科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道阿利谈安全之恢复被误删的关键系统文件

阿利谈安全之恢复被误删的关键系统文件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

几天前,发现一个病毒,每个分区的根目录都有autorun.inf,看来又是一个通过U盘传播的病毒。删除时需要在每个分区的根目录下和Windows系统目录下删除病毒文件,按照批处理里修改注册表的位置,把那几个地方再改回来。

作者:赛迪网 来源:赛迪网 2007年10月7日

关键字: 系统文件 Winlogon 系统安全 Windows

  • 评论
  • 分享微博
  • 分享邮件

几天前,发现一个病毒,每个分区的根目录都有autorun.inf,看来又是一个通过U盘传播的病毒。病毒很简单,没干太多坏事,只是用批处理传播一下,改改注册表,取消一下系统的管理员口令,以至于杀毒软件都不把它当成是病毒。杀毒软件杀不掉,就手工来删。删除时需要在每个分区的根目录下和Windows系统目录下删除病毒文件,按照批处理里修改注册表的位置,把那几个地方再改回来。

注册表中有一个地方是

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,***.exe"


这里只需要把***.exe删除即可,但我不小心把整个键值都删除了,结果导致系统一启动即注销,无法进入系统,安全模式也一样。

用另一台电脑上网查了一下,userinit.exe是Windows操作系统一个关键进程,用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。注册表的这个位置也是病毒喜欢利用的地方,可以用来实现开机病毒自启动。一般是象本例一样在userinit.exe后面加东西,或者干脆自己冒充userinit.exe,把真正的userinit.exe替换掉。

知道了原因就需要恢复注册表里的这一项。可是系统启动不起来,怎么恢复呢?想起来见过一篇文章,讲如何找回丢失的XP密码的,说是可以用脚本实现Windows在登录屏幕出现之前运行指定的批处理。输入“Winxp密码,脚本恢复”google了一下,发现这篇文章被转帖得到处都是。然而照着文章中的说法试了一下,发现并不管用。

文章说批处理和脚本要保存在“C:\windows\system32\GroupPolicy\Machine\Scripts\Startup”下,然而我发现我的系统只有“C:\windows\system32\GroupPolicy\Machine\”,再往下就没有目录了。手工建立了文章中要求的目录和批处理,重启后批处理并不运行。

这时,我想起了深山红叶,这个工具盘里面的内容很多。下载后刻了张盘,启动后果然发现里面有个叫“ERD Commander”的工具能改硬盘上注册表的部分内容。虽然不是全都能改,但对我来说足够了。系统很快恢复了正常。

对“ERD Commander”这个工具挺感兴趣,Google了一下,并且到它的官方网站看了一下,从产品介绍里看这个软件在Windows系统的灾难恢复方面还是能做很多事情的。在官网上还得知“ERD Commander”已经整合到“Administrator's Pak”里面,而且现在“Administrator's Pak”已经作为微软“Windows Vista Enterprise”的“Microsoft Desktop Optimization Pack for Software Assurance”中的一部分,也就是说,“ERD Commander”对Windows的操作,得到了微软的官方认可。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章