为杀毒软件善后打扫杀毒后的战场

51testing · 发表于 2007-12-28 10:00:46

杀毒软件根据其定义的特征码，查杀了系统中的病毒木马就万事大吉功成身退了。却把一个千疮百孔的系统留给了我们，杀毒后遗症成了我们心中永远的痛!杀软不过就是个软件，打扫杀毒后的战场，做好善后工作还得靠我们自己。　　一. 启动相关
　　案例1：开机后桌面每次都弹出“加载xx文件时出错，找不到指定文件”的提示框。(图1)
　　

图1
　　医治：
　　第一方案：启动msconfig，根据启动项位置提示找到对应的键值删除即可。
　　第二方案：按照提示框提示的文件，进入注册表搜索到加载键值删除即可。
　　关键的注册表键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　以上的键值会出现在msconfig的“启动”项中。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　以上的键值比较隐蔽
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　"Shell"="EXPLORER.EXE,*.exe"
　　*为某病毒或者木马的可执行文件，这种方法非常隐蔽，被当前的许多病毒采用
　　案例2：无法打开常见的程序，系统弹出选择打开方式窗口。
　　医治：
　　第一步：重启按f8进入带命令行的安全模式。
　　第二步：进入命令提示符后执行 ftype exefile=”%1”%*命令恢复即可，也可以用sreng工具修复关联。
　　下载地址：[url=http://zbdx4.skycn.com:82/down/sreng2.zip]http://zbdx4.skycn.com:82/down/sreng2.zip[/url](图2)
　　

图2
案例3：双击任何一个盘符都不能打开，只有通过右键点击选择“资源管理器”才能打开，同时右键菜单原来第一项变成“auto” (图3)
　　

图3
　　医治：
　　第一步：建立一个批处理文件kill.bat，代码如下：

@echo off
　　cd \
　　attrib -s -h -a autorun.inf
　　del autorun.inf
　　d:
　　attrib -s -h -a autorun.inf
　　del autorun.inf
　　taskkill /f /im explorer.exe
　　start explorer.exe
　　exit

　　提示：杀毒软件把系统根目录下的病毒文件清除了，但没有删除autorun.inf文件。(假设只有C、D两个分区。)
　　如果还没有完全解决问题，进行第二步操作。
　　第二步：定位注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\，把c、d项下面的有关auto的项全部删除。
　　第三步：在注册表下的root下 dirve下删除shell子项
　　这样就能正常打开所有硬盘分区。
　　案例4：杀毒后无法进入桌面，或者提示桌面加载错误，有时候甚至无法进入系统。
　　原因：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]有2个键值 Userinit原值是"Userinit"="userinit.exe," Shell的原值是"Shell"="EXPLORER.EXE"，如果这两个值被病毒修改，而杀毒软件没有修复的话，就会不能进入系统的桌面。
　　医治：
　　第一步：在系统无法进入桌面时通过组合键“Ctrl+Alt+Del”调出“任务管理器”，然后运行“explorer.exe”，进入桌面。
　　第二步：按照上面的说明恢复注册表键值。(图4)
　　

图4
案例5：杀毒后很多安全程序无法使用。
　　医治：
　　第一步：创建一个批处理文件del.bat，代码为:

@echo off
　　del /f /a /q \\?\%1
　　rd /s /q \\?\%1
　　exit

　　提示：以上的命令是强制删除所有文件和目录。
　　把del.bat文件复制到有病毒的文件目录，然后将类似w32sys.dll的文件或者类似arp这样的文件夹拖到del.bat文件上即可。(图5)
　　

　　如果还不行就执行第二步：
　　第二步：在命令提示符下执行如下命令：

for /f "tokens=*" %%i in ('dir /a /b /s c:\progra~1\w32sys.dll') do rd /s /q %%i

　　提示：假设w32sys.dll是病毒文件，上面的命令的意思是删除c:\progra~1\目录下所有子目录中的w32sys.dll文件。
　　二. 系统相关
　　案例1：系统无法显示隐藏文件
　　医治：
　　第一方案：用winrar(压缩软件)查看并操作。
　　第二方案：恢复注册表相关键值，把如下代码保存为file.reg，双击导入注册表

Windows Registry Editor Version 5.00
　　(提示：中间必须空一行，这一行可不能复制呀!)
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
　　"Text"="@shell32.dll,-30500"
　　"Type"="radio"
　　"CheckedValue"=dword:00000000

　　第三方案：工具修复，可以用sreng。
案例2：安全模式无法进入
　　医治：
　　第一方案：从其它电脑上导出如下注册表项，然后导入到安全模式故障的系统中。
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
　　第二方案：用金山AV专杀或者sreng修复.
　　案例3：系统文件丢失导致系统组件故障。
　　医治：
　　第一方案：运行sfc /scannow，修复系统中丢失或者被破坏的文件。(秘笈：sfc扫描需要替换文件是需要插入光盘，可以通过修改注册表，让系统的自动修复通过硬盘上的windows xp安装文件来进行。先将安装光盘上的“i386”文件夹复制到e:\，接着进入注册表展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]主键。然后将右侧窗格的“CDInstall”键值数据修改为0，再分别将“ServicePackSourcePath”和“SourcePath”两个键值都修改为“e:\i386"，以后就不会提示插入安装光盘了。)(图6)
　　