安全專家實戰：殺病毒挽救病入膏肓的系統

　　今天用清理專家處理了一台病入膏肓的電腦，善用清理專家可以大大減少系統重裝的機會。

　　現象：WindowsXP Pro，輸入登錄口令後，不能顯示桌面。

　　排錯經過：

　　1.正常啟動系統，輸入登錄口令後，按ctrl+alt+del，調用任務管理器，文件菜單下創建新任務。輸入c:windowssystem32dllcacheexplorer.exe成功進入桌面。（現在流行的木馬，不以破壞系統為目的，通常c:windows目錄下的explorer.exe被破壞或刪除時，dllcache下備份的同名文件是可以還原回去的。）

　　2.登錄後發現原有的右鍵菜單被修改，比如我的電腦上右鍵，只剩下創建快捷方式，大部分管理功能不可用。運行幾個常備的修復工具，均在雙擊後被病毒刪除，該電腦上的殺毒軟件早已損壞。

　　3.在帶毒的系統中做注冊表修復通常會失敗，手動改肯定沒有病毒程序快。

　　4.重啟系統，用WINPE光盤引導，啟用注冊表編輯器，手動修改常規加載項（多達數10個），刪除映像劫持的修改項（幾乎所有安全相關的工具軟件均被劫持）。

　　5.重啟用硬盤上的Windows XP引導，重命後執行U盤(隨身備有一個修復工具盤）上的sreng，被刪除。執行磁碟機專殺7.4，還好，這個沒問題，可正常運行。很快查出一堆問題，提示有AV終結者、8749、破壞的安全模式等等約10多項異常。隨後專殺工具運行特征碼查殺其它病毒，當然，這個病毒庫非常小，只能殺10多種auto病毒，AV終結者的變種。

　　6.同時運行kavdx，很快發現大量exe被感染，完整掃描完大約花了30分鐘，查殺的病毒數量近300個。因kavdx只能清除病毒，無法修復病毒修改的注冊表項，打算用清理專家來解決。

　　在專殺工具和kavdx能執行的同時，執行U盤上的清理專家失敗。顯然，內存中還是有病毒在干擾清理專家的執行。

　　7.待磁碟機專殺和kavdx掃描完畢，嘗試將最新的毒霸2008安裝包COPY到硬盤安裝，（有時，在中毒的情況下安裝殺毒軟件會失敗，在本例經過磁碟機專殺和kavdx預處理過的系統中，安裝和升級都很順利）

　　8.重啟電腦後，嘗試啟動清理專家成功（感覺這還是要歸功於磁碟機專殺的修復功能），令人驚訝的是，清理專家在這台電腦上發現了20多個惡意軟件的特征，簡直是個病毒集中營。同時，觀察到毒霸實時監控在不斷嘗試清除一個onlinegame盜號木馬，清除後，不久，病毒再次出現。顯然，該電腦上還有木馬下載器運行。待清理專家將近20個惡意軟件清除完畢，提醒要重啟電腦時，暫不重啟。

　　9.使用清理專家在線安全診斷功能，在全面檢測中，發現若干個未知項。通過辨別文件的屬性，將那些判斷為不太正常的軟件加載項修復。在清理專家百寶箱中，使用系統修復插件，發現IE搜索項、LSP等異常，選中後，點修復，根據清理專家的提示重啟。

　　10.重啟電腦，再次使用清理專家檢查，這次只發現3個惡意軟件的特征，再全部選中，清除後，又一次提示需要重啟清除。按提示要求重啟電腦，重復檢查惡意軟件及在線診斷加載項均未發現異常。此時，毒霸的實時監控也不再報告有新的木馬。

　　至此，修復過程結束，一個看起來崩潰的電腦就修復了。

　　可能有不少朋友會說，這樣的電腦修它干什麼，重裝比修復還要快。

　　需要提醒的是，這位朋友大致沒有考慮完全恢復系統設置和文檔的時間，通常這些完全恢復到正常狀態，恐怕需要好幾個小時。搞不好，還是會丟失一些數據，重裝系統真讓人厭倦。