一次“炼狱”般的电脑维护
我们局域网中的所有主机都是windows xp系统。最近都感染了类似症状。估计局域网内有几个互相感染的病毒。
首先,坠入地狱:
1.瑞星杀毒软件和瑞星防火墙无法打开运行,双击后没有反应。
2.任务管理器灰显,运行注册表编辑器(regedit.exe)、系统配置实用工具(msconfig.exe)、services.msc)和组策略(gpedit.msc)时没有响应。
3.“我的电脑”里的每一个磁盘都不能双击打开。
4.系统运行越来越慢,最后不得不重启。
二、炼狱之路:
1.安全模式。
首先想到的是进入安全模式,看看瑞星能不能运行。如果它能,先用瑞星干掉它,如果不能,手动干掉它。重新启动计算机,等待进入安全模式。谁知道蓝屏?地狱的一扇门关闭了。似乎病毒删除或修改了安全模式的注册表键值。
2.修复安全模式。
从运行Windows XP的笔记本电脑中导出完整的安全模式注册表选项,并将其存储在u盘中(安全模式注册表项[HKEY _本地_机器\系统\当前控制集\控制\安全引导])。然后在正常模式下进入系统,双击SAFEROOG。REG文件但是没有响应,运行注册表管理器(regedit.exe)也没有响应,所以安全模式不能直接修复。放弃吧!
3.命令提示符。
运行cmd,打开命令提示符(还好能运行!)。尝试键入tasklist。列出了40多个当前正在运行的进程。长个心眼,先用它
“Taskkill/f/im explorer.exe”和“Taskkill/f/im ieplorer.exe”结束了explorer.exe进程和iexplorer.exe进程,因为这两个进程中嵌入了很多病毒和木马。然后使用“taskkill”结束其他可疑进程。感觉系统的反应速度快了很多。我觉得现在应该没有问题了。再次运行“regedit.exe”后,仍然没有响应。当我听到硬盘疯狂旋转,灯疯狂闪烁的时候,系统似乎没有任何反应。重启!
4、赤膊杀毒。
系统重启后,打开“我的电脑”,双击系统c盘。反应这么慢,感觉不正常。右键单击可以看到第一项已更改为“自动”。请记住,默认的第一项应该是“打开”。我心里一阵刺痛。好像打到了“Autorun.inf”。双击驱动器号再次激活病毒。立即运行CMD,进入c盘根目录,用“dir /a”命令检查。果然,系统目录里有两个奇怪的文件“Autorun.inf”和“setup.exe”,用“attrib”命令检查。它们是系统文件、只读文件和隐藏文件。用“attrib -a -s -h autorun.inf”、“attrib-a-s-h setup.exe”再用“del autorun.inf del setup.exe”就很简单了。由于每个磁盘下都有这两个文件,所以我构建了一个批处理文件del.bat,一次就完成了。
@关闭回声
cd \
attrib -a -s -h自动运行
setup.exe属性
德尔autorun.inf
德尔setup.exe
d:
attrib -a -s -h自动运行
setup.exe属性
德尔autorun.inf
德尔setup.exe
e:
attrib -a -s -h自动运行
setup.exe属性
德尔autorun.inf
德尔setup.exe
taskkill/f/im explorer.exe
开始ecplorer.exe
出口
(注:我的系统只有三个区域)然后我熟练的执行“工具-文件夹选项-查看”选择“显示所有文件和文件夹”。我看到的一切都让我背脊发凉,风在吹。没有这一项,上面的“不显示隐藏文件和文件夹”选项就变成了“连动物都有同情心,我没有同情心,所以我不是动物!”崩溃!
5.神仙指点。
运行“regedit.exe”没有响应。是不是被病毒删了?转到C: \ Windows \目录并立即检查。regedit.exe文件就在那里,大小和创建时间都没有问题。那么为什么不运行它呢?是系统变量问题吗?在命令提示行中键入“set”命令,当您看到关于路径的系统变量时没有问题。这是怎么回事?突然,它像仙女的触摸一样闪闪发光。这就是传说中的“形象劫持”吗?是“regedit.exe”被劫持了!我想到了一个命令“reg”在命令提示符下修改注册表。立即运行它,它就能运行。它没有被劫持。键入命令:
D:\ > reg query " HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image File Execution Options "
真的很邪恶。主流杀毒软件的主程序和主要系统工具几乎都被劫持了,指向C:\ Windows \ SystemSetup.exe文件,当然注册表也在其中。好的,首先输入命令:
D: \ > reg浏览“HKEY _本地_机器\软件\微软\ windows nt \当前版本\镜像文件执行选项”image.reg备份,最后键入命令D:\ > reg delete“HKEY _本地_机器\软件\微软\ Windows NT \当前版本\镜像文件执行选项”删除其关键条目。立即运行“regedit.exe”,打开可爱的注册表编辑器,删除以下键值下的可疑自启动项。
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \当前版本\Run
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunOnce
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunServices
HKEY _当前用户\软件\微软\Windows NT \当前版本\ Windows
运行“启动”下的“msconfig.exe”看看有没有漏网之鱼。
6.重见天日。
重启电脑,进入系统,瑞星终于复活了!立即在线升级病毒库。等一下,上网前先输入“netstat -ano”命令,看看有没有可疑的开放端口,否则联网后一切努力都白费了。不,立即升级。SAFEROOG。导入u盘的REG修复了安全模式,成功进入安全模式查杀病毒,发现病毒423个!最后,修复被病毒修改的注册表键值。好吧,冲出地狱之门,重见天日!
总结:这次的电脑维护不是走弯路,里面提供的方法希望能对大家有所帮助。电脑维护人员对电脑要有高度的敏感度,电脑的任何反应都是有原因的。要从一些蛛丝马迹中发现问题,少走弯路。这个电脑维修“注册”是一个转折点。如果病毒劫持了“reg”,我觉得可以用Winpe光盘引导系统,然后用Winpe注册表编辑器加载xp注册表项,修改以上选项。
位律师回复
0条评论