【IT专家网独家】杀毒软件根据其定义的特征码,查杀了系统中的病毒木马就万事大吉功成身退了。却把一个千疮百孔的系统留给了我们,杀毒后遗症成了我们心中永远的痛!杀软不过就是个软件,打扫杀毒后的战场,做好善后工作还得靠我们自己。
一. 启动相关
案例1:开机后桌面每次都弹出“加载xx文件时出错,找不到指定文件”的提示框。(图1)
图1
医治:
第一方案:启动msconfig,根据启动项位置提示找到对应的键值删除即可。
第二方案:按照提示框提示的文件,进入注册表搜索到加载键值删除即可。
关键的注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
以上的键值会出现在msconfig的“启动”项中。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
以上的键值比较隐蔽
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="EXPLORER.EXE,*.exe"
*为某病毒或者木马的可执行文件,这种方法非常隐蔽,被当前的许多病毒采用
案例2:无法打开常见的程序, 系统弹出选择打开方式窗口。
医治:
第一步:重启按f8进入带命令行的安全模式。
第二步:进入命令提示符后执行 ftype exefile=”%1”%*命令恢复即可,也可以用sreng工具修复关联。
下载地址:[url]http://zbdx4.skycn.com:82/down/sreng2.zip[/url](图2)
图2
案例3:双击任何一个盘符都不能打开,只有通过右键点击选择“资源管理器”才能打开,同时右键菜单原来第一项变成“auto” (图3)
图3
医治:
第一步:建立一个批处理文件kill.bat,代码如下:
@echo off
cd \
attrib -s -h -a autorun.inf
del autorun.inf
d:
attrib -s -h -a autorun.inf
del autorun.inf
taskkill /f /im explorer.exe
start explorer.exe
exit
提示:杀毒软件把系统根目录下的病毒文件清除了,但没有删除autorun.inf文件。(假设只有C、D两个分区。)
如果还没有完全解决问题,进行第二步操作。
第二步:定位注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\,把c、d项下面的有关auto的项全部删除。
第三步:在注册表下的root下 dirve下 删除shell子项
这样就能正常打开所有硬盘分区。
案例4:杀毒后无法进入桌面,或者提示桌面加载错误,有时候甚至无法进入系统 。
原因:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]有2个键值 Userinit原值是"Userinit"="userinit.exe," Shell的原值是"Shell"="EXPLORER.EXE",如果这两个值被病毒修改,而杀毒软件没有修复的话,就会不能进入系统的桌面。
医治:
第一步:在系统无法进入桌面时通过组合键“Ctrl+Alt+Del”调出“任务管理器”,然后运行“explorer.exe”,进入桌面。
第二步:按照上面的说明恢复注册表键值。(图4)
社区:
