微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 【转】一次炼狱般的电脑维护过程  

 15  1/2  1  2  > 
作者:
标题: 【转】一次炼狱般的电脑维护过程
千里走单骑
银牌会员

一觉醒来,天都黑了


积分 2900
发帖 2876
注册 2007-12-6
来自 我也不知道
#1  【转】一次炼狱般的电脑维护过程

先看症状,其它电脑症状类似,估计是若干个在局域网内相互感染的病毒。

  一、陷入地狱:

  1、瑞星杀毒软件、瑞星防火墙全部不能开机运行,双击后没有任何反应。

  2、任务管理器变灰,运行注册表编辑器(regedit.exe)、系统配置实用程序(msconfig.exe)、服务(services.msc)、组策略(gpedit.msc)没有反应。

  3、“我的电脑”中每个盘无法双击打开。

  4、系统运行越来越慢,最后只有重新启动。

  二、炼狱之路:

  1、安全模式。

  最初想到的是进入安全模式,看看瑞星能否运行,能的话先用瑞星查杀,不行的话再用手工查杀。重启电脑,等待进入安全模式,谁知道蓝屏,地狱之门关上了一扇。看来病毒删除或修改了安全模式的注册表键值。

  2、修复安全模式。

  从一台独立的运行Windows XP的笔记本电脑上把完好的安全模式注册表选项导出来,存入U盘(安全模式注册表项[HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot])。然后以正常模式进入系统,双击SAFEROOG.REG文件没有反应,运行注册表管理器(regedit.exe)没有反应,因此不能直接修复安全模式。放弃!

  3、命令提示符。

  运行cmd,打开命令提示符(幸运,可以运行!)。敲入tasklist试试,列出了当前运行的进程,竟然有40多个。长了个心眼,先用

  “taskkill /f /im explorer.exe”,“taskkill /f /im ieplorer.exe”,结束explorer.exe进程和iexplorer.exe进程,因为有很多病毒和木马都把自身嵌入了这两个进程之中。然后用“taskkill”结束了其他的可疑进程。感觉系统响应速度快了很多,想想现在应该没有问题了,再次运行“regedit.exe”,仍然没有反应,听见硬盘狂转,灯狂闪,系统似乎没有了响应。重启呗!

  4、赤膊杀毒。

  系统重启之后,打开“我的电脑”双击系统c盘,反应好慢,感觉不正常。右键查看原来第一项变成了“auto”,记得默认的第一项应该是“打开”。心里一个激灵,看来中了“Autorun.inf”了,双击盘符病毒又激活了。马上运行CMD,进入C盘根目录,用“dir /a”命令查看果然在系统目录下有两个陌生的文件“Autorun.inf” 和“setup.exe”,用“attrib”命令查看,是系统、只读、隐藏文件。这个好办用“attrib -a -s -h autorun.inf”,“attrib -a -s -h setup.exe”,然后“del autorun.inf del setup.exe”。由于每个盘下都有这两个文件,我建了一个批处理文件del.bat,一次搞定。

  @echo off

  cd \

  attrib -a -s -h autorun.inf

  attrib -a -s -h setup.exe

  del autorun.inf

  del setup.exe

  d:

  attrib -a -s -h autorun.inf

  attrib -a -s -h setup.exe

  del autorun.inf

  del setup.exe

  e:

  attrib -a -s -h autorun.inf

  attrib -a -s -h setup.exe

  del autorun.inf

  del setup.exe

  taskkill /f /im explorer.exe

  start ecplorer.exe

  exit

  (注:我的系统只有三个区)然后很熟练地执行“工具-文件夹选项-查看”准备选取“显示所有文件和文件夹”,看到的一切让我后背一直凉到心里,阴风飕飕。没有这一项,其上的“不显示隐藏的文件和文件夹”选项变成“就连禽兽都有恻隐之心,我没有恻隐之心,所有我不是禽兽!”崩溃!
5、仙人指路。

  运行“regedit.exe”没有反应,难道是被病毒删除了,马上进入c:\windows\目录下查看,regedit.exe文件在,大小和创建时间都没有问题,那为什么不运行呢?难道是系统变量问题,在命令提示行下键入“set”命令,看到关于路径的系统变量没有问题。怎么回事呢?突然眼前一亮,犹如仙人点化,这难道就是传说中的“映象劫持”吗?难道“regedit.exe”被劫持了!想起有个在命令提示符下的修改注册表的命令“reg”,马上运行,可以运行,它没有被劫持。敲入命令:

  “D:\>reg query "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options"

  真是邪恶,几乎所有的主流杀毒软件的主程序,主要的系统工具都被劫持,指向c:\windows\systemsetup.exe文件,当然注册表也在其中。好办,先敲入命令:

  D:\>reg explort "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options" image.reg备份,最后敲入命令D:\>reg delete "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options"删除其键值项。马上运行“regedit.exe”,打开了可爱的注册表编辑器,清除如下键值下的可疑自启动项。

  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunOnce

  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ RunServices

  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows

  运行“msconfig.exe”在“启动”项下看看有没有漏网之鱼。

  6、重见天日。

  重启电脑,进入系统,瑞星终于复活了!马上上网升级病毒库。等一等,在上网之前,敲入“netstat -ano”命令看看有没有可疑的开放端口,不然联网后会前功尽弃。没有,马上升级。导入U盘中的SAFEROOG.REG修复安全模式,顺利进入安全模式杀毒,竟然查出423个病毒!最后修复病毒修改的注册表相关键值。ok,冲出了地狱之门,重见天日!

  总结:这次电脑维护走了不是弯路,但其中提供的方法希望对大家有所帮助。电脑维护者要有高度的对于电脑的敏感度,电脑的任何反应都是有原因的,要从一些蛛丝马迹中找到问题,少走弯路。这次电脑维护“reg”是个转折点,如果病毒连“reg”也劫持的话,我想可以用Winpe光盘引导系统,然后用Winpe系统的注册表编辑器加载xp的注册表项,修改以上选项。

※ ※ ※ 本文纯属【千里走单骑】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

世事茫茫如流水,休将名利挂心头。粗茶淡饭随缘过,富贵荣华莫强求

2007-12-22 00:32
查看资料  发短消息   编辑帖子
千里走单骑
银牌会员

一觉醒来,天都黑了


积分 2900
发帖 2876
注册 2007-12-6
来自 我也不知道
#2  

呵呵。。。。沙发送楼下。。。

※ ※ ※ 本文纯属【千里走单骑】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

世事茫茫如流水,休将名利挂心头。粗茶淡饭随缘过,富贵荣华莫强求

2007-12-22 00:33
查看资料  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#3  

不错!支持!

[ Last edited by lotei on 2007-12-22 at 00:39 ]

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


让自己更加睿智,其实看透了!你就放下了!
2007-12-22 00:38
查看资料  发送邮件  发短消息   编辑帖子
zhouqx
新手上路




积分 13
发帖 13
注册 2007-12-21
#4  

我只能这样说,完美一击

※ ※ ※ 本文纯属【zhouqx】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-22 09:09
查看资料  发送邮件  发短消息   编辑帖子
lunglungyu
新手上路





积分 11
发帖 11
注册 2007-10-18
#5  

完美啊..还是到现在才知cmd下有reg 命令

※ ※ ※ 本文纯属【lunglungyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-22 19:02
查看资料  发送邮件  发短消息   编辑帖子
xiamiok
注册用户




积分 113
发帖 113
注册 2007-3-14
#6  

偶通常用winpe杀毒

※ ※ ※ 本文纯属【xiamiok】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-22 20:47
查看资料  发送邮件  发短消息   编辑帖子
千里走单骑
银牌会员

一觉醒来,天都黑了


积分 2900
发帖 2876
注册 2007-12-6
来自 我也不知道
#7  

呵呵!

※ ※ ※ 本文纯属【千里走单骑】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

世事茫茫如流水,休将名利挂心头。粗茶淡饭随缘过,富贵荣华莫强求

2007-12-23 03:29
查看资料  发短消息   编辑帖子
wyatt
中级用户




积分 420
发帖 412
注册 2007-5-23
#8  

学习了
顶楼主

※ ※ ※ 本文纯属【wyatt】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

期待微点扫描~
2007-12-23 03:39
查看资料  发短消息   编辑帖子
cncsf
注册用户




积分 194
发帖 194
注册 2007-8-2
#9  

不错的注册表修复过程!~

※ ※ ※ 本文纯属【cncsf】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-24 14:57
查看资料  发短消息   编辑帖子
stzgaf
新手上路





积分 12
发帖 12
注册 2007-11-7
#10  

呵呵,前几天用cmd帮人弄掉一个隐藏在U盘的autorun.inf,在U盘里的,没楼主这个复杂,又长见识了!帮楼主顶一个!

※ ※ ※ 本文纯属【stzgaf】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-24 15:26
查看资料  发短消息   编辑帖子
 15  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号