一次“炼狱”般的电脑维护

文章作者 100test 发表时间 2008:01:28 09:15:50
来源 100Test.Com百考试题网

单位的局域网所有的主机都是windows xp系统，最近无一幸免都中招了，症状类似，估计是若干个在局域网内相互感染的病毒。

　　一、陷入地狱：

　　1、瑞星杀毒软件、瑞星防火墙全部不能开机运行，双击后没有任何反应。

　　2、任务管理器变灰，运行注册表编辑器（regedit.exe）、系统配置实用程序（msconfig.exe）、服务（services.msc）、组策略（gpedit.msc）没有反应。

　　3、“我的电脑”中每个盘无法双击打开。

　　4、系统运行越来越慢，最后只有重新启动。

　　二、炼狱之路：

　　1、安全模式。

　　最初想到的是进入安全模式，看看瑞星能否运行，能的话先用瑞星查杀，不行的话再用手工查杀。重启电脑，等待进入安全模式，谁知道蓝屏，地狱之门关上了一扇。看来病毒删除或修改了安全模式的注册表键值。

　　2、修复安全模式。

　　从一台独立的运行Windows XP的笔记本电脑上把完好的安全模式注册表选项导出来，存入U盘（安全模式注册表项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]）。然后以正常模式进入系统，双击SAFEROOG.REG文件没有反应，运行注册表管理器（regedit.exe）没有反应，因此不能直接修复安全模式。放弃！

　　3、命令提示符。

　　运行cmd，打开命令提示符（幸运，可以运行！）。敲入tasklist试试，列出了当前运行的进程，竟然有40多个。长了个心眼，先用

　　“taskkill /f /im explorer.exe”，“taskkill /f /im ieplorer.exe”，结束explorer.exe进程和iexplorer.exe进程，因为有很多病毒和木马都把自身嵌入了这两个进程之中。然后用“taskkill”结束了其他的可疑进程。感觉系统响应速度快了很多，想想现在应该没有问题了，再次运行“regedit.exe”，仍然没有反应，听见硬盘狂转，灯狂闪，系统似乎没有了响应。重启呗！

　　4、赤膊杀毒。

　　系统重启之后，打开“我的电脑”双击系统c盘，反应好慢，感觉不正常。右键查看原来第一项变成了“auto”，记得默认的第一项应该是“打开”。心里一个激灵，看来中了“Autorun.inf”了，双击盘符病毒又激活了。马上运行CMD，进入C盘根目录，用“dir /a”命令查看果然在系统目录下有两个陌生的文件“Autorun.inf” 和“setup.exe”，用“attrib”命令查看，是系统、只读、隐藏文件。这个好办用“attrib -a -s -h autorun.inf”，“attrib -a -s -h setup.exe”，然后“del autorun.inf del setup.exe”。由于每个盘下都有这两个文件，我建了一个批处理文件del.bat，一次搞定。

　　@echo off

　　cd \

　　attrib -a -s -h autorun.inf

　　attrib -a -s -h setup.exe

　　del autorun.inf

　　del setup.exe

　　d：

　　attrib -a -s -h autorun.inf

　　attrib -a -s -h setup.exe

　　del autorun.inf

　　del setup.exe

　　e：

　　attrib -a -s -h autorun.inf

　　attrib -a -s -h setup.exe

　　del autorun.inf

　　del setup.exe

　　taskkill /f /im explorer.exe

　　start ecplorer.exe

　　exit

　　（注：我的系统只有三个区）然后很熟练地执行“工具-文件夹选项-查看”准备选取“显示所有文件和文件夹”，看到的一切让我后背一直凉到心里，阴风飕飕。没有这一项，其上的“不显示隐藏的文件和文件夹”选项变成“就连禽兽都有恻隐之心，我没有恻隐之心，所有我不是禽兽！”崩溃！

　　5、仙人指路。

　　运行“regedit.exe”没有反应，难道是被病毒删除了，马上进入c：\windows\目录下查看，regedit.exe文件在，大小和创建时间都没有问题，那为什么不运行呢？难道是系统变量问题，在命令提示行下键入“set”命令，看到关于路径的系统变量没有问题。怎么回事呢？突然眼前一亮，犹如仙人点化，这难道就是传说中的“映象劫持”吗？难道“regedit.exe”被劫持了！想起有个在命令提示符下的修改注册表的命令“reg”，马上运行，可以运行，它没有被劫持。敲入命令：

　　“D：\>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"

　　真是邪恶，几乎所有的主流杀毒软件的主程序，主要的系统工具都被劫持，指向c：\windows\systemsetup.exe文件，当然注册表也在其中。好办，先敲入命令：

　　D：\>reg explort "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" image.reg“备份，最后敲入命令D：\>reg 0delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"删除其键值项。马上运行”regedit.exe“，打开了可爱的注册表编辑器，清除如下键值下的可疑自启动项。

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

　　运行“msconfig.exe”在“启动”项下看看有没有漏网之鱼。

　　6、重见天日。

　　重启电脑，进入系统，瑞星终于复活了！马上上网升级病毒库。等一等，在上网之前，敲入“netstat -ano”命令看看有没有可疑的开放端口，不然联网后会前功尽弃。没有，马上升级。导入U盘中的SAFEROOG.REG修复安全模式，顺利进入安全模式杀毒，竟然查出423个病毒！最后修复病毒修改的注册表相关键值。ok，冲出了地狱之门，重见天日！

　　总结：这次电脑维护走了不是弯路，但其中提供的方法希望对大家有所帮助。电脑维护者要有高度的对于电脑的敏感度，电脑的任何反应都是有原因的，要从一些蛛丝马迹中找到问题，少走弯路。这次电脑维护“reg”是个转折点，如果病毒连“reg”也劫持的话，我想可以用Winpe光盘引导系统，然后用Winpe系统的注册表编辑器加载xp的注册表项，修改以上选项。