一次“煉獄”般的電腦維護

字號:

單位的局域網(wǎng)所有的主機都是windows xp系統(tǒng),最近無一幸免都中招了,癥狀類似,估計是若干個在局域網(wǎng)內相互感染的病毒。
    一、陷入地獄:
    1、瑞星殺毒軟件、瑞星防火墻全部不能開機運行,雙擊后沒有任何反應。
    2、任務管理器變灰,運行注冊表編輯器(regedit.exe)、系統(tǒng)配置實用程序(msconfig.exe)、服務(services.msc)、組策略(gpedit.msc)沒有反應。
    3、“我的電腦”中每個盤無法雙擊打開。
    4、系統(tǒng)運行越來越慢,最后只有重新啟動。
    二、煉獄之路:
    1、安全模式。
    最初想到的是進入安全模式,看看瑞星能否運行,能的話先用瑞星查殺,不行的話再用手工查殺。重啟電腦,等待進入安全模式,誰知道藍屏,地獄之門關上了一扇。看來病毒刪除或修改了安全模式的注冊表鍵值。
    2、修復安全模式。
    從一*立的運行Windows XP的筆記本電腦上把完好的安全模式注冊表選項導出來,存入U盤(安全模式注冊表項[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot])。然后以正常模式進入系統(tǒng),雙擊SAFEROOG.REG文件沒有反應,運行注冊表管理器(regedit.exe)沒有反應,因此不能直接修復安全模式。放棄!
    3、命令提示符。
    運行cmd,打開命令提示符(幸運,可以運行?。G萌雝asklist試試,列出了當前運行的進程,竟然有40多個。長了個心眼,先用
    “taskkill /f /im explorer.exe”,“taskkill /f /im ieplorer.exe”,結束explorer.exe進程和iexplorer.exe進程,因為有很多病毒和木馬都把自身嵌入了這兩個進程之中。然后用“taskkill”結束了其他的可疑進程。感覺系統(tǒng)響應速度快了很多,想想現(xiàn)在應該沒有問題了,再次運行“regedit.exe”,仍然沒有反應,聽見硬盤狂轉,燈狂閃,系統(tǒng)似乎沒有了響應。重啟唄!
    4、赤膊殺毒。
    系統(tǒng)重啟之后,打開“我的電腦”雙擊系統(tǒng)c盤,反應好慢,感覺不正常。右鍵查看原來第一項變成了“auto”,記得默認的第一項應該是“打開”。心里一個激靈,看來中了“Autorun.inf”了,雙擊盤符病毒又激活了。馬上運行CMD,進入C盤根目錄,用“dir /a”命令查看果然在系統(tǒng)目錄下有兩個陌生的文件“Autorun.inf” 和“setup.exe”,用“attrib”命令查看,是系統(tǒng)、只讀、隱藏文件。這個好辦用“attrib -a -s -h autorun.inf”,“attrib -a -s -h setup.exe”,然后“del autorun.inf del setup.exe”。由于每個盤下都有這兩個文件,我建了一個批處理文件del.bat,一次搞定。
    @echo off
    cd \
    attrib -a -s -h autorun.inf
    attrib -a -s -h setup.exe
    del autorun.inf
    del setup.exe
    d:
    attrib -a -s -h autorun.inf
    attrib -a -s -h setup.exe
    del autorun.inf
    del setup.exe
    e:
    attrib -a -s -h autorun.inf
    attrib -a -s -h setup.exe
    del autorun.inf
    del setup.exe
    taskkill /f /im explorer.exe
    start ecplorer.exe
    exit
    (注:我的系統(tǒng)只有三個區(qū))然后很熟練地執(zhí)行“工具-文件夾選項-查看”準備選取“顯示所有文件和文件夾”,看到的一切讓我后背一直涼到心里,陰風颼颼。沒有這一項,其上的“不顯示隱藏的文件和文件夾”選項變成“就連禽獸都有惻隱之心,我沒有惻隱之心,所有我不是禽獸!”崩潰!
    5、仙人指路。
    運行“regedit.exe”沒有反應,難道是被病毒刪除了,馬上進入c:\windows\目錄下查看,regedit.exe文件在,大小和創(chuàng)建時間都沒有問題,那為什么不運行呢?難道是系統(tǒng)變量問題,在命令提示行下鍵入“set”命令,看到關于路徑的系統(tǒng)變量沒有問題。怎么回事呢?突然眼前一亮,猶如仙人點化,這難道就是傳說中的“映象劫持”嗎?難道“regedit.exe”被劫持了!想起有個在命令提示符下的修改注冊表的命令“reg”,馬上運行,可以運行,它沒有被劫持。敲入命令:
    “D:\>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
    真是邪惡,幾乎所有的主流殺毒軟件的主程序,主要的系統(tǒng)工具都被劫持,指向c:\windows\systemsetup.exe文件,當然注冊表也在其中。好辦,先敲入命令:
    D:\>reg explort "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" image.reg“備份,最后敲入命令D:\>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"刪除其鍵值項。馬上運行”regedit.exe“,打開了可愛的注冊表編輯器,清除如下鍵值下的可疑自啟動項。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    運行“msconfig.exe”在“啟動”項下看看有沒有漏網(wǎng)之魚。
    6、重見天日。
    重啟電腦,進入系統(tǒng),瑞星終于復活了!馬上上網(wǎng)升級病毒庫。等一等,在上網(wǎng)之前,敲入“netstat -ano”命令看看有沒有可疑的開放端口,不然聯(lián)網(wǎng)后會前功盡棄。沒有,馬上升級。導入U盤中的SAFEROOG.REG修復安全模式,順利進入安全模式殺毒,竟然查出423個病毒!最后修復病毒修改的注冊表相關鍵值。ok,沖出了地獄之門,重見天日!
    總結:這次電腦維護走了不是彎路,但其中提供的方法希望對大家有所幫助。電腦維護者要有高度的對于電腦的敏感度,電腦的任何反應都是有原因的,要從一些蛛絲馬跡中找到問題,少走彎路。這次電腦維護“reg”是個轉折點,如果病毒連“reg”也劫持的話,我想可以用Winpe光盤引導系統(tǒng),然后用Winpe系統(tǒng)的注冊表編輯器加載xp的注冊表項,修改以上選項。