一次“炼狱”般的电脑维护

我们局域网中的所有主机都是windows xp系统。最近都感染了类似症状。估计局域网内有几个互相感染的病毒。
首先，坠入地狱:

1.瑞星杀毒软件和瑞星防火墙无法打开运行，双击后没有反应。

2.任务管理器灰显，运行注册表编辑器(regedit.exe)、系统配置实用工具(msconfig.exe)、services.msc)和组策略(gpedit.msc)时没有响应。

3.“我的电脑”里的每一个磁盘都不能双击打开。

4.系统运行越来越慢，最后不得不重启。

二、炼狱之路:

1.安全模式。

首先想到的是进入安全模式，看看瑞星能不能运行。如果它能，先用瑞星干掉它，如果不能，手动干掉它。重新启动计算机，等待进入安全模式。谁知道蓝屏？地狱的一扇门关闭了。似乎病毒删除或修改了安全模式的注册表键值。

2.修复安全模式。

从运行Windows XP的笔记本电脑中导出完整的安全模式注册表选项，并将其存储在u盘中(安全模式注册表项[HKEY _本地_机器\系统\当前控制集\控制\安全引导])。然后在正常模式下进入系统，双击SAFEROOG。REG文件但是没有响应，运行注册表管理器(regedit.exe)也没有响应，所以安全模式不能直接修复。放弃吧！

3.命令提示符。

运行cmd，打开命令提示符(还好能运行！)。尝试键入tasklist。列出了40多个当前正在运行的进程。长个心眼，先用它

“Taskkill/f/im explorer.exe”和“Taskkill/f/im ieplorer.exe”结束了explorer.exe进程和iexplorer.exe进程，因为这两个进程中嵌入了很多病毒和木马。然后使用“taskkill”结束其他可疑进程。感觉系统的反应速度快了很多。我觉得现在应该没有问题了。再次运行“regedit.exe”后，仍然没有响应。当我听到硬盘疯狂旋转，灯疯狂闪烁的时候，系统似乎没有任何反应。重启！

4、赤膊杀毒。

系统重启后，打开“我的电脑”，双击系统c盘。反应这么慢，感觉不正常。右键单击可以看到第一项已更改为“自动”。请记住，默认的第一项应该是“打开”。我心里一阵刺痛。好像打到了“Autorun.inf”。双击驱动器号再次激活病毒。立即运行CMD，进入c盘根目录，用“dir /a”命令检查。果然，系统目录里有两个奇怪的文件“Autorun.inf”和“setup.exe”，用“attrib”命令检查。它们是系统文件、只读文件和隐藏文件。用“attrib -a -s -h autorun.inf”、“attrib-a-s-h setup.exe”再用“del autorun.inf del setup.exe”就很简单了。由于每个磁盘下都有这两个文件，所以我构建了一个批处理文件del.bat，一次就完成了。

@关闭回声

cd \

attrib -a -s -h自动运行

setup.exe属性

德尔autorun.inf

德尔setup.exe

d:

attrib -a -s -h自动运行

setup.exe属性

德尔autorun.inf

德尔setup.exe

e:

attrib -a -s -h自动运行

setup.exe属性

德尔autorun.inf

德尔setup.exe

taskkill/f/im explorer.exe

开始ecplorer.exe

出口

(注:我的系统只有三个区域)然后我熟练的执行“工具-文件夹选项-查看”选择“显示所有文件和文件夹”。我看到的一切都让我背脊发凉，风在吹。没有这一项，上面的“不显示隐藏文件和文件夹”选项就变成了“连动物都有同情心，我没有同情心，所以我不是动物！”崩溃！

5.神仙指点。

运行“regedit.exe”没有响应。是不是被病毒删了？转到C: \ Windows \目录并立即检查。regedit.exe文件就在那里，大小和创建时间都没有问题。那么为什么不运行它呢？是系统变量问题吗？在命令提示行中键入“set”命令，当您看到关于路径的系统变量时没有问题。这是怎么回事？突然，它像仙女的触摸一样闪闪发光。这就是传说中的“形象劫持”吗？是“regedit.exe”被劫持了！我想到了一个命令“reg”在命令提示符下修改注册表。立即运行它，它就能运行。它没有被劫持。键入命令:

D:\ > reg query " HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image File Execution Options "

真的很邪恶。主流杀毒软件的主程序和主要系统工具几乎都被劫持了，指向C:\ Windows \ SystemSetup.exe文件，当然注册表也在其中。好的，首先输入命令:

D: \ > reg浏览“HKEY _本地_机器\软件\微软\ windows nt \当前版本\镜像文件执行选项”image.reg备份，最后键入命令D:\ > reg delete“HKEY _本地_机器\软件\微软\ Windows NT \当前版本\镜像文件执行选项”删除其关键条目。立即运行“regedit.exe”，打开可爱的注册表编辑器，删除以下键值下的可疑自启动项。

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \当前版本\Run

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunOnce

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunServices

HKEY _当前用户\软件\微软\Windows NT \当前版本\ Windows

运行“启动”下的“msconfig.exe”看看有没有漏网之鱼。

6.重见天日。

重启电脑，进入系统，瑞星终于复活了！立即在线升级病毒库。等一下，上网前先输入“netstat -ano”命令，看看有没有可疑的开放端口，否则联网后一切努力都白费了。不，立即升级。SAFEROOG。导入u盘的REG修复了安全模式，成功进入安全模式查杀病毒，发现病毒423个！最后，修复被病毒修改的注册表键值。好吧，冲出地狱之门，重见天日！

总结:这次的电脑维护不是走弯路，里面提供的方法希望能对大家有所帮助。电脑维护人员对电脑要有高度的敏感度，电脑的任何反应都是有原因的。要从一些蛛丝马迹中发现问题，少走弯路。这个电脑维修“注册”是一个转折点。如果病毒劫持了“reg”，我觉得可以用Winpe光盘引导系统，然后用Winpe注册表编辑器加载xp注册表项，修改以上选项。