萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 阿利談安全之恢復被誤刪的關鍵系統文件

阿利談安全之恢復被誤刪的關鍵系統文件

  幾天前,發現一個病毒,每個分區的根目錄都有autorun.inf,看來又是一個通過U盤傳播的病毒。病毒很簡單,沒干太多壞事,只是用批處理傳播一下,改改注冊表,取消一下系統的管理員口令,以至於殺毒軟件都不把它當成是病毒。殺毒軟件殺不掉,就手工來刪。刪除時需要在每個分區的根目錄下和Windows系統目錄下刪除病毒文件,按照批處理裡修改注冊表的位置,把那幾個地方再改回來。

  注冊表中有一個地方是

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]"Userinit"="C:\WINDOWS\system32\userinit.exe,***.exe"

  這裡只需要把***.exe刪除即可,但我不小心把整個鍵值都刪除了,結果導致系統一啟動即注銷,無法進入系統,安全模式也一樣。

  用另一台電腦上網查了一下,userinit.exe是Windows操作系統一個關鍵進程,用於管理不同的啟動順序,例如在建立網絡鏈接和Windows殼的啟動。注冊表的這個位置也是病毒喜歡利用的地方,可以用來實現開機病毒自啟動。一般是象本例一樣在userinit.exe後面加東西,或者干脆自己冒充userinit.exe,把真正的userinit.exe替換掉。

  知道了原因就需要恢復注冊表裡的這一項。可是系統啟動不起來,怎麼恢復呢?想起來見過一篇文章,講如何找回丟失的XP密碼的,說是可以用腳本實現Windows在登錄屏幕出現之前運行指定的批處理。輸入“Winxp密碼,腳本恢復”google了一下,發現這篇文章被轉帖得到處都是。然而照著文章中的說法試了一下,發現並不管用。

  文章說批處理和腳本要保存在“C:windowssystem32GroupPolicyMachineScriptsStartup”下,,然而我發現我的系統只有“C:windowssystem32GroupPolicyMachine”,再往下就沒有目錄了。手工建立了文章中要求的目錄和批處理,重啟後批處理並不運行。

  這時,我想起了深山紅葉,這個工具盤裡面的內容很多。下載後刻了張盤,啟動後果然發現裡面有個叫“ERD Commander”的工具能改硬盤上注冊表的部分內容。雖然不是全都能改,但對我來說足夠了。系統很快恢復了正常。

  對“ERD Commander”這個工具挺感興趣,Google了一下,並且到它的官方網站看了一下,從產品介紹裡看這個軟件在Windows系統的災難恢復方面還是能做很多事情的。在官網上還得知“ERD Commander”已經整合到“Administrator's Pak”裡面,而且現在“Administrator's Pak”已經作為微軟“Windows Vista Enterprise”的“Microsoft Desktop Optimization Pack for Software Assurance”中的一部分,也就是說,“ERD Commander”對Windows的操作,得到了微軟的官方認可。

copyright © 萬盛學電腦網 all rights reserved