Windows XP遭遇杀毒后遗症
开篇:润墨网以专业的文秘视角,为您筛选了一篇Windows XP遭遇杀毒后遗症范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
本文可以学到
1 了解杀毒的一般流程
2 杀毒软件主要有哪些后遗症及解决方法
3
>> windows xp遭遇杀毒后遗症 继续使用Windows XP Windows XP黯然退役 浅谈Windows XP优化设置 XP医生,医治杀毒后遗症 轻点鼠标解决杀毒后遗症 Windows XP退休倒计时 Windows XP启动故障分析与解决 Windows XP系统蓝屏快速分析 在Windows 7中扬XP所长 Windows XP无法识别U盾 Windows XP蓝屏故障的速查方法 让Windows XP文件搜索更直接 实探Windows 7的XP模式 探秘Windows 7的XP模式 杀毒后Windows桌面不显示之谜 当遭遇后遗症 杀毒后遗症你治了吗?等 对症下药会诊杀毒后遗症 一条命令搞定杀毒后遗症 常见问题解答 当前所在位置:l有着详细的介绍。
3.如何手工修复安全模式,大家可以参考,这里有详尽的介绍。
本文相关火速链接
如何恢复各种可执行文件的打开方式,请参考19期《剑出偏锋,记事本也能杀毒》一文。
人在江湖走,哪能不挨刀。相信很多网虫都中过病毒的招,病毒虽然借助杀毒软件删除了,不过杀完毒后,Windows却留下满身的伤疤。这就像人生了病,虽然通过手术摘除了病灶,医生却没有缝好伤口,落下一堆后遗症。遭遇杀毒后遗症怎么办?本期的《你该怎么办》,我们就为大家请来良医,修复“手术”带来的各种后遗症!
【实际案例】
佳佳(嘉宾):
说到杀毒后遗症,我印象深刻。有天晚上,我正在加班赶制一份第二天就要上交的策划报告,在网上搜索资料时,杀毒软件提示发现病毒,弹出是否要删除病毒提示框。我顺手就点击“删除”。杀毒软件提示重启后才能彻底查杀病毒,令我没想到的是,重启后我发现系统内所有程序都无法运行,那份策划书自然也无法完成,当月的奖金也泡汤了。
小龙(嘉宾):
唉,可惜了那白花花的银子。其实我也遇到过类似的后遗症,一次杀毒后,系统竟然无法启动。此时又急着要用电脑,气得我差点想把主机扔出窗外。幸好身边有CFan杂志,看了相关的文章才修复好了系统。
柳絮飞(主持人):
呵呵,看来杀毒后遗症还相当普遍。为什么很多朋友没有栽在病毒身上,反而栽在后遗症上呢?我认为原因主要有如下三点:
1.过分依赖杀毒软件,认为杀完毒系统就没事了;
2.不了解病毒特征,毒杀完后不知道病毒对系统造成的伤害;
3.出现杀毒后遗症后,不知道如何从症状表象入手分析情况并采取适当的解决方法。
为何会有杀毒后遗症?出现后遗症后又该如何解决?本期我们请来了对系统安全颇有研究的平淡先生,来一一化解各位系统的疑难杂症。
【专家分析】
柳絮飞:
首先请平淡给我们讲讲杀毒后遗症产生的原因吧。
平淡:
我们首先来了解一下杀毒软件的杀毒流程。
为了能够查杀新病毒,杀毒软件首先会升级病毒库,接着便使用实时监控和全盘扫描来发现并删除病毒。实时监控通过内存加载,将电脑里流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,如果文件特征码和病毒库的相符,则弹出发现病毒的提示框,提醒用户杀毒。全盘扫描则将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查,然后将文件特征和病毒库特征码比对以发现病毒。
从上述杀毒流程可以看出,杀毒软件主要就是比对特征码,然后删除查找出的病毒文件,对于病毒对系统的更改(如更改文件打开方式)却没有进行修复,这就是杀毒后遗症产生的主要原因。综合来说引发后遗症的原因主要有两个:
1由病毒启动方式引发。病毒为了能够启动自身,通常会采取各种各样的方法来激活自己。最常见的就是通过修改或添加注册表键值实现启动。杀毒软件一般只是将病毒主体删除,对于病毒更改的注册表键值却无法进行修复,导致后遗症的产生。比如,上述佳佳遇到的病毒,病毒更改了可执行程序默认的打开方式,导致病毒删除后,可执行程序找不到关联的打开方式,使得程序无法运行。
2病毒对系统更改造成的后遗症。病毒感染了系统后,它常常还会对系统进行破坏。比如病毒“8749”,中招后就会清空注册表中关于安全模式下的所有项目。这样杀毒后会留下安全模式无法进入的后遗症。
【嘉宾提问】
小龙:
网友提供的后遗症具体表现有很多,怎么判断自己的后遗症是由哪种原因引发的呢?又该如何修复?
平淡:
你问得很好!下面我们就系统、全面地列举出常见杀毒后遗症,并一一给出解决方法。
病毒启动方式引发的后遗症
判断依据:
此类故障的表现多在系统启动后发生,或者和我们执行某一操作时,出现和系统原来默认运行方式不同。常见的症状主要有以下几点:
1开机后桌面每次都弹出“加载XX文件时出错,找不到指定文件”的提示框(见图1)。这是典型的启动带来的后遗症。此类病毒大多在常见的启动键值,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]等处添加启动项。病毒被删除后,启动键值当然找不到指定的文件了。
图1
专家秘技
快速找到新添的启动项。在平时使用中,我们用到的启动项只有输入法(ctfmon.exe)和杀毒软件。因此我们只要保留这两个键值,同时将这两个键值添加到注册表收藏夹中,然后删除其他常用启动键值。这样,在发现此类后遗症时,就可以快速找到病毒添加的启动项。
解决方法:
按照提示框提示的文件,进入注册表搜索到加载键值,或者启动Msconfig,根据启动项“位置”提示找到对应的键值删除即可。
2无法打开常见的程序。比如,试图运行记事本程序时,系统弹出选择打开方式窗口。这是可执行程序关联被更改的典型症状,一些病毒会将可执行程序打开方式关联到病毒自身,使我们在运行程序时变成运行病毒。病毒删除后,导致程序无法运行。
解决方法:
重启,按住F8键进入“带命令提示符的安全模式”,进入命令提示符后执行“ftype exefile="%1"%*”命令恢复即可。通过“ftype 文件类型”可以快速查看打开该类型文件的应用程序,通过Assoc命令可以显示或修改文件名扩展关联。
专家秘技
快速查看打开方式是否被更改。大家可以借助SSENG来查看、修复,到http:///files/sreng2.zip下载软件并运行后,单击“文件关联”,如果文件默认关联被更改这里会以“红色”显示,单击“修复”即可。
3杀毒后双击任何一个盘符都不能打开,只有通过点击盘符右键打开,同时分区右键菜单原来第一项变成“AUTO”。这也是病毒常用的启动方式之一,病毒通过在每个磁盘分区根目录下创建一个autorun.inf文件,使得我们的双击操作变成激活病毒。病毒删除后,由于打开方式被更改,导致双击无法打开分区。
解决方法:
进入注册表,展开[HKEY_CLASSES_ROOT\Drive\shell](如果是文件夹,则展开[HKEY_CLASSES_ROOT\Directory\shell]),将其中的“AUTO”项删除即可。
本文相关小提示
如果删除上述键值后“打开”变为“搜索”(自己进行一些操作也常会出现这情况),此时我们可以把上述的[shell]值删除,恢复分区默认的打开方式。
4杀毒后无法进入桌面,或者提示桌面加载错误,有时甚至无法进入系统。由于每个人系统启动后都要执行登录操作和加载桌面进程explorer.exe,因此一些病毒通过这种隐蔽的方法来启动。主要是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中的2个值:
Userinit字符串――原值为“c:\windows\userinit.exe,”,病毒在其后添加类似“c:\windows\svcinit.exe”的值,实现每次登录启动。一些专杀软件会把Userinit字符串整个数据删除,导致启动后无法进入系统。
解决方法:
这一故障的具体解决方法,请参考16期《另辟蹊径,撬开注册表紧锁之门》一文。
Shell字符串――原值为“explorer.exe”,病毒在其后添加自身病毒程序,杀毒时误把该值删除,导致无法加载桌面。
解决方法:
进入系统后,启动任务管理器加载explorer.exe,然后进入注册表添加上述正常键值。
5杀毒后很多安全程序无法运行。比如,试图运行360安全卫士时,明明360safe.exe好好的,系统却提示找不到文件(见图2)。这种“明知故犯”的错误大多是“映像劫持”病毒的后遗症。这些病毒通过更改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ]项,试图使我们在运行安全软件时指向病毒,现在病毒被删除,所以出现上述错误提示。
解决方法:删除[Image File Execution Options]项下和安全程序同名的键值。
本文相关小提示
还有些病毒通过在程序安装目录下添加伪装的ws2_32.dll,使用户运行程序时出现调用DLL文件错误(出现“损坏的图像”错误提示),导致程序启动失败。这时只要将程序安装目录下ws2_32.dll删除即可修复。
图2
病毒对系统或文件造成破坏导致后遗症
判断依据:
此类故障和启动无关,系统原来默认设置遭到改变,或者某类文件如doc文档等遭到破坏无法打开。
1系统无法显示隐藏文件。一些病毒为了隐藏自身,会修改注册表,使我们即使将文件夹查看方式设置为“显示所有文件”和“显示受保护的系统文件”,仍然无法看到它们。
解决方法:
进入注册表,依次展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],然后双击右侧窗格的CheckedValue值,在打开的对话框将数值更改为“1”即可。
专家秘技
为了更好地保护注册表不被随意更改,我们可以使用权限来保护。对一些常用的键值,右击该键值选择“权限”,在打开的权限窗口,将所有用户对该键值写入权限设置为拒绝,可以有效地阻止病毒对键值的更改。
2安全模式无法进入。为了防止自己在安全模式被查杀,一些病毒会删除注册表[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]中的键值,杀完毒后无法进入安全模式。
解决方法:
可以到其他正常电脑上导出上述键值,然后再导入故障电脑进行修复。
3文件被损坏。一些病毒会损坏系统的文件,比如熊猫烧香会将所有exe文件破坏,即使删除病毒,感染的程序还是无法运行。对于这些破坏性病毒,修复的方法只能借助专杀工具来完成。
4系统文件丢失,导致系统组件故障,严重的导致系统无法进入。一些病毒会替换或者删除系统文件,导致系统出现莫名的故障。一般文件的修复可以使用自带的SFC命令扫描系统文件,并用正确的Microsoft版本替换不正确的版本。
解决方法:单击“开始运行”,输入“sfc /scannow”开始扫描系统系统文件。如果扫描发现系统保护文件出现异常,按屏幕提示插入Windows XP安装光盘提取正确文件并修复即可。如果是重要系统文件丢失导致无法启动,我们就要用控制台来修复,具体方法请参考上期的话题讨论。
专家秘技
把系统文件备份放在硬盘上。SFC扫描需要替换文件时需要插入光盘,现在可以通过修改注册表,让系统的自动修复通过硬盘上的Windows XP安装文件来进行。先将安装光盘上的“I386”文件夹复制到d:\,接着进入注册表展开 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]主键。然后将右侧窗格的“CDInstall”键值数据修改为0,再分别将“ServicePack SourcePath” 和“SourcePath”两个键值都修改为“D:\I386”。以后就不会提示插入安装光盘了。
5主引导记录、分区表错误。一些引导型病毒会破坏硬盘主引导记录,或者破坏分区表。杀毒后,硬盘无法启动或者分区紊乱。因为主引导记录、分区表都是基于硬盘底层操作,一旦出现差错,很难进行有效的恢复。因此,最好的方法是在系统正常的时候,把主引导记录、分区表备份起来,以便在出现故障时能够快速恢复。对于这些组件的备份可以借助SRCTools完成。
【互动空间】
今天我们先聊到这,非常感谢平淡和各位嘉宾的支持。也希望大家能来信(或在CFan论坛)谈谈你对这期内容的感想及对以后内容的建议。在使用电脑的过程中,如果你遇到了什么无法解决的难题,请与我们联系。如果你的问题具有非常典型的意义,我们将组织向有关专家请教,帮你解忧排困。联系信箱:.cn;邮件标题,请注明“CFan你该怎么办”字样。