。HKEY_CLASSES_ROOT\Folder\shell主键下的内容对一般文件夹和系统文件夹的右键弹出菜单都起作用。另外,某文件类型主键下的ShellNew子键定义了将此文件类型加入到桌面右键弹出菜单的“新建”子菜单中。知道了上述关系,我们就可以修改相应的右键弹出菜单。
应用实例
◆在软驱的右键菜单中添加“清空A盘”命令
展开HKEY_CLASSES_ROOT\Drive\Shell主键,在其下新建“EmptyA”子键,将其“默认”键值改为“清空A盘”,在此“EmptyA”子键下新建“command”子键,将其“默认”键值改为“deltree.exe /y a:”。关闭注册表编辑器后,你就可以像清空回收站那样方便地清空A盘中的内容了。
◆在右键菜单中加入“关机”和“重新启动”选项
在HKEY_CLASSES_ROOT\Folder\shell主键下新建“close”和“restart”两个子键,将其“默认”键值分别改为“关闭计算机”和“重新启动计算机”。在“close”下新建“command”子键,改其“默认”键值为“Rundll.exe user.exe,exitwindows”;在“restart”下新建“command”子键,改其“默认”键值为“Rundll.exe user.exe,exitwindowsexec”。 关闭注册表编辑器,即可看见右键菜单中已多了“关闭计算机”和“重新启动计算机”两项。
◆删除和增加“新建”菜单中的内容
展开HKEY_CLASSES_ROOT\.psd主键,将ShellNew子键删除后即可发现“新建”菜单中已无“Adobe Photoshop Image”这一项。要将已注册的文件类型(注意是已注册的)如.mov加入到“新建”菜单中去,只要找到HKEY_CLASSES_ROOT\.mov主键,在其下新建“ShellNew”子键,在此子键下新建“NullFile”字符串,确定其键值为空(即“”)即可。
◆在右键菜单中加入“清空回收站”选项
在HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers下新建“{645FF040-5081-101B-9F08-00AA002F954E}”子键并关闭注册表编辑器后,右击桌面上任意一个图标,在弹出菜单中就会出现“清空回收站”的选项。
◆在右键菜单中加入“打开方式”命令
在文件的右键菜单中加入“打开方式”命令可以灵活地选用不同的程序来打开某一类型的文件。方法为:在HKEY_CLASSES_ROOT\*下新建一个shell主键,在Shell主键下新建“OpenWith”子键,改其“默认”键值为“打开方式”,然后在“OpenWith”下新建“command”子键,改其“默认”键值为“C:\WINDOWS\rundll32.exe shell32.dll,OpenAs_RunDLL %1”。
◆控制CD的自动播放功能
展开HKEY_CLASSES_ROOT\AudioCD\shell主键,其“默认”键值为“play”则允许CD自动播放;为空则取消自动播放功能。
◆消除快捷方式图标上的小箭头
展开HKEY_CLASSES_ROOT\lnkfile主键,将名为“IsShortCut”的字符串值删除即可。
◆用记事本快速打开Html文件
在HKEY_CLASSES_ROOT\htmlfile\shell下新建“QuickEdit”子键,改其“默认”键值为“快速编辑”。在此“QuickEdit”子键下新建“command”子键,改其“默认”键值为“notepad.exe %1”。关闭注册表编辑器,用鼠标右键单击Html文件,然后在弹出的菜单中选择“快速编辑”选项即可用记事本打开html文件。


二、 HKEY_CURRENT_USER根键
  此根键中记录的是当前用户的配置数据信息,用户可以利用此根键下的子键修改Windows的许多环境配置。
1.在整个系统中,许多事件都可以设定相对应的声音方案。HKEY_CURRENT_USER\AppEvents中保存着各事件的名称及相应声音方案的配置信息,我们可对其进行修改。
应用实例
◆更改Go!Zilla下载完毕的提示声音
用过Go!Zilla的朋友们都知道,当下载完一个文件后,Go!Zilla会发出一声怪兽巨吼来作为提示。虽说为用户想得较为周到,但你是否觉得这怪兽声稍恐怖了一点,至少笔者第一次使用时被吓了一跳。其实,只要展开HKEY_CURRENT_USER\AppEvents\Schemes\App\GoZilla\Download Success\.current,改其“默认”键值为自己喜欢的.wav文件(包括文件路径)即可修改Go!Zilla下载完毕的提示声音。
◆在窗口最大化时加入提示声
展开HKEY_CURRENT_USER\AppEvents\Schemes\App\.Default\Maximize\.current,改其“默认”键值为所需的wav文件即可。
◆为网络蚂蚁的下载过程加入提示声
展开HKEY_CURRENT_USER\AppEvents\Schemes\App\Netants主键,其下有NAAddFile、NADownloadFail和NADownloadSuccess三个子键,分别表示Netants中加入下载文件、下载失败和下载成功这三个事件。只要将其下的.current子键的“默认”键值改为自己喜欢的wav文件即可。

2. HKEY_CURRENT_USER根键下的“Control Panel”子键,其下许多键值与“控制面板”中的部分内容相对应,如定制鼠标、时间、桌面、电源管理、外观等,但也有一些设置只能通过修改注册表来实现。
应用实例
◆更改鼠标的速度设置
展开HKEY_CURRENT_USER\Control Panel\Mouse,更改“DoubleClickSpeed”的值可改变鼠标的双击速度,最快为100毫秒,最慢为900毫秒;更改MouseSpeed的值可改变鼠标的移动速度(最快为2,最慢为0)。(注:系统安装好后,如果从来没有对“控制面板”中的“鼠标”选项进行过设置,则HKEY_CURRENT_USER\Control Panel下不会有Mouse子键和DoubleClickSpeed、MouseSpeed键值,这个时候请自己建立。)
◆在任务栏系统区中的时间前加上文字信息
展开HKEY_CURRENT_USER\Control Panel\International,新建字符串值“Stimeformat”,改其值为“北京时间:hh:mm”。关闭注册表编辑器并重新启动系统,即可发现任务栏上的时间前面加上了“北京时间:”的文本信息。
◆设置“开始”菜单中子菜单弹出的延迟时间
HKEY_CURRENT_USER\Control Panel\desktop下字符串值“MenuShowDelay”(若没有可新建一个)的值用于设置“开始”菜单中子菜单弹出的延迟时间,取值范围为1~10。值设得小一点可加快子菜单的响应速度。
◆更改图标间距
在HKEY_CURRENT_USER\Control Panel\desktop\WindowsMetrics下有“IconSpacing”和“IconVerticalSpacing”两个字符串值,用于设定图标间的水平和垂直间距,其绝对值越大间距越大。
◆改变桌面上图标的大小
桌面上图标大小的默认值为32×32,展开HKEY_CURRENT_USER\Control Panel\desktop\WindowMetrics,修改其下字符串“Shell Icon Size”的值可以更改桌面上图标的大小。(注:Shell Icon Size串值的三个英文单词之间有空格隔开。)
◆更改窗口标题栏的高度与宽度
展开HKEY_CURRENT_USER\Control Panel\desktop\WindowMetrics,其下“CaptionHight”和“CaptionWidth”的值分别决定窗口标题栏的高度与宽度。
◆设置电源方案
HKEY_CURRENT_USER\Control Panel\PoweCfg主键下的“PowerPolicies”子键表示系统可以采用的所有电源方案,如“家庭/办公室桌面”方案、“便携型/膝上型”方案、“始终打开”方案。HKEY_CURRENT_USER\Control Panel\PoweCfg下的字符串“CurrentPowerPolicy”表示当前正在使用的电源方案,其值与“PowerPolicies”子键的电源方案值相对应。

3.我们知道,当系统中某个应用程序出错或无响应被关闭时都会有一定的等待时间,通过修改注册表可以缩短等待时间,提高系统的响应能力。
应用实例
◆更改用Ctrl+Alt+Del关闭无响应程序的等待时间
在HKEY_CURRENT_USER\Control Panel\desktop下新建“WaitToKillAppTimeout”字符串值,其值表示等待时间,单位为毫秒,数值越小反应越快,我们可以根据需要作相应的修改。
◆更改应用程序出错时的等待响应时间
为了在某个应用程序出错时减少等待响应时间,可以在HKEY_CURRENT_USER\Control Panel\desktop下新建“HungAppTimeout”字符串值,其值决定等待响应时间,单位为毫秒,数值越小反应越快。

4. HKEY_CURRENT_USER\Software主键下包含着系统中所安装软件的部分信息(还有更多的信息可在HKEY_LOCAL_MACHINE\Software中找到),特别要提到的是其下Microsoft\Windows\CurrentVersion\Policies\Explorer子键下包含着许多关于定制Windows的信息,用户可以通过新增或修改其中的键值来屏蔽系统的常用功能、图标和系统文件夹,以利于机器在多用户下的安全使用。
编者注:关于这一部分的应用实例可以参考第4页的《Windows 98安全技巧大全》一文。

5. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer主键下定义了许多已集成在Windows 98中的IE浏览器的设置。
应用实例
◆设置IE的缺省下载目录
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer下的字符串值“DownLoad Directory”的值决定用IE下载文件后文件的保存路径,用户可以根据需要进行修改,如可以改为“E:\mydownload”,这样用IE下载的文件就将自动保存到E:\mydownload文件夹中。
◆在IE中显示URL地址全名
展开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer,将“Show_FullURL”的值改为yes即可。
◆取消URL地址下的下划线
展开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,将其下“Ancher Underline”的值改为no即可。
◆退出IE时保存历史网址内容
展开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,将“Save_Session_History_On_Exit”的值改为yes即可。
◆设定“超级链接”处点击前后的颜色
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings下的“Anchor Color”和“Anchor Color Visited”的值分别表示点击前后的颜色,用RGB值表示。

6. 某些对话框 (如“运行”对话框和“查找”对话框)的下拉列表中会记录下用户曾经执行过的项目,浏览器的网址输入下拉列表中也会记录下用户曾经访问过的网址,我们有时出于清理或保密的原因,须要删除下拉列表中的项目。
应用实例
◆清除IE网址输入下拉列表中的网址
展开HKEY_CURRENT_USER\Software\Microsoft\Inertnet Explorer\TypedURLs,删除其下对应的网址即可。
◆清除Netscape Navigator网址输入下拉列表中的网址
展开HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\URLHistory,删除其下对应的网址即可。
编者注:对于“查找”对话框下拉列表中的项目、“运行” 对话框下拉列表中的项目的删除,可以参考第4页的《Windows 98安全技巧大全》一文。

7. Windows 95/98 中有时会有一些没有多大用处的动画效果,我们可以通过修改注册表将其去掉,以提高系统性能。
应用实例
◆取消“开始”按钮的动画提示信息
要取消“开始”按钮旁那一行“单击这里开始”的动画提示信息,我们只须将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下的二进制值“NoStartBanner”(若没有则新建一个)的值改为01 00 00 00即可。
◆取消窗口缩放时的动画效果
Windows 95/98 中窗口打开、最大化和最小化的过程都是以动画效果显示,要取消此动画效果,只要在HKEY_CURRENT_USER\Control Panel\desktop\WindowsMetrics下新建“MinAnimate”字符串值,设其值为1即可。

8. Windows95/98中对输入法的设置。
应用实例
◆调整输入法的载入顺序
进入Windows 9X后,系统默认的输入法为“En英语”,要切换到其他的输入法须用Ctrl+Shift键。其实,我们可以通过修改注册表来调整各输入法之间的载入顺序。展开HKEY_CURRENT_USER\Keyboard layout\preload主键下的1、2、3、4等子键,其中1、2、3、4……表示各输入法的载入顺序。每一个子键的“默认”键值对应一种输入法,修改其“默认”键值即可调整各输入法的载入顺序。
注:“En英语”对应的字符串值为“00000409”;“微软拼音输入法”为“E00E0804”、“全拼输入法”为“E0010804”、“郑码输入法”为“E0030804”、“智能ABC输入法”为“E0040804”、王码五笔为“E0200804”。
◆输入汉字时在汉字后加入空格
有时我们输入汉字时须要在汉字后面加入空格,只要在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下的相应输入法中,将“插空格”的键值改为1后,我们在输入汉字时系统就会自动在汉字后面插入一个空格。
◆更改输入法所选用的字符集
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下的相应输入法子键中的“GB/GBK”值表示输入法所选用的字符集,0表示选用GBK字符集,1表示选用GB2312字符集。
◆用Outlook Express收信时跳过无法收取的帐号
打开Outlook Express后,Outlook Express会自动对用户所设定的每个帐号进行邮件收发。如果其中一个帐号由于某些原因而无法收取邮件,就会搁置其后帐号的收发,所以我们有必要将无法顺利收取邮件的帐号跳过,方法为:展开HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager主键,再展开其下那个须跳过的帐号所对应的子键,将其下“POP3 Skip Account”的值(DWORD值)由0改为1。
◆更改Outlook Express的邮件存放目录
展开HKEY_CURRENT_USER\Software\Microsoft\Outlook Express,将其下“Store Root”的值改为所需的文件路径即可。`
◆在“红心大战”中作弊
展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Hearts,新建“zb”字符串值,设其值为42。此后,在“红心大战”游戏中你只须按下Ctrl+Alt+Shift+F12即可查看其他三家的牌,是不是很耍赖?
◆设定“星际争霸”地图编辑器中的撤消次数
展开HKEY_CURRENT_USER\Software\Blizzard Entertainment\Starcrft\StarEdit\Settings,其下“UndoLevels”(DWORD值)的值即为地图编辑器中的撤消(Undo)次数,默认为32(十进制)次,我们可以根据需要修改其值。
◆取消光盘的自动运行功能
当光盘插入光驱后,如果光盘的根目录中有Autorun.inf文件,Windows会自动执行此文件。如果我们想取消光盘的自动运行功能,可以采用下面两种方法:1. 插入光盘时按住Shift键不放;2. 展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,将其下“NoDriveTypeAutoRun”的值由95 00 00 00改为b5 00 00 00。
◆检查Foxmail是否为系统默认的邮件软件
展开HKEY_CURRENT_USER\Software\Aerofox\Foxmail\General,将“CheckMailer”的键值改为1即可检查Foxmail是否为系统默认的邮件软件。
◆更改Photoshop安装时的登记信息
在HKEY_CURRENT_USER\Software\Adobe\Registration\User下保存着用户安装时的登记信息,如用户名、公司名等;在HKEY_CURRENT_USER\Software\Adobe\Photoshop\5.0\Registration下保存着Photoshop的序列号、版本号等信息,大家可以作适当的修改。
◆启用Word 97中的宏病毒保护功能
展开HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Options,将“EnableMacroVirusProtection”的值改为1即可。


三、 HKEYLOCAL_MACHINE根键
  此根键中保存着计算机的所有硬件设置,如IRQ、网卡、视频设备等,它还保存了所有用户都常用到的软件配置信息,如协议、计算机标识等。
1. 几乎系统中的所有硬件信息都包含在此根键下。大家可以在其“Config”、“Enum”、“Hardware”、“System”等子键下查看到。
应用实例
◆提高软驱读写缓冲性能
在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\fdc\0000下新建DWORD值“ForeFifo”,设其值为1即可。
◆设置用软盘快速启动系统的功能
展开HKEY_LOCAL_MACHINE\Config\0001\Enum\Bios\*PNP0700\0B,设定其下“FloppyFastBoost”的值为01 00 00 00即可用软盘快速启动系统。
◆查看系统分配给光驱的可用盘符
HKEY_LOCAL_MACHINE\Enum\SCSI主键下记录着机器上所安装的光驱信息,逐层展开后,找到字符串值“UserDriveLetterAssignment”,其值即表示系统分配给光驱的可用盘符,如为“HZ”,表示盘符A到G已被软驱和硬盘所占据,盘符H到Z可分配给光驱(包括虚拟光驱)。
注:如果从没有在“系统属性”中设置过光驱盘符,UserDriveLetterAssignment串值可能不会出现。
◆提高光驱的缓存大小和预读性能
展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Filesystem\CDFS,其下DWORD值“CacheSize”和“Prefetch”的值分别定义光驱的缓存大小和预读性能。“CacheSize”的值最高可为“0x000009ac”;“Prefetch”的建议值:8速为“0x000001c0”、16速为“0x00000380”、24速为“0x00000540”、32速以上为“0x00000700”。
◆删除虚拟光驱后原光驱无法使用
笔者曾在删除虚拟光驱Virtual CD-ROM后,发现原光驱无法使用,并给出“设备尚未准备好”的提示,后将HKEY_LOCAL_MACHINE\Enum\SCSI主键下的所有子键删除,从而删除了物理光驱和虚拟光驱的信息。重新启动,系统找到物理光驱,并重新在上述子键下加入了物理光驱的信息,问题解决。
◆安装虚拟光驱后光盘游戏无法运行
安装了虚拟光驱后,物理光驱的盘符会向后移,导致原先已安装的光盘版游戏无法运行,并会给出诸如“确定光盘已在光驱中”、“请插入光盘”等提示。解决方法如下:
方法1.卸载后重装游戏。
方法2.在HKEY_LOCAL_MACHINE\Software主键下找到此游戏子键,逐层展开后,一般可找到表示安装光驱盘符的键值项,将其值改为现在物理光驱的盘符即可。
◆更改“设备管理”中的硬件设备图标
在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class主键下代表各硬件设备的子键中找到字符串值“Icon”,修改其值即可。
◆在Windows中使用多重配置
HKEY_LOCAL_MACHINE\Config下的“0001”、“0002”……等子键表示系统中所设置的多重配置。另外,在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\IDConfigDB中保存着各种配置文件标识号(即“0001”、“0002”等)和配置文件名。

2. 右击“我的电脑”图标,选“属性”,在弹出的“系统属性”对话框中的“常规”卡中有着注册用户及系统的一些信息。用户信息是由用户在安装操作系统时填写的,系统信息是由系统自身检测到的,通过修改注册表可以更改这些信息。
应用实例
◆更改注册组织名
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion,将其下“RegisteredOrganization”的值改为所需的名称,如“新潮电子杂志社”即可。
◆更改注册用户名
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion,将其下“RegisteredOwner”的值改为所需的用户名即可。
◆自己注册Windows 98
微软官方站点上的某些内容是只向注册用户提供的,我们只须展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion,将其下“RegDone”的值改为1即可完成自己注册。
◆如何查找系统的安装注册码
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion,其下“ProductKey”的值即是系统安装时必不可少的注册码。
◆更改芯片的认证标识
展开HKEY_LOCAL_MACHINE\Hardware\Description\System\CentralProcessor\0,改动其下“VendorIdentifier”的值,如由“CyrixInstead”改为“Intel CPU”后,再看看“系统属性”对话框,哈哈,可不要给自己骗喽!

3. 每个用户都希望保证自己机器里内容的安全,我们可以在HKEY_LOCAL_MACHINE主键下的一些子键中进行设置。
应用实例
◆不让匿名用户随意进入系统
我们知道Windows中登录密码有些形同虚设,匿名用户只要按Esc键即可进入系统。为防止匿名用户随意登录,展开HKEY_LOCAL_MACHINE\Network\Logon,新建DWORD值“MustBeValidated”,设其值为1即可。
◆在登录窗口中加入警告信息
对于匿名用户的非法登录,我们可以在登录窗口中加入警告信息。展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon,新建“LegalNoticeCaption”字符串值,改其值为警告窗口的标题。再新建“LegalNoticeText”字符串值,改其值为警告窗口的正文内容,如“开机者未经授权,不得进入本机系统,请退出”。
◆查找BO黑客程序
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,若发现“.EXE”键值项,说明系统已被安装上了BO服务器,应将其删除。
◆查找NetSpy黑客程序
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, 若发现“NetSpy”键值项,说明系统已被安装上了NetSpy,应将其删除。
◆查找BackDoor黑客程序
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, 若发现“Notepad”键值项,说明系统已被安装上了BackDoor,将其删除。

4. Windows95/98中的一些网络参数的默认值设得不十分合理,通过注册表可以对其进行优化,从而提高网上的数据传输效率。
应用实例
◆更改MaxMTU的值
在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans下,展开表示TCP/IP协议的那个子键(可从子键下“DriveDesc”的值来判断,如0000),在其下新建“MaxMTU”字符串值,设其值为576。
注:MaxMTU,即最大的TCP/IP传输单元。网络中,应用程序把数据分割为较小的组进行传输,标准的分组大小应为576字节。如果MaxMTU 的值大于576,系统传输时就须要重新分组,这样就降低了传输效率。Windows 9X的缺省值为1500,这是以太网的标准分组值。
◆更改DefaultRcvWindow的值
展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP,改“DefaultRcvWindow”键值为6144。
注:DefaultRcvWindow的中文意思为缺省的传输单元接收缓冲区的大小。DefaultRcvWindow的值太大,一个分组出错后将导致整个缓冲区中的分组数据丢失并重发,值太小,将导致分组阻塞,降低速度,因此,该缓冲区的取值大小最好是512字节的4~12倍,33.6KB的MODEM最好为6144字节。
◆更改DefaultTTL的值
展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP,改“DefaultTTL”键值为255。
注:DefaultTTL的中文意思是TCP/IP的分组寿命,这主要是防止TCP/IP分组在Internet中被无限复制。Windows 9X的缺省值为32,加大该值,可以使TCP/IP分组通过Internet传输到更远的目的地。

5.HKEY_LOCAL_MACHINE\Software下包含了许多系统中的文件类型和软件设置信息,其实HKEY_CLASSES_ROOT根键、HKEY_CURRENT_USER根键、HKEY_CURRENT_CONFIG根键中的许多内容都是其下的映射,这里再作一些补充。
应用实例
◆取消应用程序的自启动
有些应用程序安装后会在“开始”菜单的“启动”组中加入内容,以实现每次开机时的自启动。对于加入到“启动”组中的应用程序,要取消其自启动,只要将C:\WINDOWS\Start Menu\Programs\启动中的对应项目删除即可。对于未在“启动”组中加入内容的自启动程序(如“超级解霸”的光盘插入探针)须要通过修改注册表来取消其自启动,方法为:将HKEY_LOCAL_ MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run下的对应键值项删除即可。
◆更改标准时间的名称
展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInfor mation,修改“StandardName”的值即可,如将“中国标准时间”改为“北京标准时间”。
◆通过查看注册表为系统减肥
当我们安装应用程序时,经常会在c:\Windows\System目录下加入一些.dll(动态链接)文件,而删除应用程序时,有些在安装时加入的.dll文件并没有被一起删除(或是我们为了安全起见而选择保留.dll文件),时间一长,在c:\Windows\System目录下便会留下许多无用的.dll文件,我们可以通过查看注册表来判断哪些.dll文件是无用的,从而将其删除。方法是:展开HKEY_LOCAL_MACHINE\Software\Micro soft\Windows\CurrentVersion\Shareddlls,其下保存着系统中每个.dll文件被多少个应用程序共同使用的信息,我们只须将键值为0的.dll文件删除即可。
◆查看系统中的16位和32位.dll文件
Windows 95/98中的动态链接文件有16位和32位之分,展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager,其下子键“Known16DLLs”和“KnownDLLs”分别包含了系统中的16位和32位.dll文件,用户可以对应查找。
◆删除桌面上的“我的文档”图标
桌面上的“我的文档”图标是无法按Del键来删除的,但只要展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace ,删除子键{450d8fba-ad25-11d0-98a8-080036161103}就可将其删除。
注:Windows 98可以是用鼠标右键单击“我的文档”,然后选择弹出菜单中的“从桌面上删除”命令删除。
◆使Windows具有自动刷新功能
我们通常用F5键对屏幕、窗口进行刷新,如果你觉得麻烦,可以通过修改注册表来添加自动刷新功能。方法为:展开HKEY_LOCAL_MACHINE\System\Current ControlSet\Control\Update,将二进制值“Update Mode”(如没有则新建一个)的值改为00 00 00 00即可(注:其实选择右键菜单中的“排列图标/自动排列”也可以实现自动刷新功能)。
◆删除“添加/删除程序”中的多余项
有时我们会发现一些程序明明被删除了,但却仍保留在“添加/删除程序”的软件列表中,要删除这些多余项,只须展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall,将其下的相应子键删除即可。
◆解决一些英文软件出现乱码的问题
展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\fontassoc\Associated CharSet,将“GB2312(86)”的值由yes改为no。
◆取消IE中的“分级审查”设置
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings,将其下的键值项删除即可。
◆增强IE中的网址自动探测功能
大家知道在IE的地址栏中输入microsoft后,IE会自动将地址补全为www.microsoft.com, 要使IE对.org、.net、.edu等后缀有自动探测功能,只须在HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\UrlTemplate中新建三个名为“2”、“3”、“4”的字符串值,并分别更改键值为“www.%s.org”、“ www.%s.net”、“ www.%s.edu”即可。
◆更改Windows安装源文件的默认位置
我们时常会遇到系统要求插入Windows安装光盘的情况,所以有些硬盘够大的朋友们为了方便干脆将安装光盘中的内容全部复制到硬盘上。通过修改注册表可以指定Windows安装源文件的默认位置。方法为:展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup,将其下“SourcePath”的值由原先的光驱盘符改为复制到硬盘上的Windows安装源文件的目录路径即可。
◆设置Winamp的视频插件
Geissplugin是一个被评为五星级的Winamp视频插件。但若你的机子配置较低,运行起来就会有停滞现象。展开HKEY_LOCAL_MACHINE\Software\Extensis\geissplugin,将其下用于设定色深位数的“Z_BitDepth”的值改为8,将用于设定播放窗口占全屏百分比的“Screen_Vsize_Percent”的值适当改小,即可使此插件在低配置的机子上流畅运行。

四、HKEY_USERS根键

此根键中记录着系统中当前用户和默认用户的信息,前面所述的HKEY_CURRENT_USER根键即为其下.DEFAULT子键的完全映射。在此仅补充一些应用实例。
应用实例
◆禁用Windows98中的活动桌面
展开HKEY_ USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在其下新建“NoActiveDesktop”的二进制值,改其值为01 00 00 00。
◆消除屏幕右下角Windows 98的版本号
展开HKEY_ USER\.DEFAULT\Control Panel\desktop,将其下“PaintDesktopVersion”的值改为0或删除即可。
◆使文件显示扩展名
Windows 95/98文件的默认显示方式为只显示文件名,而不显示扩展名。我们可以通过将HKEY_ USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下的DWORD值“HideFileExt”的值由1改为0后即可显示文件的扩展名。
◆设置Word中的文件保存路径
保存新建的Word文件时,其默认的保存路径为“我的文档”,其实,该默认路径是可以自己设置的:展开HKEY_ USER\.DEFAULT\Software\Microsoft\Office\8.0\Word\Options,将其下的字符串值“DOC-PATH”(若没有则新建一个)改为所需的路径即可。
◆在“横扫千军之王国风云”中启用作弊模式
将HKEY_USER\.DEFAULT\Software\Cavedog Entertainment\Kingdoms\Skirmish GameOptions 下的“AllowCheating”的值由0改为1即可启用“横扫千军之王国风云”中的作弊模式。


五、HKEY_CURRENT_CONFIG根键
此根键下的内容是HKEY_LOCAL_MACHINE\Config键的映射。
应用实例
◆设置显示色彩位数
HKEY_CURRENT_CONFIG\Display\Settings下的“BitPerPixel”的值即为所使用的显示色彩位数。
◆设置IE的自动拨号功能
展开HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings,将二进制值“EnableAutoDial”的值改为01 00 00 00即可。
◆允许IE使用代理服务器
展开HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings,将DWORD值“ProxyEnable”的值改为01 00 00 00即可。

六、 HKEY_DYN_DATA根键
此根键下记录的是系统硬件动态信息,这些信息均驻留于RAM中,以便系统快速访问。其中Config Manager子键处理硬件配置,PerfStats子键维护网络组件的统计数据。用户一般不要对这部分进行修改。


◆笔者所在单位的计算中心是公用机房,以前是采用Novell公司的NetWare3.12网络操作系统,前段时间把网络操作系统改用Windows NT Server4.0,客户机采用Windows98。因是公用机房,人员流动性较大,希望能在用户进入Win98操作系统前给上机者一些提示信息。
  下面先简单介绍一下在NetWare环境下如何实现此功能:在系统登录稿(System Login Script)中加入一外部可执行命令,如:# P:/rule.exe (“#”是NetWare的外部命令执行符号,P为网络盘符),其中rule.exe文件包含您想要实现的信息提示,然后把文件拷入P盘下即可。可是在Win98环境下要么是直接进入操作系统,要么您得选择用户并输入相应的密码,不易在开机时实现一些信息的提示。后来笔者发现,只要对注册表进行修改,也能达到同样的效果。
  在“开始/运行”中输入regedit以启动注册表编辑器,再打开“我的电脑/HKEY_LOCAL_MACHINE/ Software/Microsoft/Windows/CurrentVersion/Winlogon”子键。在其右边框中空白处点击鼠标右键,选择“新建/字符串值”,分别新建两字符串LegalNoticeCaption和LegalNoticeText,然后编辑该字符串的值。其中LegalNoticeCaption的值表示将出现提示框的标题,即图中的“欢迎您来计算中心上机”;LegalNoticeText的值表示您想实现的信息提示,即图中的“请大家遵守学校和本机房...”。这样,当用户进入Win98系统之前,将出现如图所示的对话框,用户必须点击“确定”按钮后才能进入系统,从而通过修改一下注册表就达到了信息提示的目的。

▲▲▲▲▲指南▲▲▲▲▲

1 提高子菜单速度
位 置:HKEY_CURRENT_USER/Control Panel/Desktop
键值名:Menushowdelay
  双击键值Menushowdelay后,弹出该键值的编辑窗口,在文本输入框内输入“0”后,再单击“确定”按钮即可。注意在系统默认的菜单弹出效果下,不易感觉到菜单弹出速度的提高;这时,请在桌面上单击“属性”命令,弹出“显示 属性”窗口,然后在“效果”标签下将“动画显示菜单和工具提示”下的“淡入淡出效果”改为“滚动效果”。

2 去掉“关闭系统”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoClose
取 值:1为隐藏、0为显示

3 自动刷新窗口内容
位 置:HKEY_LOCAL_MACHINE/System/Currentcontrolset/Control/Update
键值名:UpdateMode
取 值:0、1
若“UpdateMode”键值为0,则设置为自动刷新,
若“UpdateMode”键值为1,则设置为手工刷新;
这等于在资源管理器窗口内按“F5”键或者在“查看”菜单中选择“刷新”命令。

4 去掉“设置”
一 位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoSetFolders
取 值:1为隐藏、0为显示
二 位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoSetTaskbar
取 值:1为隐藏、0为显示

5 去掉升级
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoCommonGroups
取 值:1为隐藏、0为显示

6 去掉“文档”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoRecentDocsMenu
取 值:1为隐藏、0为显示

7 自动清除“文档”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:ClearRecentDocsonExit
取 值:1为自动清除、0为不自动清除

8 去掉“查找”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoFind
取 值:1为隐藏、0为显示

9 锁定“文档”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoRecentDocsHistory
取 值:1为锁定、0为不锁定

10 去掉“运行”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoRun
取 值:1为隐藏、0为显示


11 搜索“自启动”程序
位 置:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
在注册表内,我们可以查询系统启动后加载了哪些程序。单击注册表内的目录树,这里最重要的是“装载源”,从“软件环境”、“启动程序”显示的结果看,绝大多数“自启动”程序都是通过注册表加载的,即“装载源”显示为“Registry (Machine Run)”的程序。

12 去掉“注销”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoLogOff
取 值:1为隐藏、0为显示

13 缩短“新建”选项
当你用鼠标右键点击资源管理器空白处,并选取新建菜单时,会弹出建立多种程序文件的菜单,但是里面有一些你可能并不常用,比如现在我要去除掉菜单中的“Wave Sound”项目,来缩短菜单。 打开注册表,请选择查看下的搜索项,然后输入“shellnew”,并选择“全字匹配”选项;在HKEY_LOCAL_MACHINE与HKEY_LOCAL_ROOT下进行查找,找到后将该其下面的shellnew子键删除掉即可。

14 清除配色方案
位 置:HKEY_CURRENT_USER/Control Panel/Appearance/Schemes
首先请找到该子键,在窗口的右边会出现系统自带的各种配色方案,将你认为无用的配色方案删除掉,一般只保留“Windows默认”一项。 然后再打开“控制面板”窗口中的“显示”,然后在“显示 属性”窗口中单击“外观”标签,在“窗口配色方案”下拉列表中进行查看。

15 修改桌面图标
例如,我们修改Windows桌面上“回收站”的名字及图标,可执行如下操作步骤。
位 置:HKEY_CLASSES_ROOT/CLSID/{645FF040-5081-101B-9F08-00AA002F954E}
  先打开注册表编辑器;然后根据上面提供的位置找到该主键,双击窗口右边的“回收站”,弹出字符串编辑器, 然后在文本输入框内,将“回收站”改为“垃圾筒”, 重新启动机器后,桌面上的回收站就变成了垃圾筒,但图标依旧!单击{645FF040-5081-101B-9F08-00AA002F954E}前面的“+”,则展开这个主键,在它下面还有一个子键DefaultIcon。然后单击此子键,在右窗格中的“数据”栏下将出现三个图标文件名,分别为“<未命名>”、“Full”(满)、“Empty”(空)的回收站图标,这三个图标包含在动态链接库Shell32.dll文件里面,图标资源所在的序号分别是31、31、32, 其数据格式是“C:/Windows/System/Shell32.dll,31”等(调用动态链接库中的图标资源,采用这种格式就可以啦!)。如果您想把它改成自己的图标,则只要将此数据改为自己图标或者动态链接库即可,例如使用图标文件为“C:/Windows/help.ico”,这样再重新启动机器就可以看到垃圾筒的图标被改变了。利用同样的方法可以修改桌面上其它的图标和文字。

16 删除“系统”
  当你想删除桌面上的“回收站”、“Internet Explorer”等图标时,会发现它们不能用一般的方法删除。这时还可以通过修改注册表来办到。
位 置:HKEY_LOCAL_ MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace在该分支下面有多个子键,这些子键将对应桌面上的“系统”图标,在窗口右边你就可以看到。删除不需要的图标,即对应的键值;重新启动后,会看到桌面上的一些图标不见啦!

17 隐藏桌面
位 置:HKEY_CURRENT_USER/Software/Microsoft
/Windows/CurrentVersion /Policies/Explorer
键值名:NoDesktop
取 值:0、1
  这种隐藏桌面图标的方法与简单地在“显示 属性”窗口内,使用“Active desktop”下的隐藏图标的方法不一样。这里的隐藏除了将图标隐藏外,连整个桌面都一并隐藏了起来,并且同时禁止了在桌面上点击鼠标右键功能。

18 去掉“网上邻居”
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoNetHood
取 值:1为隐藏、0为显示

19 关闭系统版本号
位 置:HKEY_CURRENT_USER/Control Panel/desktop
键值名:PaintDesktopVersion
取 值:0为隐藏、1为显示
说 明:它能把你的Windows的版本号在桌面的右下角显示出来,如果你使用的是测试版, 那么就可以将桌面右下角的文字去掉。

20 隐藏指定驱动器
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
键值名:NoDrives
取 值:需要说明一下,在这里使用的是2的N次方来代表一个驱动器名称,而非寻常的A、B、C、D……,下面就给出各驱动器名与2的N次方的对应关系,以方便读者:A: 1, B: 2,C: 4, D: 8, E: 16, F: 32, G: 64,H: 128, I: 256,J: 512,K: 1024, L: 2048, M: 4096, N: 8192,O: 16384, P: 32768, Q:65536,R: 131072,S: 262144,T: 524288, U: 1048576, V: 2097152, W:4194304,X: 8388608, Y: 16777216, Z: 33554432按照上面的取值规则,如果你要隐藏A、B、C三个驱动器,输入7即可,因为7=1+2+4,如果你要隐藏所有驱动器,输入67108863。

21 修改“回收站”
位 置:HKEY_CLASSES_ROOT/CLSID/{645FF040-5081-101B-9F08-00AA002F954E}/ShellFolder
键值名:Attributes
取 值:40 01 00 20、70 01 00 20
说 明:缺省情况下是40 01 00 20,把它改为70 01 00 20后,就可以把桌面上的“回收站”象资源管理器内的文件一样,能任意地更名或者删除了。

22 修改桌面
位 置:HKEY_CURRENT_USER/ControlPanel/desktop
说 明:打开注册表编辑器,然后打开该分支。在此分支右窗格内可以看到一些项目,现介绍几个如下:HungAppTimeout:这是指一个应用程序出错时试图等待响应的时间,值为毫秒,缺省值为5000毫秒(即5秒),可以减少为3000毫秒,以加快系统的响应能力。MenuShowDelay:这是指“开始”菜单中当鼠标指向一个具有下级 菜单的菜单项时等待出现下级菜单的延迟时间,单位也是毫秒,可以设成100,即等待0.1秒就会出现(前面已经提到过)。ScreenSaveActive:这是现在屏幕保护功能是否可用,值为0或1,0即为不用屏幕保护功能,1为可用,但必须你已经使用了屏幕保护功能。ScreenSaveTimeOut:这是指屏幕保护的延时,值类型为一个数值。单位是秒,最小值是60秒,但必须你已经使用了屏幕保护功能;如果你将数值改为1,那么每停顿1秒钟,便会启动屏幕保护。WaitToKillAppTimeout:这是指当按下 Crtl+Alt+Del后以后,出现“关闭程序”对话框,出现提示“结束任务”、“等待”时选择“等待”的等待时间,单位是毫秒,默认值是10000。可以减少等待时间。

23 定制按钮颜色
  尽管Windows在外观中可以定义多种窗口显示方案,但要定义某一个部位的颜色,如将黑色的按钮字体改变为其它的颜色, 它就无能为力啦!通过修改注册表能很容易实现。 在注册表内找到HKEY_CURRENT_USER/Control Panel/Colors的子键,然后将窗口右边的“Bottontext”键值由原来的“0 0 0”改为“255 0 0”(代表红色)。

24 汉字后加空格
位 置:HKEY_CURRENT_USERS/Software/Microsoft/Windows/CurrentVersion
键值名:插空格
取 值:0不插入空格、1插入空格

25 活用Enter键
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion键值名:
取 值:0保留原功能,输入法不处理、1等同于Esc键,用于清除当前外码输入状态说 明:当取值为1时,如果有候选窗口,会自动隐藏输入窗口,清除所有外码,但不隐藏外码输入窗口。当无候选窗口,清除外码,并隐藏外码输入窗口。

26 活用Space键
位 置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion键值名:
取 值:0指明这是作为结束外码输入的标志键,这种设置适合于形码、1指明这是作为候选选择键,这种设置适合于音码。

27 系统时间格式
位 置:HKEY_CURRENT_USER/ControlPanel/International键值名:sTimeformat
取 值:H:mm:ss、HHmm不等
说 明:在通常情况下,Windows在任务栏中使用“23:12”的时间格式来显示时间, 但是您可以通过修改注册表编辑器来更改此时间格式。

28 更改登录背景
位 置:HKEY_USERS/.DEFAULT/Control Panel/Desktop
键值名:Wallpaper
取 值:目标背景图文件路径

29 修改注册码
位 置:HKEY_LOCALMACHINE/Software/Microsoft/Windows/CurrentVersion
键值名:ProductId
取 值:任意字符

30 禁止自动运行
  在通常情况下,绝大多数在Windows启动时自动运行的应用程序有如下两种设置办法:在“启动”程序组中添加快捷方式 如果使用的是这种方法。则我们只需将它们的快捷方式从 “启动”程序组中删除即可达到禁止它们自动运行的目的。修改Windows的注册表数据库如果您使用过一些诸如CD播放机等的用户都知道,在使用这些软件时,都将在任务栏右边 将出现一个图标,这有时会带来不便。其实,这些软件的自启动程序的注册项放在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run分支中。您只要到此分支中找出对应的自启动程序即可,另外,在“Run”主键下还可能有“SysExplr”子键。如果有该子键,可以将其中的内容清空,同样也能取消Windows启动时自启动的程序。那么反过来,我们怎样在注册表内添加自启动程序呢?先找到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run主键,然后在它的窗口右边建立一 个名为“SysExplorer”的键值名,并将其值设为“Explorer.exe”,退出注册表编辑器,注销用户后重新启动计算机,系统将自动运行资源管理器。 另外Windows还提供了一次性的自启动功能。紧跟在“Run”主键后面有一个“RunOnce”和“RunOnceEx”子键,你可以在这两个子键内设置新的键值,让系统自动运行一次某个程序,即仅在下一次启动Windows时才有效。

31 软件显示乱码
   解决的方法是在注册表内找到HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/fontassoc/Associated CharSet位置,将窗口右边内的“SYMBOL(02)” 键值(这是系统的机内码)改为“NO”即可。

32 删除软件的残骸
  每一个Windows操作系统的的使用者可能都有这样的经历,由于种种原因直接在硬盘中删除了某个文件夹,或者是在“添加/删除程序”里面对一些软件进行反安装。但是有些程序却还有注册信息留在注册表内,当你再次从“添加/删除程序”中卸载该程序时,老是提示“试图删除XXXXXX时出错,放弃卸载”,从而导致了卸载程序错误。当机器中安装大量的软件后随着时间的后移,就在系统的注册表中就形成了垃圾,影响了机器的运行速度。下面介绍彻底清除这些垃圾的方法。用注册表编辑器来清除注册表中关于卸载应用程序的相关键值数据HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Uninstall位置,一般的软件在注册表内的反安装子键里有“DisplayName”、“UninstallString”这两个键值,第一个显示的是软件的名称、第二个 显示的是反安装的一些信息。双击第二个键值后,便会明白反安装是怎么回事,反安装实际上是你所安装的软件自带有一个反安装程序,在安装该软件时,它会自己记录一些安装信息存放Install.log文件中,卸载时用这个反安装程序再带上.log文件的参数即可。另外,有些软件反安装时使用的是系统提供的反安装程序。再如,许多应用软件在卸载之后仍会在注册表文件内留下一些无用信息。比较集中的地方在HKEY_LOCAL_MACHINE/Software、HKEY_CURRENT_USER/Software和HKEY_USERS/.Default /Software。这几项里面的内容基本上一致,在其中一处作查找删除就行了。比较常用到的方法是进入HKEY_LOCAL_MACHINE/Software分支中,然后重点查找那些已经确信被安全卸载了的软件的残留信息,在确认无误后删除。

33 恢复CD Key
  如果你不小心将Windows的CDKey丢失了,担心在以后需要安装系统时会遇到什么麻烦。我该如何才能找回它呢?您可以从NT的注册表中找到这个CDKey。打开注册表,然后再找到“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion”位置,在右侧的ProductId键值中,就包含了CDKey的信息,另外,如果您所使用的NT是OEM版本,则有可能整个ProductId的串值就是CDKey!

34 加入登录信息
  因为加入这样的功能需要修改NT的注册表,所以请您小心并做好备份。首先在注册表中的找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon子键,然后在窗口右边找到“LegalNoticeCaption”和“LegalNoticeText”两个键值。如果没有, 请添加这两个键值。然后在这两个键值内分别输入“这是我的服务器”、“欢迎光临!”。关闭注册表,重启机器,这次您就看到在登录窗口之前,将会出现一个新的窗口,包含上面您所输入的这两条信息。

35 防范非法入侵
  介绍如何防止本地用户非法入侵 Windows NT 系统的文章已经并不少见,但如何防范远程用户呢?当然,一般的做法是,可以在用户拨号进入系统(或通过局域网进入系统)时限制其对文件的访问权限,以达到保护文件的目的。但毕竟这种安全级别不够高,如何能将这些用户锁在系统的门外,以达到绝对安全的目的呢?NT为驱动器和系统目录创建默认共享的目的,是为了使系统管理员、备份程序和其他授权用户及服务性工作能顺利访问其他个人用户的文件。当其他用户访问您的系统时这些共享对象并不显现出来。但是任何一个远程 用户只要知道这些共享对象的确切名称,并且有访问权的话,他就可以与这些共享对象建立连接。令人遗憾的是,NT系统的安全机制非常脆弱。虽然SecurityPack5的出台为老用户提高到管理员水平而提供了一些补漏措施,并且还 有一些NT的安全检查方法,但仍然还会有其他漏洞存在。所以如果您的计算机在局域网上,或者是通过Modem连接 上网的,那么可通过取消这些组件的共享来保护数据。 为了达到此目的,打开NT的注册表编辑器。在注册表编辑 器中,将当前目录定位在HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/lanmanagerserver/parameters,如果没有AutoShareWks键值名,那么请你新建立一个;然后再双击它并输入“3D0”,最后单 “确定”按钮、关闭注册表编辑器,然后重新启动计算机。

36 ICQ中有“漏洞”
  ICQ是由以色列一家叫Mirabilis的公司出品的网络软件,其作用是为Internet上的用户提供实时的信息传递服务。有了它,你就可以同千里之外的朋友交流信息,还可以在对方不在线的情况下“呼叫” 他(她)上线,难怪广大网友都亲切地叫它“网络寻呼机”。但是,你是否知道在ICQ for Windows版本中 有一个“漏洞”。ICQ在Windows注册表中有一个键值被称为“Auto Update”(自动更新)。如果该键值被设 置成“Yes”,那么每一次登录到服务器的时候,就会将你的计算机中一些重要信息发送到登录的服务器上。 这些信息包括:你正在使用的操作系统类型、版本、序列号、用户登记名称、公司名称、所使用的浏览器版本等等。这些重要信息的发送可能会被黑客或某些别有心的人所利用,给你带来不必要的麻烦。为了避免此问题的发生可采用修改注册表关掉ICQ的“自动更新”功能。首先在注册表内找到 HKEY_CURRENT_USER/Software/Mirabilis/ICQ/DefaultPrefs位置,并在窗口右边找到“Auto Update”键值; 将“Auto Update”键值由“Yes”修改为“No”即可。为了你系统的稳定性,在进行修改时请注意要在关闭ICQ 应用程序的情况下进行修改。修改完毕后,请重新启动计算机。

37 增加执行文件路径
  如果需要运行的程序不在指定的目录中,则DOS系统一般采用在自动批处理文件中设置路径的方法来达到自动寻找此程序的目的;在Windows中则可以更秘密地增加程序路径,而不是通过设置自动批处理的方式,这就需要通过修改注册表来实现上述目的。 比如要为“C:/ProgramFiles/pdoc/pdoc.exe”文件增加路径。先打开注册表,然后找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/AppPaths的位置,在窗口右边新建一个名为“pdoc.exe”的主键,选择该主键,将其默认值设为“C:/ProgramFiles/pdoc/pdoc.exe”;再新建名为“Path”的主键,将其设为“C:/ProgramFiles/pdoc”。这样就可以通过在“运行”命令行中键入“pdoc.exe” 或“pdoc”来运行该程序了。另外你还可以为已经存在的程序设置新的主键,比如可以为MicrosoftWord 97添加名称为“Word.exe”的主键。假设Word 97安装在“C:/ProgramFiles/MicrosoftOffice/Office/”目录中,则其操作为:打开注册表,在“我的电脑”文件夹中依次选择“HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/AppPaths”,新建名称为“Word.exe”主键,选择该主键,将其默认值设为“C:/ProgramFiles/MicrosoftOffice/Office/Winword.exe”即可,建立执行目录的方法与上例一样。

38 更改系统安装目录
  如果使用光盘安装Windows,当添加新的硬件时,系统配置驱动程序时会提醒需要在光驱中插入Win 98光盘,而且每次都 要这样做,的确太麻烦了。您可以将Win 98安装盘中的所有“*.CAB”文件都拷贝到硬盘的某个目录下,比如“D:/Backup/PWin98”,然后运行注册表编辑器,在“我的电脑”文件夹中依次选择“HKEY_LOCAL_MACHINE”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Setup”,将“SourcePath”主键的值改为“D:/Backup/PWin98/”,
重新启动计算机即可。 如果网络上有一个文件服务器,假定Win98安装盘备份在“D:/Backup/PWin98/”目录中,文件服务器的机器名为“MMX233”,D盘共 享名为“DiskD”,则将“SourcePath”主键值改为“//MMX233/DiskD/Backup/PWin98/”,注销用户或重新启动Windows即可。

39 去掉IE内的分级审查口令
  首先找到在注册表的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows /Currentversion/Policies/Ratings位置,这里保存的是IE下“Internet属性”对话框的“内容”选项页中的“分级审查”中的口令,该口令是经过加密的,在下图中你可以看到记录该口令的有两个键值,而二进制的“key”键值则是加过密的,去掉口令的方法即是将子键下的这两个键值删除,如果没有口令,这个子键无键值。下次进入IE,你就可以安全地进入分级审查,并且可以直接跳过输入“旧密码”,直接加入密码即可.

40 设置中文Windows内的系统语言
  如果你安装了一个英文游戏,并且不支持中文,例如QUAKE。就可以将中文Windows内的汉字按照英文一样来处理。比如每个汉字都被当成了两个字符来处理,删掉一个汉字也需要按两下删除键,而且每到行末,就会出现汉字丢掉一半的奇怪现象。如果遇到这样的情况,千万别着急重新安装Windwos,你还可以先试一试下面的方法。首先在注册找到HKEY_LOCAL_MACHINE/System/CurrentControlSet/control/Nls/Locale的位置,将原来的“00000804”改为默认的“00000409”(系统默认使用的语言系统).


41 更改IE标题栏中的文字
  首先在注册表中找到下面的位置HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main,然后再新建一个字符串值,将其命名为Window title
(注意两个词中间有一个空格).

42 如何删除多余的DLL文件
  在WIN98的System子目录下存有大量的DLL文件,这些文件可能被系统或应用程序共享。但是由于经常安装和卸载软件,就会在System目录下留下一些DLL垃圾文件。它们不但占用了硬盘空间,而且还降低系统的运行速度。删除它们的步骤如下:
  1.运行“REGEDIT”, 打开注册表编辑器。
  2.打开
  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/SharedDLLs分支。
  这里SharedDLLs子键记录的就是有关程序共享的DLL信息,每个DLL文件的键值说明它已被几个应用程序共享。如果是二进制键值为“00 00 00 00”,则表明不被任何程序共享。(另外“0x00000001 (1)”是十六进制表示法)
  3.System目录中删除对应的文件。

43 去掉桌面快捷方式的小箭头
  在一些程序的安装过程中,会自动在桌面上创建该程序的快捷方式,方便了我们的使用。但是那个小箭头不太好看。我们可以利用修改注册表来去掉它。首先要注意此快捷方式是什么类型的,一般说来以.LNK居多,也有一些是.PIF(指向MS-DOS程序的快捷方式)。具体步骤如下:
  1.运行注册表编辑器,打开HKEY_CLASSES_ROOT/lnkfile分支。
  2.在lnkfile子键下面找到一个名为“IsShortcut”的键值,它表示在桌面的.LNK快捷方式图标上将出现一个小箭头。右键单击“IsShortcut”,然后从弹出的菜单中选择“删除”,将该键值删除。
  3.关闭注册表编辑器,重新启动Win98,就可发现快捷方式图标上已经没有小箭头了。
  同理,对指向MS-DOS程序的快捷方式(即.PIF)图标上的小箭头,则除了是打开HKEY_CLASSES_ROOT/piffile分支外,其余同上。


▲▲▲▲▲你一定要看的哦▲▲▲▲▲


1.注册表的备份及恢复

  注册表被破坏时就会导致系统发生问题甚至瘫痪,所以需要备份注册表以便在注册表受到破坏时恢复它。常见的注册表备份方法有三种:

  (1) 直接将注册表文件System.dat和User.dat拷贝到硬盘指定的目录下或直接拷贝到软盘上作为备份。恢复时将该备份替换覆盖回原处即可。
  (2) 运行Regedit.exe。打开注册表编辑器后,利用菜单的“导出”及“引入”功能来备份、恢复注册表信息。具体方法为:打开“注册表”下拉菜单,单击“导出注册表文件”项,在出现的对话框中键入欲备份注册表的文件名及其保存位置,再单击“保存”即可。需要恢复注册表时,用同样的方法打开注册表编辑器,打开“注册表”下拉菜单后点击“引入注册表文件”,在出现的对话框中选中需恢复的备份文件,再按“打开”按钮即可将该注册表备份文件恢复到系统中。
  (3)Win98新增的自动备份注册表功能可自动备份注册表。在用户每天第一次开机时,Win98将自动把系统中原来的注册表信息压缩成.cab文件,以rb00*.cab之名存放在Windows/Sysbackup目录下,系统自动保存最近五次开机时的注册表数据。需要恢复时,可以用Windows自带的Extract.exe(在Windows/Command目录下)解开该压缩文件,恢复替换回原注册表文件即可。另外,还可用WinZip7.0等压缩软件解开所需的rb00*.cab备份压缩文件,将它覆盖回原位置即可。

  2.修改注册表

  为了充分发挥系统的性能,有必要对注册表进行适当的修改(但是,如果你对注册表不太熟悉的话,请不要轻易修改它)。例如,通过修改注册表可以加快网络传输速度。具体操作如下:运行Windows目录下的Regedit.exe,出现编辑窗口时单击“编辑”菜单的“查找”命令,在查找框内键入“MaxMTU”后回车,找到该键值名后,右击它,在快捷菜单中单击“修改”,将其值设为576;用同样的方法将该窗口的“MaxMSS”值设为536;将“DefaultRcv Windows”的值设为3216;将“Default TTL”的值设为64。如果该窗口中缺少某一项,就右击窗口右边空白处,在快捷菜单中单击“新建/字符串值”,键入相应的名字,再将其值设为上面数据即可。关于注册表更详细的修改方法见《1999年电脑报合订本》(上)附录。

  3.对Win95/97注册表的管理

  目前很多系统仍使用Win95/97,但它对系统没什么保护功能。在Win98中,微软新增了一个注册表检测软件:ScanReg。当注册表出现问题时,它会提示你重新启动系统恢复注册表。目前注册表检测软件分为DOS版的ScanReg.exe和Windows版的ScanRegw.exe,只要输入ScanReg,系统就启动相应版本,对注册表进行压缩备份,并将备份存放在Windows/Sysbackup目录下,当注册表出错时,就使用备份文件覆盖掉坏注册表文件。把Win98的ScanReg拷贝到Win95/97中使用仍可以实现对系统注册表的保护。具体方法为:把Win98的Windows/Command目录下的ScanReg.exe和Windows目录下的ScanReg.ini、ScanRegw.exe拷贝到Win95/97的相应目录中。为了达到每次启动Win95/97就检测和自动保存,我们要做一个快捷方式到“启动组”中,在“开始”按钮上单击鼠标右键,选择“打开”,一层层打开到“启动组”文件夹,把刚才做好的ScanReg快捷方式放进去,这样,Win95/97就和Win98的注册表保护功能完全一样。

  4.用软件管理注册表

  现在有很多用于管理注册表的软件,例如:注册表修改软件Reg2000;注册表监视软件Regmon;注册表清理软件Regclean等。下面以微软公司开发的Regclean为例说明用软件对注册表的管理。在频繁的安装和卸载一些软件时,注册表中会留下许多垃圾信息,你可以通过运行Regclean删除这些无用的表项,并把所做的修改存放在一个Undo文件中,用户可随时恢复。经过Regclean的处理,系统性能得到很大的提升,尤其是缩短了系统的启动时间。而且只要系统一启动,Regclean就会搜索注册表,如果发现错误,只要按一下FixError就大功告成了。Regclean清理注册表后,会产生一个*.reg文件,里面的内容是刚被清理出的注册表项,可以用各种字处理软件打开查看,但请注意:不能直接选“打开”(即:把它们加入注册表),否则这些垃圾信息就会重新登录到注册表中,刚才的FixError工作就白做了。

Windows2000注册表的备份与恢复


   Windows 2000 将它的配置信息存储在名为注册表的数据库中,其中包含了每个计算机用户的配置文件,以及有关系统硬件、已安装的程序和属性设置等信息,Windows 2000 在运行过程中要一直引用这些信息。注册表是以二进制形式存储在硬盘上,错误地编辑注册表可能会严重损坏系统。所以,在更改注册表之前,强烈建议备份注册表信息。为了防止在修改注册表的时候发生致命错误,有必要了解一下注册表文件的备份和恢复方法。除此之外,为了研究注册表的结构,还可以将注册表中的某一主键或子键保存为文本文件,或者打印出来,这项工作同样需要了解注册表文件的导入与导出方法。

  一、完全备份/恢复注册表
  如果要完全备份注册表,可以在注册表编辑器Regedit.exe中单击“注册表”菜单下的“导出注册表文件”命令,并选择导出范围为“全部”,将注册表文件(*.reg)保存在硬盘上即可。要完全还原注册表的方法同上,只需要单击“注册表”菜单下的“导入注册表文件”命令,然后选择硬盘上相应的备份注册表文件即可。顺便提一下,Regedit.exe(16位的注册表编辑器)包含在 Windows 2000 中的主要原因是其搜索功能比较强,用户同样可以使用 Regedit.exe 更改注册表,但其功能不够全面(如无法设置注册表项的权限),可能无法正确查看或编辑个别数据类型。因此,建议只将 Regedit.exe 用于搜索及注册表的完全备份,在需要编辑注册表时,使用system32目录下的 Regedt32.exe(它是32位注册表编辑器,提供了一些高级功能,采用多窗口格式显示各预定义项,查看起来比较方便)。

  二、部分备份注册表
  如果只需要保存一个根键或者一个主键(子键)等一般的备份,在Regedt32中就可以比较方便地完成。首先选择要保存的主键或子键,然后再单击“注册表”菜单下“保存项”命令,在弹出的“保存项”对话框中输入要保存的注册表文件的文件名,扩展名建议使用“reg”,便于今后查找。

  在保存某些主键或子键时,因为其使用的用户不同,或者是该主键或子键正在被系统使用,会出现禁止访问的警告:“权限不足,无法保存项”。这时系统管理员可以使用“安全”菜单下的“权限”命令,对这些主键或子键的用户赋予“完全控制”的权限(具体操作参见第15期《电脑报》软件世界中“Windows 2000 注册表直通车(上)”一文),然后就可以保存该项了。

  将注册表主键或子键保存为“项”文件,无法直接用文本编辑器打开查看,所以想研究注册表的结构的话,可以将注册表文件导出为文本文件,操作的方法是选择“注册表”菜单下“将子目录树另存为”命令,将其命名为扩展名为TXT的文件后,再单击“保存”按钮即可。以后我们就可以使用Windows的写字板或记事本来查看这个文本文件了。如果需要,也可以使用同一菜单下的“打印子目录树”命令来打印。

  三、部分恢复/导入注册表
  部分恢复/导入注册表有两种方法,第一种是还原“项”,即使用以前备份的注册表文件或其它注册表文件来覆盖现有的主键。首先在Regedt32注册表编辑器中,将光标移至要还原的主键上,再选择“注册表”菜单下的“还原”命令,并在“还原项”窗口中选择要还原的注册表文件,单击“打开”按钮,确认覆盖现有主键后,即可还原该项到当前选定的项上。注意:被选择还原的文件必须与注册表编辑器中所选择的主键内容吻合,即原先保存的注册表“项”只能还原到原先的位置。

  另外一种方法是加载配置单元。“加载配置单元”和“卸载配置单元”。这两个命令只有在[HKEY_USERS]或[HKEY_LOCAL_MACHINE]这两个预定义项窗口中才有效,将配置单元加载到注册表中后,配置单元成为其中一个项的子项。具体做法是在Regedt32注册表编辑器中,先用鼠标选择上述两个预定义项中的一个主键,再选择“注册表”菜单下的“加载配置单元”命令,接着在“加载配置单元”对话框内选择要加载的注册表文件,单击“打开”按钮后出现“加载配置单元”对话框,在对话框的“项名称”文本框内输入新主键的名称,如“.ChenNai”,再单击“确定”按钮,这样你就发现在当前主键的下面出现了一个新的主键(.ChenNai)。如果要卸载该配置单元,也很简单,选中该主键后,选择“注册表”菜单下“卸载配置单元”命令即可。

  上述两种方法的不同之处在于“加载配置单元”引入的主键可以是注册表内原先没有的内容。

  最后说一下,Windows 2000中注册表文件的位置,同Windows 9X一样,Windows 2000的注册表也分为两个部分,但包括多个文件,其中用户配置文件保存在根目录“Documents and Settings”下用户名的目录中,包括两个隐藏文件:NTUSER.DAT、NTUSER.INI及ntuser.dat.LOG日志文件。系统配置文件位于Windows 2000系统目录下的“SYSTEM32/CONFIG”中,包括DEFAULT、SOFTWARE、SYSTEM、AppEvent.Evt、SecEvent.Evt、SysEvent.Evt等多个隐藏文件及其相应的.LOG(日志)文件和.SAV文件。这些注册表文件在Windows 2000运行时无法使用其它工具打开,这一点与Windows 9X下的system.dat及user.dat不同。

发表于 @ 2006年05月17日 1:08 AM | 评论 (0)

揭开XP启动如飞的秘密
1.禁用外设,加速启动   

  在WinXP中暂时禁用一些外设,可以有效地减少系统启动时需要调入的外设驱动程序数量,从而加快系统的启动 速度,因为WinXP在启动时会自动 扫描硬件的变化。首先打开该设备的电源,然后打开“设备管理器”窗口,单击工具栏中的“扫描硬件改动”按钮,或者直接用鼠标右键单击已禁用的设备,在弹出的快捷菜单中选择“启用”即可。   

  2.用软件,让WinXP启动如飞   

  微软提供了一个专用来加速WinXP启动的补丁程序──BootVis,可到微软网站去下载。下载后解 压缩到一个文件夹中,然后启动BootVis,单击“Tools”菜单的“Options”,在“symbol”框中键入BootVis程序所在路径,单击“Save”按钮。接下来,在“Trace”菜单中,单击“Next Boot”,再单击“OK”按钮,此时BootVis程序会引导WinXP重新启动,并记录启动 进程,生成相关的BIN文件。重新启动后,BootVis仍在运行中,请在“Trace”菜单中,单击“Optimize system”命令即可。   

  3. 修改注册表   

  关于如何缩短Win XP的开机时间,我认为,可以采取缩短开机画面中蓝色滚动条的滚动时间的方法来解决。具体方法如下:在注册表编辑器中找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SessionManager/Memory management/PrefetchParameters,在右边有一个EnablePrefetcher项,默认为3,可改为1、4、5任意一个,都可缩短开机时间。   

发表于 @ 2006年05月17日 1:05 AM | 评论 (0)

104种清除木马的方法
1. 冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
查找以下的两个路径,并删除
" C:/windows/system/ kernel32.exe"
" C:/windows/system/ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:/windows/system/ kernel32.exe和C:/windows/system/ sysexplr.exe木马程序
重新启动。OK

清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK

2. Acid Battery v1.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Explorer ="C:/WINDOWS/expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:/windows/expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:

重新启动到MSDOS方式
删除C:/windows/MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Explorer = "C:/WINDOWS/MSGSVR16.EXE"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的Explorer = "C:/WINDOWS/MSGSVR16.EXE"
关闭Regedit
重新启动。OK

重新启动到MSDOS方式
删除C:/windows/wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Wintour = "C:/WINDOWS/WINTOUR.EXE"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的Wintour = "C:/WINDOWS/WINTOUR.EXE"
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:/Windows/ zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤:

启动到MSDOS方式
删除C:/ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C:/ americ~1.0/buddyl~1.exe(删除前取消文件的隐含属性)
删除C:/ windows/system/norton~1/regist~1.exe(删除前取消文件的隐含属性)

打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI

还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的WinProfile = c:/command.exe
关闭Regedit,重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:

注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
7. AttackFTP
清除木马的步骤:

打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:/windows/system/ wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的"C:/WINDOWS/Cmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:/WINDOWS/Cmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的‘c:/windows/notpa.exe /o=yes‘
关闭Regedit,重新启动到MSDOS系统中
删除c:/windows/notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK
10. BF Evolution v5.3.12
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的(Default)=" "
关闭Regedit,再次重新启动计算机。
将C:/windows/system/ .exe(空格exe文件)
OK
11. BioNet v0.84 - 0.92 + 2.21

0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:/windows目录下,用attrib libupd~1.exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
的子键WinLibUpdate = "c:/windows/libupdate.exe -hide"
将此子键删除。


12. Bla v1.0 - 5.03
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Systemdoor = "C:/WINDOWS/System/mprdll.exe"
关闭Regedit,重新启动计算机。
查找到C:/WINDOWS/System/mprdll.exe和
C:/WINDOWS/system/rundll.exe
注意:不要删除C:/WINDOWS/RUNDLL.EXE正确文件。
并删除两个文件。
OK
13. BladeRunner
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
可以找到System-Tray = "c:/something/something.exe"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的DirrectLibrarySupport ="C:/WINDOWS/SYSTEM/Dllclient.exe"
关闭Regedit,重新启动计算机。
DEL C:/Windows/System/Dllclient.exe
OK

清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK
15. BrainSpy vBeta
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
右边有 ??? = "C:/WINDOWS/system/BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:/WINDOWS/system/BRAINSPY .exe
OK
16. Cain and Abel v1.50 - 1.51
这是一个口令木马

进入MS-DOS方式
查找到C:/windows/msabel32.exe
并删除它。OK
17. Canasson
清除木马的步骤:

打开WIN.INI文件
查找c:/msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:/msie5.exe木马文件
OK
18. Chupachbra
清除木马的步骤:

打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的‘System Protect‘ = winprot.exe
重新启动Windows
查找到C:/windows/system/ winprot.exe,并删除。
OK
19. Coma v1.09
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的‘RunTime‘ = C:/windows/msgsrv36.exe
重新启动Windows
查找到C:/windows/ msgsrv36.exe,并删除。
OK
20. Control
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的Load MSchv Drv = C:/windows/system/MSchv.exe
保存Regedit,重新启动Windows
查找到C:/windows/system/MSchv.exe,并删除。
OK
21. Dark Shadow
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit,重新启动Windows
查找到C:/windows/system/ winfunctions.exe,并删除。
OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
版本1.0
删除右边的项目‘System32‘=c:/windows/system32.exe
版本2.0-3.1
删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
保存Regedit,重新启动Windows
版本1.0删除c:/windows/system32.exe
版本2.0-3.1
删除c:/windows/system/systray.exe
OK
23. Delta Source v0.5 - 0.7
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的项目:DS admin tool = C:/TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:/TEMPSERVER.exe,并删除它。
OK
24. Der Spaeher v3
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的项目:explore = "c:/windows/system/dkbdll.exe "
保存Regedit,重新启动Windows
删除c:/windows/system/dkbdll.exe木马文件。
OK
25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:

这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:/WINDOWS/SYSTEM/tesk.sys
C:/WINDOWS/Start Menu/Programs/Startup/mstesk.exe
c:/Program Files/MStesk.exe
c:/Program Files/Mdm.exe
重新启动Windows。

接着,打开win.ini文件
找到[WINDOWS]下面load=c:/windows/system/tesk.exe项目,删除路径,改变为load=
保存win.ini文件。

最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
Ms tesk = "C:/Program Files/MStesk.exe"

HKEY_USER/.Default/Software/Microsoft/Windows/CurrentVersion/Run
Ms tesk = "C:/Program Files/MStesk.exe"
再寻找到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:/AUTOEXEC.BAT文件,删除
@echo off copy c:/sys.lon c:/windows/StartMenu/Startup Items/
del c:/win.reg
关闭保存autoexec.bat。
OK

清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:/,编辑AUTOEXEC。BAT,把如下内容删除:
@echo off copy c:/sys.lon c:/windows/startm~1/programs/startup/mdm.exe
del c:/win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:/根目录下删除木马文件:
del sys.lon
del windows/startm~1/programs/startup/mdm.exe
del progra~1/mdm.exe
3.抽出软盘重新启动,进入98后,把c:/program files/目录下的memory manager 目录删除。

清除木马V1.7版本:
首先,打开C:/AUTOEXEC.BAT文件,删除
@echo off copy c:/sys.lon c:/windows/startm~1/programs/startup/mdm.exe
del c:/win.reg
关闭保存autoexec.bat

然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
找到c:/windows/system/mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:/windows/system/kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。

最后,删除以下木马程序:
c:/sys.lon
c:/iecookie.exe
c:/windows/start menu/programs/startup/mdm.exe
c:/program files/mdm.exe
c:/windows/system/mdm.exe
c:/windows/system/kernal32.exe
注意:kernal32是A
OK

26. Donald Dick v1.52 - 1.55
清除木马V1.52-1.53版本:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/system/CurrentControlSet/Services/VxD/VMLDIR/
删除右边的项目:StaticVxD = "vmldir.vxd"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/System/vmldir.vxd
OK

清除木马V1.54-1.55版本:

这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
27. Drat v1.0 - 3.0b
清除木马的步骤:

打开注册表Regedit
点击目录至:hkey_classes_root/exefile/shell/open/command
找到@=SHELL32 /"%1/" %*把它更改为@="%1" %*
关闭保存Regedit,重新启动Windows。
查找c:/windows/下shell32.*文件,并删除它。
OK
28. Eclipse 2000
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:bybt = "c:/windows/system/eclipse2000.exe"
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ RunServices/
删除右边的项目:cksys = "c:/windows/system/ could be anything .exe"
关闭保存Regedit,重新启动Windows
查找到eclipse2000.exe木马文件,并删除

29. Eclypse v1.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Rnaapp ="C:/WINDOWS/SYSTEM/rmaapp.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/SYSTEM/rmaapp.exe
注意:不要删除Rnaapp.exe
OK
30. Executer v1
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
在右边的项目查找到"C:/windows/sexec.exe",并删除。
关闭保存Regedit,重新启动Windows
相应删除木马程序文件。
OK
31. FakeFTP beta
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Rundll32 = rundll3.tww /h
关闭保存Regedit,重新启动Windows
找到C:/windows/文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
OK
32. Forced Entry
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:MicrosoftRegistration32 = "C:/somepath /trojanhrs.exe"
关闭保存Regedit,重新启动Windows
由于路径容易改变,只要查找到trojanhrs.exe,并删除它。
33. GateCrasher v1.0 - 1.2
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Explore=‘c:/windows/explore.exe‘
关闭保存Regedit,重新启动Windows
然后,删除相应的木马程序。
OK

清除木马v1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Inet=‘EXPLORE.EXE‘
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK

清除木马v1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Command = ‘c:/windows/system.exe‘

关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
34. Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Windll.exe ="C:/windows/windll.exe"
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/General
删除General项目标题
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
35. Golden Retreiver v1.1b
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Task Manager="c:/mstask.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
36. Hack`a`Tack 1.0 - 2000
清除木马v1.0-1.2:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Explorer32 ="C:/windows/Expl32.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK

清除木马v2000:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Configuration Wizard = c:/windows/cfgwiz32.exe
关闭保存Regedit,重新启动Windows
删除c:/windows/cfgwiz32.exe
OK
37. Hack99 KeyLogger
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:HKeyLog = "C:/Windows/System/HKeyLog.exe"
关闭保存Regedit,重新启动Windows
删除C:/Windows/System/HKeyLog.exe
OK
38. HostControl v1.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:RegClean = "c:/windows/inf/regcle32.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/inf/regcle32.exe
OK
39. Hvl Rat v5.30
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Explorer = "C:/WINDOWS/system/MSGSVR16.EXE"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/system/MSGSVR16.EXE
OK
40. ik97 v1.2
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:ik = ‘c:/progra~1/ik/ik.exe‘
关闭保存Regedit,重新启动Windows
删除C:/Program Files/ik/ik.exe
OK
41. InCommand v1.0 - 1.5
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
找到右边的项目:AdvancedSettings = *
注意:*表示就是木马的存放路径与文件名,记下后删除此键。
关闭保存Regedit,重新启动Windows
按照刚才记下的木马路径与文件名删除木马程序。
42. IndocTrination v0.1 - v0.11
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce/
每项标题都包括Msgsrv16 ="Msgsrv16"项目
删除每个项目
关闭保存Regedit,重新启动Windows
删除C:/windows/system/msgserv16.exe
OK
43. inet v2.0 - 2.0n
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Explorer = "C:/WINDOWS/system/inet.exe"
关闭保存Regedit,重新启动Windows
删除"C:/WINDOWS/system/inet.exe"
删除"C:/WINDOWS/system/inet.dll"
OK
44. Infector v1.0 - 1.42
清除木马的步骤:

打开system.ini文件
找到shell=explorer.exe c:/path/to/trojan.exe项目
改为:shell=explorer.exe
保存关闭system.ini文件,重新启动Windows
删除c:/path/to/trojan.exe
OK
45. iniKiller v1.2 - 3.2 Pro
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Explore="C:/windows/bad.exe "
关闭保存Regedit,重新启动Windows
删除C:/windows/bad.exe
OK
46. Intruder
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:PPModule1 = ‘ppmod1.sys‘
关闭保存Regedit,重新启动Windows
删除C:/windows/system/ ppmod1.sys
删除C:/windows/system/ ppmod2.sys
OK
47. IRC3
清除木马的步骤:

打开win.ini文件
找到load=closew项目,更改为:load=
保存关闭win.ini,重新启动Windows
查找这两个文件‘rundlls.exe‘ 、‘closew.bat‘
并删除它们。
OK
48. Kaos v1.1 - 1.3
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Sys="c:/windows/shell32.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/shell32.exe
OK
49. Khe Sanh v2.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:TBoot0001="c:/windows/system/trjp.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/system/trjp.exe
OK
50. Kuang logger
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:K2logas.task ="C:/WINDOWS/SYSTEM/K2logas.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/SYSTEM/K2logas.exe
OK
51. Kuang Original - 0.34
清除木马v Original版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Temp$1.task = "c:/windows/system/temp$1.exe"
清除木马v 0.20-0.21版本:
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:K2PS.task = "c:/windows/system/k2ps.exe"
清除木马v 0.30-0.34版本:
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:K2PS_full.task = "c:/windows/system/k2ps_full.exe"

关闭保存Regedit,重新启动Windows
查找相对应的木马程序,并删除。
OK
52. Logger
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:??? = "C:/windows/system/logged.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/SYSTEM/ logged.exe
OK
53. Magic Horse
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SpoolerService="c:/windows/spoolsrv.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/spoolsrv.exe
OK
54. Malicious
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/Policies/
删除右边的五个项目:DisableRegistryTools NoRun NoFind NoDesktop NoClose
关闭保存Regedit,重新启动Windows
OK
55. Masters Paradise
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SYSEDIT = c:/windows/ sysedit.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的项目:Explorer = c:/....../agent.exe
关闭保存Regedit,重新启动Windows
查找到木马程序,并删除它们。
注意:c:/windows/system/下面的sysedit.exe文件是不是19KB,如果不是说明以被木马感染,删除它。
OK
56. Matrix v1.0 - 2.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:??? ="C:/WINDOWS/Wincfg.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/Wincfg.exe
OK

57. MBK
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
查找并删除右边的项目:Explorer =" "后面是"mbt.exe"
关闭保存Regedit,重新启动Windows
查找mbt.exe并删除
OK
58. Millenium v1.0 - 2.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Millenium = "C:/windows/system/reg66.exe "
关闭保存Regedit,重新启动Windows
删除C:/windows/system/reg66.exe
OK
59. Mine
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目: Windows = ‘c:/msdos98.exe‘
关闭保存Regedit,重新启动Windows
删除c:/msdos98.exe
打开win.ini文件
查找到run=c:/windows/uninstallms.exe
更改为:run=
关闭保存win.ini,重新启动Windows
del c:/msdos98.exe
del c:/windows/uninst~1.exe
del c:/windows/system/mine.exe
OK
60. MoSucker
清除木马的步骤:

打开system.ini文件
查找到shell=Explorer.exe unin0686.exe
更改为:shell= Explorer.exe
关闭保存system.ini,重新启动Windows
删除C:/windows/unin0686.exe
OK
61. Naebi v2.12 - 2.40
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/ICQ
v2.12删除右边的项目:path= "C:/windows/msramgr.exe "
v2.15删除右边的项目:path= "C:/windows/ msdll32.exe "
v2.19删除右边的项目:path= "C:/windows/ naebi219.exe "
v2.xx删除右边的项目:path= "C:/windows/ naebi219.exe "文件名可能还是naebi.exe , ns220.exe, ns227, ns231, ns234
关闭保存Regedit
v2.34和上面相同,但它在win.ini增加了启动
打开win.ini文件
把run=后面的路径删除
关闭保存win.ini,重新启动Windows
查找相应的木马程序,并删除
OK
62. NetController v1.08
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:System = ‘c:/windows/system.exe‘
关闭保存Regedit,重新启动Windows
删除c:/windows/system.exe
OK
63. NetRaider v0.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Rsrcnrs = ‘C:/windows/rsrcnrs.exe‘
关闭保存Regedit,重新启动Windows
删除C:/windows/rsrcnrs.exe
OK
64. NetSphere v1.0 - 1.31337
清除木马v1.0-1.30:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:NSSX ="C:/WINDOWS/system/nssx.exe"
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_USERS/****/Software/Microsoft/Windows/CurrentVersion/Run
删除项目同上。
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/system/nssx.exe
OK
清除木马v1.30-1.31337:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:ExecPowerProfile ="C:/WINDOWS/system/epp32.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/system/epp32.exe
OK
65. NetSpy v1.0 - 2.0
清除木马v1.0:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SysProtect = "c:/windows/system/system.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/system/system.exe
OK
清除木马v2.0:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Netspy = "netspy.exe"
关闭保存Regedit,重新启动Windows
查找到netspy.exe,并删除
OK
66. NetTrojan v1.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:*** = "C:/WINDOWS/System/glide16.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:/windows/fxp.exe
把run=后面的路径删除
关闭保存win.ini,重新启动Windows
查找相应的木马程序,并删除
OK
67. Nirvana / VisualKiller v1.94 - 1.95
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:TheDoor = ‘c:/windows/fonts/ariel.exe‘
关闭保存Regedit,重新启动Windows
删除c:/windows/fonts/ariel.exe
OK
68. Phaze Zero v1.0b + 1.1
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:MsgServ = "msgsvr32.exe"
关闭保存Regedit,重新启动Windows
查找相应的木马程序,并删除
OK
69. Prayer v1.2 - 1.5
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SysFiles = "C:/WINDOWS/System/dlls32.exe"
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SysFiles = "C:/WINDOWS/System/dlls32.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/System/dlls32.exe
OK
70. PRIORITY (Beta)
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Services
/
删除右边的项目:"PServer"= C:/Windows/System/PServer.exe
关闭保存Regedit,重新启动Windows
删除C:/Windows/System/PServer.exe
OK
71. Progenic Password Thief / Keylogger v1.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:pwt ="C:/WINDOWS/SYSTEM/pwt.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/SYSTEM/pwt.exe
OK
72. Progenic v1.0 -3.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Scandisk = "C:/WINDOWS/scandiskvr.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/scandiskvr.exe
OK
73. Prosiak beta - 0.70 b5
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目:Microsoft DLL Loader = "windll32.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/ windll32.exe
OK
74. Retrieve v1.3
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Microsoft Access ="C:/WINDOWS/access.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/access.exe
OK
75. Revenger v1.0 - 1.5
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:AppName ="C:/.../server.exe"
关闭保存Regedit,重新启动Windows
在c:/windows查找相应的木马程序server.exe,并删除
OK

76. Ripper
清除木马的步骤:

打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini,重新启动Windows
在c:/windows查找相应的木马程序sysrunt.exe,并删除
OK
77. Satans Back Door v1.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目:sysprot protection ="C:/windows/sysprot.exe"
关闭保存Regedit,重新启动Windows
删除C:/windows/sysprot.exe
OK
78. Schwindler v1.82
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:User.exe = "C:/WINDOWS/User.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/User.exe
OK
79. Setup Trojan (Sshare) +Mod Small Share
这个共享隐藏C盘的木马
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/LanMan/
选择右边有‘C$‘的项目,并全部删除
关闭保存Regedit,重新启动Windows
OK
80. ShadowPhyre v2.12.38 - 2.X
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:WinZipp = "C:/WINDOWS/SYSTEM/WinZipp.exe /nomsg"
或者WinZip = "C:/WINDOWS/SYSTEM/WinZip.exe /nomsg"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/ WinZipp.exe或者C:/WINDOWS/ WinZip.exe
OK
81. Share All

清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/LanMan/
这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。

82. ShitHeap
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目:recycle-bin = "c:/windows/system/recycle-bin.exe"
或者recycle-bin = "c:/windows/system.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/system/recycle-bin.exe或者c:/windows/system.exe
OK
83. Snid v1 - 2
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:System-tray = ‘c:/windows/temp$01.exe‘
关闭保存Regedit,重新启动Windows
删除c:/windows/temp$01.exe
OK
84. Softwarst
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:NetApp = C:/windows/system/winserv.exe
关闭保存Regedit,重新启动Windows
删除C:/windows/system/winserv.exe
OK
85. Spirit 2000 Beta - v1.2 (fixed)
清除木马v Beta版本:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:internet = "c:/windows/netip.exe "
关闭保存Regedit
打开win.ini文件
查找到run=c:/windows/netip.exe
更改为:run=
关闭保存win.ini,重新启动Windows
删除c:/windows/netip.exe和c:/windows/netip.exe
OK

清除木马v 1.2版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SystemTray = "c:/windows/windown.exe "
关闭保存Regedit,重新启动Windows
删除c:/windows/windown.exe
OK

清除木马v 1.2(fixed)版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Server 1.2.exe = "c:/windows/server 1.2.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/server 1.2.exe
OK
86. Stealth v2.0 - 2.16
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Winprotect System = "C:/WINDOWS/winprotecte.exe
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/winprotecte.exe
OK
87. SubSeven - Introduction
清除木马v1.0 - 1.1:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SystemTrayIcon = "C:/WINDOWS/SysTrayIcon.Exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/SysTrayIcon.Exe
OK

清除木马v1.3 - 1.4 - 1.5:

打开win.ini文件
查找到run=nodll
更改为run=
关闭保存win.ini,重新启动Windows
删除c:/windows/nodll.exe
OK

清除木马v1.6:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SystemTray = "SysTray.Exe"
关闭保存Regedit,重新启动Windows
删除C:/windows/systray.exe
OK

清除木马v1.7:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
查找到右边的项目:C:/windows/kernel16.dl,并删除
关闭保存Regedit,重新启动Windows
删除C:/windows/kernel16.dl
OK

清除木马v1.8:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
查找到右边的项目:c:/windows/system.ini.,并删除
关闭保存Regedit。
打开win.ini文件
查找到run= kernel16.dl
更改为run=
关闭保存win.ini。
打开system.ini文件
查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:/windows/kernel16.dl
OK

清除木马v1.9 - 1.9b:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
删除右边的项目:RegistryScan = "rundll16.exe"
关闭保存Regedit,重新启动Windows
删除C:/windows/rundll16.exe
OK

清除木马v2.0:

打开system.ini文件
查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除c:/windows/rundll16.exe
OK


清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
删除右边的项目:WinLoader = MSREXE.EXE
hkey_classes_root/exefile/shell/open/command
将右边的项目更改为:@="/"%1/" %*"
关闭保存Regedit。
打开win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改为run=
load=
关闭保存win.ini。
打开system.ini文件
查找到shell=explore.exe msrexe.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:/windows/ msrexe.exe
C:/windows/system/systray.dll
OK

清除木马v2.2b1:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
删除右边的项目:加载器 = "c:/windows/system/***"
注:加载器和文件名是随意改变的
关闭保存Regedit。
打开win.ini文件
更改为run=
关闭保存win.ini。
打开system.ini文件
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相对应的木马程序
OK

88. Telecommando 1.54
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SystemApp="ODBC.EXE"
关闭保存Regedit,重新启动Windows
删除C:/windows/system/ ODBC.EXE
OK
89. The Unexplained
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:InetB00st = "C:/WINDOWS/TEMPINETB00ST.EXE"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/TEMPINETB00ST.EXE
OK
90. Thing v1.00 - 1.60
清除木马v1.00-1.12:

点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:(Default) = "C:/some/path/here/thing.exe"
也有一些是在:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/control/SessionManager/Known16DLLs/
删除右边的项目:wsasrv.exe = "wsasrv.exe"
关闭保存Regedit,重新启动Windows
删除C:/some/path/here/thing.exe
OK

清除木马v 1.20版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe ms097.exe
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
OK

清除木马v1.50版本:
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
关闭保存Regedit。
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK

清除木马v1.50版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK
91. Transmission Scount v1.1 - 1.2
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Kernel16" = C:/WINDOWS/Kernel16.exe
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/Kernel16.exe
OK
92. Trinoo
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目: System Services = service.exe
关闭保存Regedit,重新启动Windows
删除C:/windows/system/service.exe
OK
93. Trojan Cow v1.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SysWindow = "C:/WINDOWS/Syswindow.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/Syswindow.exe
OK
94. TryIt
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Rc5Dec = C:/Program Files/Internet Explorer/_.exe -guistart
关闭保存Regedit,重新启动Windows
删除C:/Program Files/Internet Explorer/_.exe
OK
95. Vampire v1.0 - 1.2
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Sockets ="c:/windows/system/Sockets.exe"
关闭保存Regedit,重新启动Windows
删除c:/windows/system/Sockets.exe
OK
96. WarTrojan v1.0 - 2.0
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:Kernel32 = "C:/somepath/server.exe"
关闭保存Regedit,重新启动Windows
删除C:/somepath/server.exe
OK
97. wCrat v1.2b
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:MS Windows System Explorer ="C:/WINDOWS/sysexplor.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/sysexplor.exe
OK
98. WebEx (v1.2, 1.3, and 1.4)
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:RunDl32 = "C:/windows/system/task_bar"
关闭保存Regedit,重新启动Windows
删除C:/windows/system/task_bar.exe和c:/windows/system/msinet.ocx
OK
99. WinCrash v2
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:WinManager = "c:/windows/server.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:/windows/server.exe
更改为:run=
保存关闭win.ini,重新启动Windows
删除c:/windows/server.exe
OK
100. WinCrash
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:MsManager ="SERVER.EXE"
关闭保存Regedit,重新启动Windows
删除C:/windows/system/ SERVER.EXE
OK
101. Xanadu v1.1
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:SETUP = "c:/somepath/setup.exe"
关闭保存Regedit,重新启动Windows
删除c:/somepath/setup.exe
OK
102. Xplorer v1.20
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:PCX = "C:/WINDOWS/system/PCX.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/system/PCX.exe
OK
103. Xtcp v2.0 - 2.1
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目:msgsv32 = "C:/WINDOWS/system/winmsg32.exe"
关闭保存Regedit,重新启动Windows
删除C:/WINDOWS/system/winmsg32.exe
OK
104. YAT
清除木马的步骤:

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目:Batterieanzeige = ‘c:/pathnamehere/server.exe /nomsg‘
关闭保存Regedit,重新启动Windows
删除c:/pathnamehere/server.exe
OK

发表于 @ 2006年05月17日 1:02 AM | 评论 (0)

进程列表


Windows XP 常见的进程列表
 
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行)  

smss.exe 系统进程管理
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon
svchost.exe 包含很多系统服务->eventsystem,
(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
(internat.exe 托盘区的拼音图标)

附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)

mstask.exe 允许程序在指定时间运行。(系统服务)->schedule
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe->msftpsvc,w3svc,iisadmn
tlntsvr.exe->tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe ->termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下全是系统服务,并且很少会用到,如果你暂时用不着,应该关掉(对安全有害)

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)->simptcp
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing服务 (系统服务)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

Windows 系统常见进程
系统进程

system process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程,拥有0级优先。
是否为系统进程: 是

alg.exe
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
是否为系统进程: 是

csrss.exe
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统,用以控制Windows图形相关子系统。
是否为系统进程: 是

ddhelp.exe
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
是否为系统进程: 是

dllhost.exe
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
是否为系统进程: 是

inetinfo.exe
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
是否为系统进程: 是

internat.exe
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
是否为系统进程: 是

kernel32.dll
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。
是否为系统进程: 是

lsass.exe
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
是否为系统进程: 是

mdm.exe
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
是否为系统进程: 是

mmtask.tsk
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
是否为系统进程: 是

mprexe.exe
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描述: Windows路由进程包括向适当的网络部分发出网络请求。
是否为系统进程: 是

msgsrv32.exe
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描述: Windows信使服务调用Windows驱动和程序管理在启动。
是否为系统进程: 是

mstask.exe
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
是否为系统进程: 是

regsvc.exe
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。
是否为系统进程: 是

rpcss.exe
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
是否为系统进程: 是

services.exe
进程文件: services or services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。
是否为系统进程: 是

smss.exe
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
是否为系统进程: 是

snmp.exe
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
是否为系统进程: 是

spool32.exe
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描述: Windows打印任务控制程序,用以打印机就绪。
是否为系统进程: 是

spoolsv.exe
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序,用以打印机就绪。
是否为系统进程: 是

stisvc.exe
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
是否为系统进程: 是

svchost.exe
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描述: Service Host Process是一个标准的动态连接库主机处理服务。
是否为系统进程: 是

system
进程文件: system or system
进程名称: Windows System Process
描述: Microsoft Windows系统进程。
是否为系统进程: 是

taskmon.exe
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
是否为系统进程: 是

tcpsvcs.exe
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
是否为系统进程: 是

winlogon.exe
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
是否为系统进程: 是

winmgmt.exe
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求。
是否为系统进程: 是

程序进程

absr.exe
进程文件: absr or absr.exe
进程名称: Backdoor.Autoupder Virus
描述: 这个进程是Backdoor.Autoupder后门病毒程序创建的。
是否为系统进程: 否

acrobat.exe
进程文件: acrobat or acrobat.exe
进程名称: Adobe Acrobat
描述: Acrobat Writer用于创建PDF文档。
是否为系统进程: 否

acrord32.exe
进程文件: acrord32 or acrord32.exe
进程名称: Acrobat Reader
描述: Acrobat Reader是一个用于阅读PDF文档的软件。
是否为系统进程: 否

agentsvr.exe
进程文件: agentsvr or agentsvr.exe
进程名称: OLE automation server
描述: OLE Automation Server是Microsoft Agent的一部分。
是否为系统进程: 否

aim.exe
进程文件: aim or aim.exe
进程名称: AOL Instant Messenger
描述: AOL Instant Messenger是一个在线聊天和即时通讯IM软件客户端。
是否为系统进程: 否

airsvcu.exe
进程文件: airsvcu or airsvcu.exe
进程名称: Microsoft Media Manager
描述: OLE 这是一个用于在硬盘上建立索引文件和文件夹,在Microsoft Media Manager媒体管理启动时运行的进程。它可以在控制面板被禁用。
是否为系统进程: 否

alogserv.exe
进程文件: alogserv or alogserv.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否

avconsol.exe
进程文件: avconsol or avconsol.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否

avsynmgr.exe
进程文件: avsynmgr or avsynmgr.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否

backWeb.exe
进程文件: backWeb or backWeb.exe
进程名称: Backweb Adware
描述: Backweb是一个Adware(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)来自Backweb Technologies。
是否为系统进程: 否

bcb.exe
进程文件: bcb or bcb.exe
进程名称: Borland C++ Builder
描述: Borland C++ Builder
是否为系统进程: 否

calc.exe
进程文件: calc or calc.exe
进程名称: Calculator
描述: Microsoft Windows计算器程序
是否为系统进程: 否

ccapp.exe
进程文件: ccapp or ccapp.exe
进程名称: Symantec Common Client
描述: Symantec公用应用客户端包含在Norton AntiVirus 2003和Norton Personal Firewall 2003。
是否为系统进程: 否

cdplayer.exe
进程文件: cdplayer or cdplayer.exe
进程名称: CD Player
描述: Microsoft Windows包含的CD播放器
是否为系统进程: 否

charmap.exe
进程文件: charmap or charmap.exe
进程名称: Windows Character Map
描述: Windows字符映射表用来帮助你寻找不常见的字符。
是否为系统进程: 否

idaemon.exe
进程文件: cidaemon or cidaemon.exe
进程名称: Microsoft Indexing Service
描述: 在后台运行的Windows索引服务,用于帮助你搜索文件在下次变得更快。
是否为系统进程:

cisvc.exe
进程文件: cisvc or cisvc.exe
进程名称: Microsoft Index Service Helper
描述: Microsoft Index Service Helper监视Microsoft Indexing Service (cidaemon.exe) 的内存占用情况,如果cidaemon.exe内存使用超过了40M,则自动重新启动该进程。
是否为系统进程: 否

cmd.exe
进程文件: cmd or cmd.exe
进程名称: Windows Command Prompt
描述: Windows控制台程序。不像旧的command.com,cmd.exe是一个32位的命令行使用在WinNT/2000/XP。
是否为系统进程: 否

cmesys.exe
进程文件: cmesys or cmesys.exe
进程名称: Gator GAIN Adware
描述: Gator GAIN是一个Adware插件(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)。
是否为系统进程: 否

ctfmon.exe
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
是否为系统进程: 否

ctsvccda.exe
进程文件: ctsvccda or ctsvccda.exe
进程名称: Create CD-ROM Services
描述: 在Win9X创建CD-ROM访问服务。
是否为系统进程: 否

cutftp.exe
进程文件: cutftp or cutftp.exe
进程名称: CuteFTP
描述: CuteFTP是一个流行的FTP客户端用于从FTP服务器上传/下载文件。
是否为系统进程: 否

defwatch.exe
进程文件: defwatch or defwatch.exe
进程名称: Norton AntiVirus
描述: Norton Anti-Virus扫描你的文件和email以检查病毒。
是否为系统进程: 否

devldr32.exe
进程文件: devldr32 or devldr32.exe
进程名称: Create Device Loader
描述: Creative Device Loader属于Create Soundblaster驱动。
是否为系统进程: 否

directcd.exe
进程文件: directcd or directcd.exe
进程名称: Adaptec DirectCD
描述: Adaptec DirectCD是一个用文件管理器式的界面,烧录文件到光盘的软件。
是否为系统进程: 否

dreamweaver.exe
进程文件: dreamweaver or dreamweaver.exe
进程名称: Macromedia DreamWeaver
描述: Macromedia DreamWeaver是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程: 否

em_exec.exe
进程文件: em_exec or em_exec.exe
进程名称: Logitech Mouse Settings
描述: 这是Logitech MouseWare状态栏图标的进程,用于用户访问控制鼠标属性和察看MouseWare帮助。
是否为系统进程: 否

excel.exe
进程文件: excel or excel.exe
进程名称: Microsoft Excel
描述: Microsoft Excel是一个电子表格程序包括在Microsoft Office中。
是否为系统进程: 否

findfast.exe
进程文件: findfast or findfast.exe
进程名称: Microsoft Office Indexing
描述: Microsoft Office索引程序,用于提高Microsoft Office索引Office文档的速度。
是否为系统进程: 否

frontpage.exe
进程文件: frontpage or frontpage.exe
进程名称: Microsoft FrontPage
描述: Microsoft FrontPage是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程: 否

gmt.exe
进程文件: gmt or gmt.exe
进程名称: Gator Spyware Component
描述: Gator Spyware是一个广告插件,随Gator安装和启动。
是否为系统进程: 否


发表于 @ 2006年05月17日 1:00 AM | 评论 (0)

在Windows XP中正确配置CPU二级缓存

Windows XP系统中,默认状态下CPU二级缓存并未打开。为了提高系统性能,我们可以通过修改注册表,或使用“Windows优化大师”等软件来开启它。

  运行注册表编辑器,展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management分支,双击右侧窗口中的“SecondLevelDataCace”,然后在弹出的窗口中直接填入当前计算机所使用的CPU的二级缓存容量即可。


  赛扬处理器的二级缓存为128KB,应将其值设置为80(16进制,下同)。PⅡ、PⅢ、P4均为512KB二级缓存,应设置为200;PⅢE(EB)、P4 Willamette只有256KB二级缓存,应设置为100;AMD Duron只有64KB二级缓存,应设置为40;K6-3拥有256KB二级缓存;Athlon拥有512KB二级缓存;Athlon XP拥有256KB二级缓存;Athlon XP(Barton核心)拥有512KB二级缓存。

  使用Windows优化大师也可以正确设置CPU的二级缓存:启动Windows优化大师,选择“系统性能优化”,在“文件系统优化”中,最上面就是关于CPU二级缓存的设置项。拖动滑块到相应的位置后,保存设置并重新启动计算机即可。

发表于 @ 2006年05月17日 12:58 AM | 评论 (0)

运行→输入的命令集锦


gpedit.msc-----组策略               sndrec32-------录音机
Nslookup-------IP地址侦测器             explorer-------打开资源管理器
logoff---------注销命令               tsshutdn-------60秒倒计时关机命令
lusrmgr.msc----本机用户和组             services.msc---本地服务设置
oobe/msoobe /a----检查XP是否激活           notepad--------打开记事本
cleanmgr-------垃圾整理               net start messenger----开始信使服务
compmgmt.msc---计算机管理             net stop messenger-----停止信使服务
conf-----------启动netmeeting           dvdplay--------DVD播放器
charmap--------启动字符映射表           diskmgmt.msc---磁盘管理实用程序
calc-----------启动计算器             dfrg.msc-------磁盘碎片整理程序
chkdsk.exe-----Chkdsk磁盘检查           devmgmt.msc--- 设备管理器
regsvr32 /u *.dll----停止dll文件运行         drwtsn32------ 系统医生
rononce -p ----15秒关机               dxdiag---------检查DirectX信息
regedt32-------注册表编辑器             Msconfig.exe---系统配置实用程序
rsop.msc-------组策略结果集             mem.exe--------显示内存使用情况
regedit.exe----注册表               winchat--------XP自带局域网聊天
progman--------程序管理器             winmsd---------系统信息
perfmon.msc----计算机性能监测程序           winver---------检查Windows版本
sfc /scannow-----扫描错误并复原
taskmgr-----任务管理器(2000/xp/2003)

定制你的运行输入框

  在Windows里面,Microsoft提供了一个新的快捷启动程序的方法:运行
  打开[开始]------[运行],里面可以直接启动一些特定的程序,如:输入notepad.exe启动记事本,输入xdict.exe启动金山词霸等等。

  启动的原理是什么呢?很简单,在注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths下面,可以看到很多次级主键,每一个次级主键就对应着一个能够在运行里面输入的内容。

  以ACDSee.exe主键为例:右边有2个字符串,默认对应的是这个程序的绝对路径,而Path对应的是这个程序所处的目录。

  定制的方法很简单:在App Paths下新建一个不同名的次级主键(例如:Smallfrogs.EXE),然后修改右边的默认为你要启动的程序的路径(例如:C:/Program Files/My APP/Smallfrogs.EXE),然后新建一个字符串Path,修改为那个程序所处的目录(例如::C:/Program Files/My APP/)。

  然后就可以在运行里面输入:Smallfrogs.EXE来启动C:/Program Files/My APP/Smallfrogs.EXE这个程序了。文字

  注意!系统是靠次级主键的名字来辨认程序的,即使你不使用Smallfrogs.EXE建立次级主键,而使用SSSSS.EXE建立次级主键,如果莫任何Path的内容和上例一样的话,输入SSSSS.EXE启动的程序仍然是C:/Program Files/My APP/Smallfrogs.EXE这个程序。

发表于 @ 2006年05月17日 12:57 AM | 评论 (0)

隐藏在Windows XP中的28个秘密武器

  Windows XP现在大家都在用了,不过,隐藏在它其中的秘密武器可不是人人都找得到,下面就让我带大家来寻找Win XP中的28个秘密武器。

    1、免费的系统教程(system32文件夹下)

    安装完windows xp后很想马上学习并体验一下它的魅力吗?我们无需再东奔西走去找烦人的文字教材。只要选择“开始”→“ 漫游windows xp”,就会出现界面,它将引导我们游历windows xp的新功能。

    小提示:windows xp中自带的教程非常形象,是图形界面的,而且制作得相当精美,微软的权威性可想而知。如果你的“开始”菜单上没有“漫游windows xp”项目,则可以运行c:\windows\system32\tourstart.exe进入。

    2、辅助功能向导——Accwiz(system32文件夹下)

    我们知道,微软在windows中为残疾人士提供了辅助功能,使他们也能xx作计算机。该程序可以根据用户的视觉、听力和行动来配置我们的windows,使残疾人士能根据自身情况更好地使用windows。

    3、字符映射表——Charmap(system32文件夹)

    是不是觉得word的“插入符号”功能非常方便?我们在其他windows程序中也常常要插入一些特殊符号,而一个个地找又麻烦,这时可使用“字符映射表”程序帮忙。通过“字符映射表”可查看选定字体中有哪些字符,选中后单击“选定”和“复制”按钮,即可把选定字符复制到windows剪贴板中,供字处理软件粘贴使用。

    小提示:用它来复制特殊字体中的特殊符号特别有用。

    4、仓颉拼音输入法——Cintsetp(system32\ime\cintlgnt文件夹下)

    微软新仓颉输入法98b的安装程序,微软把它放在简体中文版windows xp中,但埋藏得较深。不过它很有用,安装后就会在windows中新增一个“中文(台湾)”的仓颉输入法,利用它可以在简体中文windows xp上通过输入繁体汉字。这对于从中国港澳台地区至内地工作的人提供了方便。

    5、磁盘清理大师——Cleanmgr(system32文件夹下)

    尽管现在的硬盘越来越大,但它总有容量的限制。在你不经意地安装这个或那个软件的过程中,可能会因为硬盘空间已频频告急而影响了正常windows程序的执行。不要急,请打开此程序,它会自动地释放出一部分硬盘空间,并会智能化地进行删除xx作,保证你的系统万无一失。这比从资源管理器中删除要安全多了。

    6、剪贴板查看器——Clipbrd(system32文件夹下)

    windows剪贴板为我们在各个windows程序间的信息交流提供了一个桥梁。但这部分数据一般情况下无法看到。不过,使用剪贴板查看器就可看到当前剪贴板中的“新大陆”。windows xp中的剪贴板查看器程序较原先windows 9x/me的旧版本多出了共享功能,通过设置权限允许其他网上用户将该剪贴板装入使用。

    7、控制面板启动器——Control.exe(system32文件夹下)

    控制面板是windows的一个重要组成部分,许多设置都通过他完成。而双击这个文件就是最快打开系统控制面板的方法,可省去从“开始”菜单上层层点击的麻烦。

    8、Windows xp的诊断医生——Drwtsn32(system32文件夹下)

    drwtsn32是一个程序错误调试器。drwatson程序会获得并记录运行windows的计算机上的程序错误的信息。只要检测到错误,就会创建一个文本文件 (drwtsn32.log),提供错误原因的详细说明,并给出解决问题的建议性xx作,在与microsoft技术支持联系并请求帮助时,drwatson将会起到很大作用。

    9、DVD播放器——Dvdplay(system32文件夹下)

    随着dvd驱动器和dvd光盘价格的下降,在普通家庭电脑上配置一个dvd播放器已不是一件奢侈的事情。而要播放dvd需要播放器的支持,windows xp提供了一个“免费”的dvd播放器,有了它我们可以省去一笔购买第三方dvd播放软件的费用。

    10、自解压文件制作工具——Iexpress(system32文件夹下)

    用过压缩软件的读者一定对自解压文件不陌生,自解压文件可在没有相应解压缩程序的情况下直接将压缩包文件解压缩到相应的文件夹下,极大地方便了用户。利用iexpress可制作两种自解压文件,一种是标准自解压文件(standard self-extractor),另一种是安装程序式自解压文件(self-extractor for software installation),这样我们在发布程序时就方便多了。另外大家要注意,尽管使用iexpress的运行界面是英文的,但利用它生成的自解压文件却是中文的,省去了繁琐的本地化工作。

    11、文件转移向导——Migwiz(system32\usmt文件夹下)

    windows系统的易用性总是和不稳定性共存的,因此在系统健康之时把当前设置保存下来,供系统崩溃后重新安装时使用是个不错的主意。微软已把这个工具集成到“文件和设置转移向导”程序上。通过它,我们就可以实现系统状态的备份与恢复。

    12、系统配置程序——Msconfig(windows\pchealth\helpctr\binaries文件夹下)

    和windows中的系统配置程序一样,通过这个程序,我们可对系统的一般、system.ini、win.ini、boot.ini、服务和启动项目进行修改。

    小提示:用它来去除系统自启动程序特别有效。

    13、备份工具——Ntbackup(system32文件夹下)

    数据是计算机中最为宝贵的资料,因此经常备份你的资料也应该成为一个好习惯。现在许多人都寻求第三方的备份工具,其实大可不必。使用windows xp中内置的备份工具就可以非常方便地将资料进行备份,而且由于你使用的是微软产品,所以根本不存在兼容性问题。

    14、ODBC数据源管理器——Odbcad32(system32文件夹下)

    在windows中访问odbc数据源必须要有其驱动程序,该工具可以查看在windows中已安装的驱动程序及相关信息。

    15、IP地址侦测器——Nslookup(system32文件夹下)

    在联入互联网的每台电脑都有一个ip地址,同样,每个网站也有它的ip地址,而且是唯一的。通过这个ip侦测工具ping就可以轻而易举地得到它们的真正ip地址。如笔者要想知http://www.xxx.com的ip地址,...s窗口下输入pinghttp://www.xxx.com即可看到。

    16、屏幕键盘——Osk(system32文件夹下)

    屏幕键盘是一种实用工具,它在屏幕上显示虚拟键盘,允许那些有移动障碍的用户用指针设备或游戏杆输入数据。屏幕键盘旨在为存在移动障碍的用户提供最低级别的功能。这对于不知道如何键入的用户也很有用。它还可以用于最基本的cai键盘教学。

    17、对象包装程序——Packager(system32文件夹下)

    通过对象包装程序我们可以打开一个文件,并引入其中的图标,将它们插入到一般windows程序中使用,可用于制作计算机类教学课件或文档。

    18、注册表编辑器增强版——Regedit32(system32文件夹下)

    注册表编辑器是用来更改系统注册表设置的高级工具。注册表中包含了有关计算机如何运行的信息。在windows xp中有一个名为regedit的程序,可编辑注册表,但此程序却是它的增强版本,除可编辑注册表外,还可设置权限、清除重复项、删除已被卸载或删除的程序项等高级xx作。

    19、Activex注册和反注册工具——Regsvr32

    使用过activex的人都知道,activex不注册是不能够被系统识别和使用的,一般安装程序都会自动地把它所使用的activex控件注册,但如果你拿到的一个控件需要手动注册怎么办呢?如果修改注册表那就太麻烦了,在windows的system文件夹下有一个regsvr32.exe的程序,它就是windows自带的activex注册和反注册工具。它的用法为:

    “regsvr32 [/s] [/n] [/i(:cmdline)] dllname”。其中dllname为activex控件文件名,建议在安装前拷贝到system文件夹下。

    参数有如下意义:

    /u——反注册控件
    /s——不管注册成功与否,均不显示提示框
    /c——控制台输出
    /i——跳过控件的选项进行安装(与注册不同)
    /n——不注册控件,此选项必须与/i选项一起使用

    如笔者要注册一amovie.ocx控件,则打入regsvr32 amovie.ocx即可,要反注册它时只需使用regsvr32 /u amovie.ocx就行了。

    20、动态链接库函数启动器——Rundll32

    在windows中使用了许多动态链接库,这样就使得所有windows程序都可共享这些动态链接库中的函数。一般情况下,许多应用程序都通过windows api来xx作这些函数,但归根结底是通过windows文件夹下的rundll32.exe程序来启动相应的函数。它的用法是:“rundll32.exe 动态链接库名,函数名,参数名”。如笔者需要实现一键关机,则在桌面上建立一快捷方式,命令行为“rundll32.exe user.exe,exitwindows”,并设置其快捷键为f4即可。再如,笔者要打开控制面板,则只需要输入命令“rundll32.exe shell32.dll,control_rundll”即可,要打开桌面属性,只需要使用“rundll32.exe shell32.dll,control_rundll desk.cpl”,其余的以此类推。

    21、系统文件检查器——Sfc(system32文件夹下)

    使用windows难免不会出现系统文件损坏或丢失的毛病,而如果为了几个小小的文件就去重装系统,又显得稍微麻烦了一些。通过系统文件检查器sfc.exe,一切都会变得非常简单。

    22、共享文件夹设置工具——Shrpubw(system32文件夹下)

    同一工作组的同事在一起工作,有时必须与同事们共享文件夹,这时我们可以利用此工具轻松搞定。它的作用与右击一文件夹,选择“共享”基本上等价。

    23、Microsoft 签字验证工具——Sigverif(system32文件夹下)

    所谓“签署的文件”,就是被授予microsoft数字签署的文件。该签署表明,该文件是原始文件的一模一样的副本。通过microsoft签字验证工具,我们可在计算机上查找已签署和未签署的文件,也可查看签署文件的身份验证,以确认该文件还没有被篡改。使用起来非常方便,和查找窗口几乎没有什么不同,只要给出搜索范围,就可搜索出指定范围内的已签署文件和未签署文件。

    24、音量控制程序——Sndvol32

    我们在windows任务栏上可见到一个可爱的小喇叭,当我们双击它时就会弹出音量控制面板,其实这时我们就是启动了一个windows文件夹下的sndvol32.exe文件。不信,请你进入windows文件夹,再打开sndvol32.exe文件看看,熟悉的“音量控制”面板是否已经在你眼前了?另外还要告诉大家,它还有一个隐藏的参数“/r”,利用此参数可快速地打开录音控制面板,这样我们只要在桌面上建立一指向c:\windows\sndvol32.exe的快捷方式,并令它的参数为/r(即在目标中填入“c:\windows\sndvol32.exe /r”),就可以快速打开录音控制面板选择输入设备了。如果设备过多,在面板上容纳不下时,试着按“ctrl+s”键,不管有多少设备都能够完全显示。

    25、任务管理器——Taskmgr(system32文件夹下)

    任务管理器提供正在你的计算机上运行的程序和进程的相关信息,使用任务管理器可快速查看正在运行的程序的状态,或终止已停止响应的程序。也可使用多达15个的参数评估正在运行的进程的活动,以及查看cpu和内存使用情况的图形和数据。当计算机发生锁死时使用它最方便和有效。

    26、远程连接程序——Telnet(system32文件夹下)

    在internet上有无数的计算机,而要访问它们都必须通过建立远程连接才行,进行两个计算机的远程连接可用专门软件实现,但通过windows自带的远程连接程序telnet.exe也能完成这一xx作,而且它还是纯中文界面软件。

    27、远程FTP工具——Tftp(system32文件夹下)

    ftp是一个网络传输的协议,通过这个程序可非常方便地连接到对方的服务器上进行文件的存取xx作,省得再找如第三方的ftp软件了,可惜的是它是字符界面。

    28、Windows升级程序——Wupdmgr(system32文件夹下)

    安装完windows后,在开始菜单的上方会有windows update菜单项,通过它能自动登录到microsoft公司的网站上完成自己windows的升级工作。但时间一长,可能会把这个快捷方式误删除了,这时我们就可以通过打开windows下的wupdmgr.exe文件来完成这个功能。

    Windows xp实为一个功能强大的操作系统,但只有充分地发挥其内置功能,才能更好地使用它。这也符合“基础的未必是最坏的,回到基础还是好的”的道理。

发表于 @ 2006年05月17日 12:55 AM | 评论 (0)

提升Windows XP运行速度的九则技巧

在使用Windows XP的过程中,你是否感觉到操作系统在速度上随着时间的推移是越来越慢了?如何你又不想从装系统,那么如何让Windows XP的速度大幅提升呢?下面笔者就介绍几种提高系统运行速度的方法:

  1、自动关闭停止响应程序


  有些时候,XP会提示你某某程序停止响应,很烦,通过修改注册表我们可以让其自行关闭,在HKEY_CURRENT_USER\Control Panel\Desktop中将字符健值是AutoEndTasks的数值数据更改为1,重新注销或启动即可。

  2、清除内存中不被使用的DLL文件

  在注册表的HKKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion,在Explorer增加一个项AlwaysUnloadDLL,默认值设为1。注:如由默认值设定为0则代表停用此功能。

  3、优化网上邻居

  Windows XP网上邻居在使用时系统会搜索自己的共享目录和可作为网络共享的打印机以及计划任务中和网络相关的计划任务,然后才显示出来,这样速度显然会慢的很多。这些功能对我们没多大用的话,可以将其删除。在注册表编辑器中找到HKEY_LOCAL_MACHINE\sofeware\Microsoft\Windows\Current Version\Explore\RemoteComputer\NameSpace,删除其下的{2227A280-3AEA-1069-A2DE08002B30309D}(打印机)和{D6277990-4C6A-11CF8D87- 00AA0060F5BF}(计划任务),重新启动电脑,再次访问网上邻居,你会发现快了很多。

  4、加快启动速度

  要加快Windows XP的启动速度。可以通过修改注册表来达到目的,在注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters,在右边找到EnablePrefetcher主键,把它的默认值3改为1,这样滚动条滚动的时间就会减少;

  5、加快开关机速度

  在Windows XP中关机时,系统会发送消息到运行程序和远程服务器,告诉它们系统要关闭,并等待接到回应后系统才开始关机。加快开机速度,可以先设置自动结束任务,首先找到HKEY_CURRENT_USER\Control Panel\Desktop,把AutoEndTasks的键值设置为1;然后在该分支下有个“HungAppTimeout”,把它的值改为“4000(或更少),默认为50000;最后再找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\,同样把WaitToKillServiceTimeout设置为“4000”;通过这样设置关机速度明显快了不少。

  6、加快菜单显示速度

  为了加快菜单的显示速度,我们可以按照以下方法进行设置:我们可以在HKEY_CURRENT_USER\Control Panel\Desktop下找到“MenuShowDelay”主键,把它的值改为“0”就可以达到加快菜单显示速度的效果。

  7、提高宽带速度

  专业版的Windows XP默认保留了20%的带宽,其实这对于我们个人用户来说是没有什么作用的。尤其让它闲着还不如充分地利用起来。

  在“开始→运行”中输入gpedit.msc,打开组策略编辑器。找到“计算机配置→管理模板→网络→QoS数据包调度程序”,选择右边的“限制可保留带宽”,选择“属性”打开限制可保留带宽属性对话框,选择“禁用”即可。这样就释放了保留的带宽。

  8、减少启动时加载项目

  许多应用程序在安装时都会自作主张添加至系统启动组,每次启动系统都会自动运行,这不仅延长了启动时间,而且启动完成后系统资源已经被消耗掉!

  启动“系统配置实用程序”,在“启动”项中列出了系统启动时加载的项目及来源,仔细查看你是否需要它自动加载,否则清除项目前的复选框,加载的项目愈少,启动的速度自然愈快。此项需要重新启动方能生效。

  9、加快预读能力改善开机速度

  Windows XP预读设定可提高系统速度,加快开机速度。按照下面的方法进行修改可进一步善用CPU的效率:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement],在PrefetchParameters右边窗口,将EnablePrefetcher的数值数据如下更改,如使用PIII 800MHz CPU以上的建议将数值数据更改为4或5,否则建议保留数值数据为默认值即3。

发表于 @ 2006年05月17日 12:52 AM | 评论 (0)

释放内存的最新方法

电脑在用久以后,大家是不是感觉到速度越来越慢?想释放内存还必须重启计算机,是不是很麻烦?本人介绍一种很好的释放内存的办法,简单好用!大家认为好的话支持一下!
第一步:
在桌面上点击右键建立一个文本文档!
第二步: 在此文本文档中编辑

Mystart=space(50000000)
第三步:保存此文档文件名为“xxx.vbs”!xxx为你自己所命名的文档名,不限!关键是后缀为.vbs
第四步:保存类型为“所有文件”
好了,你所保存的文档此时在桌面上!你用鼠标双击此文本文档,是不是内存可用数变大了?(打开资源管理器可以看到)
本人用的是xp,不知道在其他操作系统能否使用!

发表于 @ 2006年05月17日 12:51 AM | 评论 (0)

让Windows“添加删除程序”更强大

    摘要:众所周知,我们删除程序时一般都要用到控制面板中的“添加/删除程序”,但对于有些软件“添加/删除程序”就无能为力了,如MSN Messenger等这些微软自己开发的程序,你在“添加/删除程序”中是找不到相应的项的(从这点就可以看出微软是多么霸道,气愤中……),其实这些程序项是存在的,只是被隐藏起来罢了,现在我们就来恢复它。  在C:\Windows\Inf下找到Sysoc.inf文件,用记事本程序打开它,该文件显示了当前  已安装程序的部分列表。我们拿MSN Messenger来做个实验,在其中找到这一句“msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7”,其中“msmsgs”是MSN Messenger的条目名,“hide”这个参数就是控制着程序是否在“添加/删除程序&    (全文共743字)——点击 此处阅读全文
运行→输入的命令集锦
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页