單位的局域網所有的主機都是windows xp系統,最近無一倖免都中招了,症狀類似,估計是若干個在局域網內相互感染的病毒。
一、陷入地獄:
1、瑞星殺毒軟件、瑞星防火牆全部不能開機運行,雙擊後沒有任何反應。
2、任務管理器變灰,運行註冊表編輯器(regedit.exe)、系統配置實用程序(msconfig.exe)、服務(services.msc)、組策略(gpedit.msc)沒有反應。
3、“我的電腦”中每個盤無法雙擊打開。
4、系統運行越來越慢,最後只有重新啓動。
二、煉獄之路:
1、安全模式。
最初想到的是進入安全模式,看看瑞星能否運行,能的話先用瑞星查殺,不行的話再用手工查殺。重啓電腦,等待進入安全模式,誰知道藍屏,地獄之門關上了一扇。看來病毒刪除或修改了安全模式的註冊表鍵值。
2、修復安全模式。
從一臺獨立的運行Windows XP的筆記本電腦上把完好的安全模式註冊表選項導出來,存入U盤(安全模式註冊表項[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot])。然後以正常模式進入系統,雙擊SAFEROOG.REG文件沒有反應,運行註冊表管理器(regedit.exe)沒有反應,因此不能直接修復安全模式。放棄!
3、命令提示符。
運行cmd,打開命令提示符(幸運,可以運行!)。敲入tasklist試試,列出了當前運行的進程,竟然有40多個。長了個心眼,先用
“taskkill /f /im explorer.exe”,“taskkill /f /im ieplorer.exe”,結束explorer.exe進程和iexplorer.exe進程,因爲有很多病毒和***都把自身嵌入了這兩個進程之中。然後用“taskkill”結束了其他的可疑進程。感覺系統響應速度快了很多,想想現在應該沒有問題了,再次運行“regedit.exe”,仍然沒有反應,聽見硬盤狂轉,燈狂閃,系統似乎沒有了響應。重啓唄!
4、赤膊殺毒。
系統重啓之後,打開“我的電腦”雙擊系統c盤,反應好慢,感覺不正常。右鍵查看原來第一項變成了“auto”,記得默認的第一項應該是“打開”。心裏一個激靈,看來中了“Autorun.inf”了,雙擊盤符病毒又激活了。馬上運行CMD,進入C盤根目錄,用“dir /a”命令查看果然在系統目錄下有兩個陌生的文件“Autorun.inf” 和“setup.exe”,用“attrib”命令查看,是系統、只讀、隱藏文件。這個好辦用“attrib -a -s -h autorun.inf”,“attrib -a -s -h setup.exe”,然後“del autorun.inf del setup.exe”。由於每個盤下都有這兩個文件,我建了一個批處理文件del.bat,一次搞定。
@echo off
cd \
attrib -a -s -h autorun.inf
attrib -a -s -h setup.exe
d:
attrib -a -s -h autorun.inf
attrib -a -s -h setup.exe
e:
attrib -a -s -h autorun.inf
attrib -a -s -h setup.exe
taskkill /f /im explorer.exe
start ecplorer.exe
exit
(注:我的系統只有三個區)然後很熟練地執行“工具-文件夾選項-查看”準備選取“顯示所有文件和文件夾”,看到的一切讓我後背一直涼到心裏,陰風颼颼。沒有這一項,其上的“不顯示隱藏的文件和文件夾”選項變成“就連禽獸都有惻隱之心,我沒有惻隱之心,所有我不是禽獸!”崩潰!
5、仙人指路。
運行“regedit.exe”沒有反應,難道是被病毒刪除了,馬上進入c:\windows\目錄下查看,regedit.exe文件在,大小和創建時間都沒有問題,那爲什麼不運行呢?難道是系統變量問題,在命令提示行下鍵入“set”命令,看到關於路徑的系統變量沒有問題。怎麼回事呢?突然眼前一亮,猶如仙人點化,這難道就是傳說中的“映象劫持”嗎?難道“regedit.exe”被劫持了!想起有個在命令提示符下的修改註冊表的命令“reg”,馬上運行,可以運行,它沒有被劫持。敲入命令:
“D:\>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
真是邪惡,幾乎所有的主流殺毒軟件的主程序,主要的系統工具都被劫持,指向c:\windows\systemsetup.exe文件,當然註冊表也在其中。好辦,先敲入命令:
D:\>reg explort "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" p_w_picpath.reg”備份,最後敲入命令D:\>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"刪除其鍵值項。馬上運行“regedit.exe”,打開了可愛的註冊表編輯器,清除如下鍵值下的可疑自啓動項。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
運行“msconfig.exe”在“啓動”項下看看有沒有漏網之魚。
6、重見天日。
重啓電腦,進入系統,瑞星終於復活了!馬上上網升級病毒庫。等一等,在上網之前,敲入“netstat -ano”命令看看有沒有可疑的開放端口,不然聯網後會前功盡棄。沒有,馬上升級。導入U盤中的SAFEROOG.REG修復安全模式,順利進入安全模式殺毒,竟然查出423個病毒!最後修復病毒修改的註冊表相關鍵值。ok,衝出了地獄之門,重見天日!
總結:這次電腦維護走了不是彎路,但其中提供的方法希望對大家有所幫助。電腦維護者要有高度的對於電腦的敏感度,電腦的任何反應都是有原因的,要從一些蛛絲馬跡中找到問題,少走彎路。這次電腦維護“reg”是個轉折點,如果病毒連“reg”也劫持的話,我想可以用Winpe光盤引導系統,然後用Winpe系統的註冊表編輯器加載xp的註冊表項,修改以上選項。