关键词:
病毒,Trojan-PSW.Win32.,win32k.sys,winlogon.exe,AppInit_Dlls,qdsrfn.dll,卡巴斯基,蓝屏,Windows XP
问题起因:
嫌卡巴启动时频频提示故关闭之,裸奔一周有余。6月7日准备杀毒,NND,杀猪声此起彼伏,搞定,重启,蓝屏。
解决过程:
1:安全启动,蓝屏;上次正常启动,蓝屏。
2:下一步怎么办,首先要能访问系统盘,我的机子又不是双系统。嘿嘿,雨林木风装机盘派上用场了,先扫描硬盘,OK的,再进入Windows XP PE。
3:用备份win32k.sys替换,重启,依然蓝屏。
4:蓝屏故障大多是驱动或系统服务原因,再进入PE,备份注册表文件c:\windows\system32\config。打开注册表,在HKLM\SYSTEM\CurrentControlSet \Services下找到可以服务或驱动,禁用之。重启,蓝屏依旧。
5:查资料,发现我的蓝屏发生在屏幕分辨率改变(显示变得细腻),准备登录的过程中。表明驱动和服务已基本加载完毕。
6:进入PE,拷贝蓝屏的dmp文件到朋友机器,下载windbg分析,显示问题在winlogon.exe下win32k.sys,这个结果对我来说,好像毫无用处。
7:我装了很多软件,系统中还有许多证书,密码,重装就全泡汤了,所以坚决不重装。狠下心用repair下文件替换c:\windows\system32\config下文件,重启,呵呵,可以登录了,输入密码,回车。啪,跳出错误提示框说当试图更新密码时本返回状态表示所提供的当前密码不正确。失望之余感觉改注册表回复是有希望的。
8:认真想一下,驱动和服务的问题已经排除,既然winlogon.exe已经启动,说明是在登录时系统在启动某程序时故障,于是单独替换SOFTWARE文件,重启,娃哈哈,登录成功,不过,系统自动创建了新的用户目录和所有资料,这不和重装效果一样嘛。不灰心,至少方向对了。
9:接下来是个庞大的工作,注册表项逐一替换(当然是要讲点策略的啊),最终找到罪魁祸首:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls 下有异常dll,删除值。终于可以正常登录了。
10:进入系统,第一重要就是杀毒,杀了一遍,又蓝屏。原来可爱的卡巴6.0不会修改注册表中这一项。PE进入手动清除后重启,这次我不厌其烦的拒绝卡巴的提示框,杀完后重启,似乎一切OK啦。
11:后面看到网上有windows 自启动大全,其中包含HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls这一项,看来我的步骤9真的是太浪费时间了。
总结:
1:裸奔是不安全的,坚持裸奔是要付出惨重代价的。
2:卡巴主动防御的提示是很重要的,否则他是要报复的。
3:软件几乎是不死的,起死回生也是可能的。
4:蓝屏错误号基本是垃圾的。