杀毒软件根据其定义的特征码,查杀了系统中的病毒木马就万事大吉功成身退了。却把一个千疮百孔的系统留给了我们,杀毒后遗症成了我们心中永远的痛!杀软不过就是个软件,打扫杀毒后的战场,做好善后工作还得靠我们自己。
一. 启动相关
案例1:开机后桌面每次都弹出“加载xx文件时出错,找不到指定文件”的提示框。(图1)
图1
医治:
第一方案:启动msconfig,根据启动项位置提示找到对应的键值删除即可。
第二方案:按照提示框提示的文件,进入注册表搜索到加载键值删除即可。
关键的注册表键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
以上的键值会出现在msconfig的“启动”项中。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
以上的键值比较隐蔽
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Shell"="EXPLORER.EXE,*.exe"
*为某病毒或者木马的可执行文件,这种方法非常隐蔽,被当前的许多病毒采用
案例2:无法打开常见的程序, 系统弹出选择打开方式窗口。
医治:
第一步:重启按f8进入带命令行的安全模式。
第二步:进入命令提示符后执行 ftype exefile=”%1”%*命令恢复即可,也可以用sreng工具修复关联。
图2
案例3:双击任何一个盘符都不能打开,只有通过右键点击选择“资源管理器”才能打开,同时右键菜单原来第一项变成“auto” (图3)
图3
医治:
第一步:建立一个批处理文件kill.bat,代码如下:
@echo off
cd
attrib -s -h -a autorun.inf
del autorun.inf
d:
attrib -s -h -a autorun.inf
del autorun.inf
taskkill /f /im explorer.exe
start explorer.exe
exit
提示:杀毒软件把系统根目录下的病毒文件清除了,但没有删除autorun.inf文件。(假设只有C、D两个分区。)
如果还没有完全解决问题,进行第二步操作。
第二步:定位注册表到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountpoints2,把c、d项下面的有关auto的项全部删除。
第三步:在注册表下的root下 dirve下 删除shell子项
这样就能正常打开所有硬盘分区。
