Windows 7 64 位系统下载

Win7:免费下载,安装简单,硬件兼容,极速安全

如果您电脑是预安装的 Win10 系统,为避免兼容性问题,建议选择 Win10

视频教程:下载的系统如何安装

Windows 10 64 位系统下载

Win10:界面简洁,经典易用,运行流畅,自动安装

如果您电脑遇到死机卡顿各种问题,下载安装即可解决!

视频教程:下载的系统如何安装

当前位置:首页 > windows安全 > 查杀病毒

医治Windows杀毒后遗症

查杀病毒2014-08-28 16:02:38

系统中毒后,运行杀毒软件进行杀毒这样的操作当然无可非议。但是,杀毒软件往往是根据其定义的特征码进行病毒的查杀,在完成这一切后就以为万事大吉而功成身退了。事情往往没有这么顺利,杀软把一个千疮百孔的系统留给了用户,杀毒后遗症成了我们心中永远的痛。下面我们一道就几例典型的杀毒后遗症实施医治,还原一个健康的系统。

  一、启动相关

  现象1:在杀毒完成重启系统进入桌面每次都弹出“加载xx文件时出错,找不到指定文件”的提示框。(图1)

    错误提示

  图1 加载错误提示框

  出现这种症状是因为杀毒软件清除了病毒源文件,但是没有清除其相应的注册表键值,因此在系统启动时就进行加载,因为源文件被删除因此会弹出这样的对话框,其医治方法是:

  第一方案:启动msconfig,根据启动项位置提示找到对应的项目取消勾选即可。

  第二方案:按照提示框提示的文件名称,进入注册表搜索到其加载键值删除即可。

  这些关键的注册表键值是:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

  以上的键值会出现在msconfig的“启动”项中。

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  以上的键值比较隐蔽

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "Shell"="EXPLORER.EXE,*.exe"

  *为某病毒或者木马的可执行文件,这种方法非常隐蔽,被当前的许多病毒采用

现象2:杀毒完成后无法打开常见的程序, 双击应用程序会弹出选择打开方式窗口。

  这是由于病毒修改了可执行文件的关联,往往是与自己相关联,当病毒被杀软清除后但是文件关联没有恢复因此无法运行,让用户选择打开方式,其医治方法是:

  第一步:重启按F8进入带命令行的安全模式。

[NextPage]

  第二步:进入命令提示符后执行 ftype exefile="%1" %*命令恢复即可,也可以用sreng等工具修复关联。(图2)

  sreng

  图2 具修复文件关联

  现象3:双击任何一个盘符都不能打开,只有通过右键点击选择“资源管理器”才能打开,同时右键菜单原来第一项变成“auto” (图3)

  资源管理器

  图3 文件夹的打开

  这是由于病毒为了达到运行目的,在系统盘下建立了类似autorun.inf这样的文件,然后通过该文件调用病毒源文件。在杀软清除病毒后,但是autorun.inf文件并没有清除,就会在用户出现上述现象。其医治方法是:

  第一步:建立一个批处理文件kill.bat,代码如下:

  @echo off

  cd \

  attrib -s -h -a autorun.inf

  del autorun.inf

  d:

  attrib -s -h -a autorun.inf

  del autorun.inf

  taskkill /f /im explorer.exe

  start explorer.exe

  exit

  提示:杀毒软件把系统根目录下的病毒文件清除了,但没有删除autorun.inf文件。(假设只有C、D两个分区。)如果还没有完全解决问题,进行第二步操作。

  第二步:定位注册表到

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\,把c、d项下面的有关auto的项全部删除。

  第三步:在注册表HKEY_CLASSES_ROOT\device项下删除shell子项,这样就能正常打开所有硬盘分区。

  现象4:杀毒后无法进入桌面,或者提示桌面加载错误,有时候甚至无法进入系统 。

  产生这种症状的原因是,在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下有2个键值 Userinit原值是"Userinit"="userinit.exe," Shell的原值是"Shell"="EXPLORER.EXE",如果这两个值被病毒修改,而杀毒软件没有修复的话,就会不能进入系统的桌面。其医治方法是:

  第一步:在系统无法进入桌面时通过组合键“Ctrl+Alt+Del”调出“任务管理器”,然后运行“explorer.exe”,进入桌面。

[NextPage]

  第二步:按照上面的说明恢复注册表键值。(图4)

 恢复注册表

  图4 恢复注册表键值

 

 现象5:在杀毒后很多安全程序无法使用。

  造成这种症状的原因是,杀毒软件杀毒不够彻底,系统中还有一些病毒遗留文件,由于这些文件造成了某些安全软件无法运行。其医治办法是:

  第一步:创建一个批处理文件del.bat,代码为:

  @echo off

  del /f /a /q \\?\%1

  rd /s /q \\?\%1

  exit

  提示:以上的命令是强制删除所有文件和目录。把del.bat文件复制到有病毒的文件目录,然后将类似w32sys.dll的文件或者类似arp这样的文件夹拖到del.bat文件上即可,如果还不行就执行第二步。(图5)

  删除文件目录

  图5 删除无效文件和目录

[NextPage]

  第二步:在命令提示符下执行如下命令:

  for /f "tokens=*" %%i in ('dir /a /b /s c:\progra~1\w32sys.dll') do rd /s /q %%i

  提示:假设w32sys.dll是病毒文件,上面的命令的意思是删除c:\progra~1\目录下所有子目录中的w32sys.dll文件。

 二、系统相关

  现象1:系统无法显示隐藏文件

  系统无法显示显示隐藏文件,原因是病毒为了保护自身,设置自己为隐藏文件然后修改或者删除相应的注册表键值,而杀毒软件在清除病毒后并没有恢复该注册表键值,使得无法通过“文件夹选项”设置并查看系统中

标签:
医治Windows杀毒后遗症
关注微信 关注电脑粉 立即获取
Win7/8/10通用密钥
以及Office资源

Copyright ©2018-2020 win7.credit189.com 京ICP备14010074号-17