近来,病毒、流氓软件、木马程序肆虐,在帮助用户进行查毒杀毒的同时,常常会碰到系统的注册表文件被病毒程序所篡改,而引起诸如无法登陆系统、无法打开快捷方式、无法打开exe文件等等现象。经过与这些病毒的多次斗争之后,总结了一些病毒程序经常使用的招数以及解决方法。
『是否感染病毒?』首先在判断系统是否感染病毒时,可以查看注册表文件的
『相关注册表项』\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
该项包含了系统启动自动运行的程序。往往病毒程序会通过修改这里,实现自启动。如果对注册表不够熟悉,或者觉得直接修改注册表文件过于繁琐。也可以使用超级兔子、UpIE、HijackThis等工具查看启动项。
『解决方法』一旦发现了某些不常见的程序加入到了启动项,心里就要掂量一下是不是病毒了,如果拿捏不准也可以Google之。如果确定了是病毒程序的话,一般解决方式需要先结束进程,再删除病毒程序,最后删掉注册表中的相关键值。 对于某些顽固的病毒,需要在安全模式下才能结束其进程,进而删除之。
问题大致是这样的,一台电脑上装了XP和2K3两个系统。XP系统是主系统安装在C盘,2k3是从系统安装在E,系统的引导文件都在C盘根目录下。C盘和E盘都已经ghost过,有镜像文件。
现在因为不想再要XP系统,只使用2k3。于是开始对系统的引导文件进行备份和转移,引导文件包括了C盘根目录下的AUTOEXEC.BAT,boot.ini,config.sys,io.sys,msdos.sys,NTDETECT.COM,ntldr这七个文件。将他们统统拷贝到了E盘,并且修改了boot.ini,使之引导系统进入E盘的2k3。 但当我将C盘格掉之后,重启电脑,却得到提示说缺少ntldr,无法启动系统。想到这可能跟硬盘的活动分区有关,便用超级启动盘中的工具将活动盘调整为E盘。再次启动,顺利找到2k3,成功进入系统。
其实,我还想到了另外一个稍显麻烦的问题。 就是直接ghost 2k3的镜像到C盘,但是同样需要把引导文件再复制到C盘。这样做过之后,系统可以进入到登陆界面。可当我登陆系统的时候,却又出现了问题,系统登陆之后立即注销,出现了登陆-注销的循环。难道这样是不行的么?
于是google了一把,想看看能不能找到个解决的法子。 还真有高人遇到并且解决了这个问题。出现这个问题的原因在于,Windows登陆的时候需要有相应的程序运行,而这个程序现在却找不着了。其实系统里是有这样的文件的,但是在注册表文件中的登陆程序的路径却是不同的。
于是用WinPE修改硬盘系统的注册表文件,找到项:[code]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Shell=Explorer.exe
UIHost=%SystemRoot%\system32\logonui.exe
Userinit=C:\windows\system32\userint.exe [/code]
修改好了之后,重启,再登陆。经过了比一般启动时间稍长的等待之后,终于登陆到了系统。
对于系统登陆后立即注销的问题,在将ghost镜像恢复到其他分区,或者经历了病毒侵袭之后都有可能出现注册表文件被改,系统找不到userint.exe, logonui.exe的情况。
Recent Comments