单位的局域网所有的主机都是
windows xp
系统,最近无一幸免都中招了,症状类似,估计是若干个在局域网内相互感染的病毒。
一、陷入地狱:
1
、瑞星杀毒软件、瑞星防火墙全部不能开机运行,双击后没有任何反应。
2
、任务管理器变灰,运行注册表编辑器
(regedit.exe)
、系统配置实用程序
(msconfig.exe)
、服务
(services.msc)
、组策略
(gpedit.msc)
没有反应。
3
、
“
我的电脑
”
中每个盘无法双击打开。
4
、系统运行越来越慢,最后只有重新启动。
二、炼狱之路:
1
、安全模式。
最初想到的是进入安全模式,看看瑞星能否运行,能的话先用瑞星查杀,不行的话再用手工查杀。重启电脑,等待进入安全模式,谁知道蓝屏,地狱之门关上了一扇。看来病毒删除或修改了安全模式的注册表键值。
2
、修复安全模式。
从一台独立的运行
Windows XP
的笔记本电脑上把完好的安全模式注册表选项导出来,存入
U
盘
(
安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot])
。然后以正常模式进入系统,双击
SAFEROOG.REG
文件没有反应,运行注册表管理器
(regedit.exe)
没有反应,因此不能直接修复安全模式。放弃
!
3
、命令提示符。
运行
cmd
,打开命令提示符
(
幸运,可以运行
!)
。敲入
tasklist
试试,列出了当前运行的进程,竟然有
40
多个。长了个心眼,先用
“taskkill /f /im explorer.exe”
,
“taskkill /f /im ieplorer.exe”,
结束
explorer.exe
进程和
iexplorer.exe
进程,因为有很多病毒和木马都把自身嵌入了这两个进程之中。然后用
“taskkill”
结束了其他的可疑进程。感觉系统响应速度快了很多,想想现在应该没有问题了,再次运行
“regedit.exe”
,仍然没有反应,听见硬盘狂转,灯狂闪,系统似乎没有了响应。重启呗
!
4
、赤膊杀毒。
系统重启之后,打开
“
我的电脑
”
双击系统
c
盘,反应好慢,感觉不正常。右键查看原来第一项变成了
“auto”
,记得默认的第一项应该是
“
打开
”
。心里一个激灵,看来中了
“Autorun.inf”
了,双击盘符病毒又激活了。马上运行
CMD
,进入
C
盘根目录,用
“dir /a”
命令查看果然在系统目录下有两个陌生的文件
“Autorun.inf”
和
“setup.exe”
,用
“attrib”
命令查看,是系统、只读、隐藏文件。这个好办用
“attrib -a -s -h autorun.inf”
,
“attrib -a -s -h setup.exe”,
然后
“del autorun.inf del setup.exe”
。由于每个盘下都有这两个文件,我建了一个批处理文件
del.bat
,一次搞定。
@echo off
cd \
attrib -a -s -h autorun.inf
attrib -a -s -h setup.exe
del
autorun.inf
del
setup.exe
d:
attrib -a -s -h autorun.inf
attrib -a -s -h setup.exe
del
autorun.inf
del
setup.exe
e:
attrib -a -s -h autorun.inf
attrib -a -s -h setup.exe
del
autorun.inf
del
setup.exe
taskkill /f /im explorer.exe
start ecplorer.exe
exit
(
注:我的系统只有三个区
)
然后很熟练地执行
“
工具
-
文件夹选项
-
查看
”
准备选取
“
显示所有文件和文件夹
”
,看到的一切让我后背一直凉到心里,阴风飕飕。没有这一项,其上的
“
不显示隐藏的文件和文件夹
”
选项变成
“
就连禽兽都有恻隐之心,我没有恻隐之心,所有我不是禽兽
!”
崩溃
!
5
、仙人指路。
运行
“regedit.exe”
没有反应,难道是被病毒删除了,马上进入
c:\windows\
目录下查看,
regedit.exe
文件在,大小和创建时间都没有问题,那为什么不运行呢
?
难道是系统变量问题,在命令提示行下键入
“set”
命令,看到关于路径的系统变量没有问题。怎么回事呢
?
突然眼前一亮,犹如仙人点化,这难道就是传说中的
“
映象劫持
”
吗
?
难道
“regedit.exe”
被劫持了
!
想起有个在命令提示符下的修改注册表的命令
“reg”
,马上运行,可以运行,它没有被劫持。敲入命令:
“D:\>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
真是邪恶,几乎所有的主流杀毒软件的主程序,主要的系统工具都被劫持,指向
c:\windows\systemsetup.exe
文件,当然注册表也在其中。好办,先敲入命令:
D:\>reg explort "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" image.reg”
备份
,
最后敲入命令
D:\>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
删除其键值项。马上运行
“regedit.exe”
,打开了可爱的注册表编辑器,清除如下键值下的可疑自启动项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
运行
“msconfig.exe”
在
“
启动
”
项下看看有没有漏网之鱼。
6
、重见天日。
重启电脑,进入系统,瑞星终于复活了
!
马上上网升级病毒库。等一等,在上网之前,敲入
“netstat -ano”
命令看看有没有可疑的开放端口,不然联网后会前功尽弃。没有,马上升级。导入
U
盘中的
SAFEROOG.REG
修复安全模式,顺利进入安全模式杀毒,竟然查出
423
个病毒
!
最后修复病毒修改的注册表相关键值。
ok
,冲出了地狱之门,重见天日
!
总结:这次电脑维护走了不是弯路,但其中提供的方法希望对大家有所帮助。电脑维护者要有高度的对于电脑的敏感度,电脑的任何反应都是有原因的,要从一些蛛丝马迹中找到问题,少走弯路。这次电脑维护
“reg”
是个转折点,如果病毒连
“reg”
也劫持的话,我想可以用
Winpe
光盘引导系统,然后用
Winpe
系统的注册表编辑器加载
xp
的注册表项,修改以上选项。