常用注册表项解释与修复

一、文件关联：
1、 ini文件默认的打开方式。通过篡改该项可以导致打开 ini 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\inifile\shell\open\command\
2、.ini文件关联，指向 ini 文件默认的打开方式。通过篡改该项可以导致打开 ini 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\.ini\
3、cmd文件默认的打开方式。通过篡改该项可以导致打开 bat 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\cmdfile\shell\open\command\
4、.cmd文件关联，指向 cmd 文件默认的打开方式。通过篡改该项可以导致打开 cmd 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\.cmd\
5、bat文件默认的打开方式。通过篡改该项可以导致打开 bat 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\batfile\shell\open\command\
6、.bat文件关联，指向 bat 文件默认的打开方式。通过篡改该项可以导致打开 bat 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\.bat\
7、txt文件默认的打开方式。通过篡改该项可以导致打开 txt 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\ txtfile\shell\open\command\
8、.txt文件关联，指向 txt 文件默认的打开方式。通过篡改该项可以导致打开 txt 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\.txt\
9、com文件默认的打开方式。通过篡改该项可以导致打开 com 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\comfile\shell\open\command\
10、.com文件关联，指向 com 文件默认的打开方式。通过篡改该项可以导致打开 com 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\.com\
11、 exe文件默认的打开方式。通过篡改该项可以导致打开 exe 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\exefile\shell\open\command\
12、.exe文件关联，指向 exe 文件默认的打开方式。通过篡改该项可以导致打开 exe 文件时自动运行恶意程序。

对应注册表项：
      HKEY_CLASSES_ROOT\.exe\
二、系统配置：
1、在定时任务中列出的程序都有可能自动运行，恶意程序可以通过注册为定时任务来实现自动运行。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
2、应用程序劫持项。当该键下某子键名的进程试图加载时，系统会自动创建该子键下 Debugger 键值所指定的进程，并将加载的文件名作为参数传递给 Debugger 键值指定的进程。恶意程序可以利用该键值实现自动运行，或阻止一些正常软件运行。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
3、 IE浏览器启动时会自动加载这些对象。通常，间谍软件、广告软件等流氓软件会将自身注册为浏览器辅助对象，实现自动运行并控制IE。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
4、 Explorer.exe运行时，会自动加载该键下所有的 CLSID 对应的组件。恶意程序可以利用此键达到自动运行的目的。

对应的注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
5、 Explorer.exe运行时，会自动加载该键下所有的 CLSID 对应的组件。恶意程序可以利用此键达到自动运行的目的。

对应的注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
6、Explorer.exe运行时，会自动加载该键下所有的 CLSID 对应的组件。恶意程序可以利用此键达到自动运行的目的。

对应的注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
7、当新的用户登录时，系统会将当前用户的已安装组件同本机的已安装组件进行比较，如果发现当前用户还没有安装某组件，将执行由数据项 StubPath 给出的命令行以完成组件的安装。恶意程序可以利用该注册表键值实现开机自动运行。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components
8、 当新的用户登录时，系统会将当前用户的已安装组件同本机的已安装组件进行比较，如果发现本地计算机还没有安装某组件，将执行由数据项 StubPath 给出的命令行以完成组件的安装。恶意程序可以利用该注册表键值实现开机自动运行。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
9、Windows NT 4.0以上版本操作系统启动时加载的 Native 程序，恶意程序可以利用这个键值实现自动运行，这个进程的启动将早于所有的Windows子系统进程。恶意程序可以利用该注册表键值实现开机自动运行。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ BootExecute
10、一些恶意程序会修改该值，造成任务管理器无法启动。

对应注册表项：
       KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
11、 一些恶意程序会修改该值，造成任务管理器无法启动。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ DisableTaskMgr
12、本地计算机关闭自动播放。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoDriveTypeAutoRun
13、 当前用户关闭自动播放。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
14、禁用本地计算机开始菜单中[运行]项设置。此值为1时，在开始菜单中将不显示[运行] 项。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoRun
15、当前用户开始菜单中[运行]项设置。此值为1时，在开始菜单中将不显示[运行]些正常软件运行。

对应注册表项：
      HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoRun
16、保存驱动加载顺序的列表。一些恶意程序会修改该列表，使其相关的驱动程序更早的被操作系统加载，躲避安全软件的检测。不正确的修改将导致操作系统无法启动。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder\List
17、 记录Windows操作系统“安全模式”的相关信息，恶意程序会删除该项，使用户无法登录安全模式。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
18、该键值描述了系统中可用的安全协议模块，恶意程序可以通过修改该键值影响系统的安全验证策略，使系统的某些安全策略失效。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
19、本地安全验证通知，恶意程序可以通过修改该键值使用户无法对 Windows 的安全策略进行配置。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ Notification Packages
20、恶意程序可能会通过修改这个键值使系统的安全验证失效。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ Authentication Packages
21、恶意程序会利用该键值在CMD运行前启用其它应用程序。

对应注册表项：
     HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
22、通过在该项下增加程序文件名，使 Explorer.exe 无法运行被指定的程序。

对应注册表项：
     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisAllowRun\
三、IE配置：
1、 以当前用户启动IE浏览器，在IE浏览器用户界面上添加一个工具栏按钮，可运行脚本并加载相应的组件。恶意程序可以利用它达到运行代码的目的。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions
2、 本地计算机设置，用于在IE浏览器用户界面上添加一个工具栏按钮，运行脚本并加载相应的组件。恶意程序可以利用它达到运行代码的目的。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
3、以当前用户启动IE浏览器，当IE无法确认用户在地址栏输入的地址（关键字）所使用的协议（如 http:// 等）时，就会根据这个键值指定的组件来解析地址栏输入的地址。恶意程序可以利用这个键值实现自动启动。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
4、 以SYSTEM帐户启动IE浏览器，当IE无法确认用户在地址栏输入的地址（关键字）所使用的协议（如 http:// 等）时，就会根据这个键值指定的组件来解析地址栏输入的地址。恶意程序可以利用这个键值实现自动启动。

对应注册表项：
      HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
5、当前用户IE浏览器的主页。恶意程序会改写此项，使浏览器显示访问恶意或者用户不期望的页面。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
6、本地计算机IE浏览器的主页。恶意程序会改写此项，使浏览器显示访问恶意或者不期望被访问的页面。

对应注册表项：
      HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
7、本地计算机 IE 浏览器默认的本地页面。恶意程序会改写此项，使浏览器显示访问恶意或者不期望被访问的页面。

对应注册表项：
      HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
8、当前用户 IE 浏览器的搜索窗口中默认显示的页面。恶意程序会改写此项，在浏览器显示搜索窗口时自动访问恶意或者用户不期望的页面。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\ Default_Search_URL
9、本地计算机IE浏览器搜索窗口中默认显示的页面。恶意程序会改写此项，在浏览器显示搜索窗口时自动访问该页面。

对应注册表项：
      HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Internet Explorer\Main\ Default_Search_URL
10、当前用户IE浏览器的默认页面。恶意程序会改写此项，使浏览器启动时自动访问恶意或者用户不期望的页面。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\ Default_Page_URL
11、 本地计算机IE浏览器的默认页面。恶意程序会改写此项，使浏览器启动时自动访问该页面。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\ Default_Page_URL
12、 IE浏览器自定义搜索弹出页。恶意程序会改写此项，使浏览器启动时自动访问该页面。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch
13、 IE浏览器自定义搜索弹出页。恶意程序会改写此项，使浏览器启动时自动访问该页面。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch
14、 当前用户IE浏览器搜索窗口中显示的页面。恶意程序会改写此项，在浏览器显示搜索窗口时自动访问该页面。

对应注册表项：
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\Assistant
15、 本地计算机IE浏览器搜索窗口中显示的页面。恶意程序会改写此项，在浏览器显示搜索窗口时自动访问该页面。

对应注册表项：
      HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Internet Explorer\Search\Assistant
16、 当前用户IE浏览器默认的本地页面。恶意程序会改写此项，使浏览器显示访问恶意或者用户不期望的页面。

对应注册表项：
      HKEY_CURRENT_USER \SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
四、windows启动：
1、这个键值下描述了系统中所有的服务以及驱动，恶意程序可以通过修改这些注册表键值破坏正常的系统服务或驱动，同时也可以把自己注册为系统服务来实现自动运行。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
2、系统启动时会自动启动该键值下的指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell
3、系统启动时会自动启动该键值下的指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell
4、 资源管理器启动时会自动启动该键值下的指定的程序，恶意程序可以利用该注册表键值实现自动运行。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
5、资源管理器启动时会自动启动该键值下的指定的程序，恶意程序可以利用该注册表键值实现自动运行。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
6、 系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run
7、系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load
8、系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9、系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   
10、系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
11、 系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
12、 系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
13、系统启动时会自动启动该键值下指定的程序，恶意程序可以利用该注册表键值达到自动运行的目的。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
五、Winlogon：
1、系统启动时，登录程序加载的模块，恶意程序可以利用该项达到其自动运行的目的。

对应的注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify      
2、 Windows进程管理器，Windows登陆时会自动运行该程序。恶意程序可以利用该项达到自动运行的目的。

对应的注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\TaskMan
3、用户登录后启动的浏览器程序，默认为 explorer.exe，恶意程序可以利用该项达到其启动的目的。

对应的注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
4、对于 Windows NT 4.0 及以前的版本，用于登录时自动运行程序。恶意程序可以利用该项达到自动运行的目的。

对应的注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System   
5、用户登录时使用的界面显示程序，恶意程序可以利用该项达到自动运行的目的。

对应的注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
6、用户登录时运行的初始化程序，恶意程序可以利用该项达到自动运行的目的。

对应的注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
六、其它：
1、 Windows NT 4.0及以上版本系统使用 KnownDLL 注册表项来搜索并加载动态库。恶意程序可以通过修改这个键值，使系统加载恶意程序的动态库实现自动运行。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
2、在 AppInit_DLL 中的 .dll 文件都被 Windows 运行，恶意程序可以借助此项绕过系统授权，隐藏或保护自身。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
3、TCP/IP数据库路径，一些 TCP/IP 设置保存在该目录下。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
4、增加 CLSID 到该键下，Explorer.exe运行时，会自动加载该键下所有的 CLSID 对应的组件。恶意程序可以利用此键达到自动运行的目的。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers
5、当打开 URL 时，会根据不同的协议名称(http,ftp,file,about...)加载对应子键下由 CLSID 给出的 COM 组件来处理相应的协议。恶意程序可以替换一些协议的处理器，达到劫持用户数据的目的。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
6、在解析 MIME 类型数据时，会根据不同的 MIME 类型(application/x-complus gzip, text/xml等)加载对应子键下由 CLSID 给出的 COM 组件来处理相应 MIME 数据，恶意程序会修改该项，实现自动运行，劫持用户数据。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
7、基于 Winsock2 的分层服务提供者，可用于基于 Winsock2 的网络数据包过滤。恶意程序通常会增加一个层服务者，进行协议层的数据包拦截。不正确的修改可能导致网络无法正常连接。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
8、Winsock名字空间服务提供者接口的注册目录。不正确的修改可能导致网络无法正常连接。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
9、在 Print Spooler 服务运行后，第一次试图打印时，服务主程序 spoolsv.exe 会自动加载由数据项 Driver 给出的动态库。恶意程序可以利用该项实现自动运行。

对应注册表项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
10、Explorer.exe 运行时，会自动加载该键下所有的 CLSID 对应的组件。恶意程序可以利用此键达到自动运行的目的。

对应注册表项：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

banwencun

已收藏，感谢楼主的辛勤收集，唯有遗憾的是缺少注册表的修复 ，望能补齐，谢谢！

aopus

谢谢，分享

youziw

不错不错。值得研究。

charlieni

很好，就是改了怎么改回来啊。