本文介绍了一种解决注册表被恶意程序劫持的方法。通过使用命令行工具定位被劫持的注册表项,并利用备份和删除命令进行修复,最终成功恢复了包括杀毒软件在内的多个系统工具。
导读:
5、仙人指路。
运行“regedit.exe”没有反应,难道是被病毒删除了,马上进入c:/windows/目录下查看,regedit.exe文件在,大小和创建时间都没有问题,那为什么不运行呢?难道是系统变量问题,在命令提示行下键入“set”命令,看到关于路径的系统变量没有问题。怎么回事呢?突然眼前一亮,犹如仙人点化,这难道就是传说中的“映象劫持”吗?难道“regedit.exe”被劫持了!想起有个在命令提示符下的修改注册表的命令“reg”,马上运行,可以运行,它没有被劫持。敲入命令:
“D:/>reg query "HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ Windows NT/ CurrentVersion/ Image File Execution Options"
真是邪恶,几乎所有的主流杀毒软件的主程序,主要的系统工具都被劫持,指向c:/windows/systemsetup.exe文件,当然注册表也在其中。好办,先敲入命令:
D:/>reg explort "HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ Windows NT/ CurrentVersion/ Image File Execution Options" image.reg备份,最后敲入命令D:/>reg delete "HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ Windows NT/ CurrentVersion/ Image File Execution Options"删除其键值项。马上运行“regedit.exe”,打开了可爱的注册表编辑器,清除如下键值下的可疑自启动项。
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ Windows/ CurrentVersion/ Run
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ Windows/ CurrentVersion/ RunOnce
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/Windows/ CurrentVersion/ RunServices
HKEY_CURRENT_USER/ Software/ Microsoft/ Windows NT/ CurrentVersion/ Windows
运行“msconfig.exe”在“启动”项下看看有没有漏网之鱼。
6、重见天日。
重启电脑,进入系统,瑞星终于复活了!马上上网升级病毒库。等一等,在上网之前,敲入“netstat -ano”命令看看有没有可疑的开放端口,不然联网后会前功尽弃。没有,马上升级。导入U盘中的SAFEROOG.REG修复安全模式,顺利进入安全模式杀毒,竟然查出423个病毒!最后修复病毒修改的注册表相关键值。ok,冲出了地狱之门,重见天日!
总结:这次电脑维护走了不是弯路,但其中提供的方法希望对大家有所帮助。电脑维护者要有高度的对于电脑的敏感度,电脑的任何反应都是有原因的,要从一些蛛丝马迹中找到问题,少走弯路。这次电脑维护“reg”是个转折点,如果病毒连“reg”也劫持的话,我想可以用Winpe光盘引导系统,然后用Winpe系统的注册表编辑器加载xp的注册表项,修改以上选项。
本文转自
http://pfw.sky.net.cn/article/5278_2.html
扫一扫
1848
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
