阿利談安全之恢復被誤刪的關鍵系統文件

　　幾天前，發現一個病毒，每個分區的根目錄都有autorun.inf，看來又是一個通過U盤傳播的病毒。病毒很簡單，沒干太多壞事，只是用批處理傳播一下，改改注冊表，取消一下系統的管理員口令，以至於殺毒軟件都不把它當成是病毒。殺毒軟件殺不掉，就手工來刪。刪除時需要在每個分區的根目錄下和Windows系統目錄下刪除病毒文件，按照批處理裡修改注冊表的位置，把那幾個地方再改回來。

　　注冊表中有一個地方是

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]"Userinit"="C:\WINDOWS\system32\userinit.exe,***.exe"

　　這裡只需要把***.exe刪除即可，但我不小心把整個鍵值都刪除了，結果導致系統一啟動即注銷，無法進入系統，安全模式也一樣。

　　用另一台電腦上網查了一下，userinit.exe是Windows操作系統一個關鍵進程，用於管理不同的啟動順序，例如在建立網絡鏈接和Windows殼的啟動。注冊表的這個位置也是病毒喜歡利用的地方，可以用來實現開機病毒自啟動。一般是象本例一樣在userinit.exe後面加東西，或者干脆自己冒充userinit.exe，把真正的userinit.exe替換掉。

　　知道了原因就需要恢復注冊表裡的這一項。可是系統啟動不起來，怎麼恢復呢？想起來見過一篇文章，講如何找回丟失的XP密碼的，說是可以用腳本實現Windows在登錄屏幕出現之前運行指定的批處理。輸入“Winxp密碼，腳本恢復”google了一下，發現這篇文章被轉帖得到處都是。然而照著文章中的說法試了一下，發現並不管用。

　　文章說批處理和腳本要保存在“C:windowssystem32GroupPolicyMachineScriptsStartup”下，，然而我發現我的系統只有“C:windowssystem32GroupPolicyMachine”，再往下就沒有目錄了。手工建立了文章中要求的目錄和批處理，重啟後批處理並不運行。

　　這時，我想起了深山紅葉，這個工具盤裡面的內容很多。下載後刻了張盤，啟動後果然發現裡面有個叫“ERD Commander”的工具能改硬盤上注冊表的部分內容。雖然不是全都能改，但對我來說足夠了。系統很快恢復了正常。

　　對“ERD Commander”這個工具挺感興趣，Google了一下，並且到它的官方網站看了一下，從產品介紹裡看這個軟件在Windows系統的災難恢復方面還是能做很多事情的。在官網上還得知“ERD Commander”已經整合到“Administrator's Pak”裡面，而且現在“Administrator's Pak”已經作為微軟“Windows Vista Enterprise”的“Microsoft Desktop Optimization Pack for Software Assurance”中的一部分，也就是說，“ERD Commander”對Windows的操作，得到了微軟的官方認可。