让系统重回“正轨”

■

通用方法

要想让系统运行重回“正轨”，必须要分析网络病毒的破坏行为，弄清楚它究竟对系统的哪些位置进行过修改，之后有针对性地恢复系统设置才行。现在本文就借助Fileman、Regshot这两款外力工具，来寻找病毒的破坏痕迹。

大家知道，计算机系统被病毒攻击后运行不正常的时候，是很容易找到病毒文件的，毕竟大多数网络病毒都会向计算机硬盘中写入能自动发作的病毒文件。例如，病毒常常会向系统分区写入病毒文件，只要进入DOS命令行窗口，使用“dir C:ah”命令（如图1所示），我们就能查看到所有具有隐藏属性的可执行文件，其中使用了陌生名称的exe文件，很可能就是具体的病毒文件。

图1 DOS命令行窗口

一旦确认某个可疑文件就是病毒文件后，就能通过Fileman、Regshot这两款外力工具，监控它们对系统的攻击痕迹，其中Fileman工具能帮助用户监控到病毒文件在计算机硬盘读写了哪些内容，而Regshot工具能通过多次抓取比对的方式，监控到病毒文件对系统注册表进行了哪些恶意修改。在使用Fileman工具监控病毒文件的读写痕迹时，可以先开启它的运行状态，这时它会自动运行监控功能，使用“Ctrl+E”快捷键暂停该功能，以防生成的监控记录太多，不利于后续的分析操作。依次点击“选项”、“过滤/高亮”，导入之前发现的病毒文件，同时在“排除”文本框中输入“explorer.exe”，确保监控操作更有针对性。设置操作结束后，再次使用“Ctrl+E”快捷键恢复程序的监控功能，这样特定病毒文件的操作痕迹就处于它的监控之下了。下面启动Regshot工具，按下对应程序界面中的“摄取1”按钮，过一段时间后，获取得到病毒没有发作之前的注册表状态信息，该信息作为以后的比对标本。

做好之前的准备工作后，现在尝试手工执行病毒文件，待到其在计算机中充分得到释放时，按Regshot工具界面中的“摄取2”按钮，再次获得系统注册表的状态信息，之后点击“比较”按钮，这样Regshot工具就会自动对病毒运行前后的系统注册表进行比对，比对的结果会以html或txt格式文件输出，打开该文件我们就能知道网络病毒对系统注册表进行了哪些修改。在该工具的导出结果中，位于“增加值”处的内容，多半是病毒运行时留下的痕迹，确认无误后应该及时删除它们。而病毒在系统注册表中修改过的键值内容，都会出现在“修改值”位置处，显示在前面的一半是原始键值，显示在后面的是病毒修改的数值，这时我们必须根据原始值内容，将修改后的系统注册表及时还原过来。

图2 标签设置页面

与此同时，我们要及时按下Fileman工具中的“Ctrl+E”快捷键，让其监控功能停止运行，以避免产生大量的监控结果，增加数据分析的难度。即使得到的监控数据有很多，我们也不用太紧张，只要重点关注操作请求为“Write”、“Create”的记录就行，这两项操作往往是病毒在计算机硬盘中释放文件的痕迹，根据对应操作记录的“路径”信息，我们就能判断出病毒释放文件的具体位置。这时，可以进入系统任务管理器窗口的进程页面，将病毒进程强行终止后，再到病毒释放文件的文件夹窗口，删除病毒残留文件即可。对于无法停止的病毒进程，不妨使用“冰刃”之类的强力工具将其关闭运行。经过上述处理之后，再配合杀毒软件的操作，多半就能确保系统在杀毒后能正常工作了。

具体方法

上面的方法操作起来比较麻烦，而且不一定对所有病毒攻击有效。其实，很多病毒的攻击特征非常明显，根据攻击现象我们基本就能判断出是什么类型的病毒，而手工解决这类病毒的攻击后遗症，也有多种方法可以使用。

1.删除隐藏文件

在对计算机杀毒后，有的时候会遇到移动硬盘双击打不开的现象，每次杀毒操作结束后，都要重新进行格式化操作，才能通过双击鼠标方式打开移动硬盘。这种不正常现象，主要是U盘病毒残留的autorun.inf文件引起的，杀毒软件在工作的时候，虽然将这种类型病毒的主文件成功清除掉了，但是对该病毒释放的autorun.inf文件，它却不能将其一并删除。日后，当我们尝试通过双击鼠标方式，打开移动硬盘窗口时，Windows系统扫描到了autorun.inf文件，而没有发现该文件open项指定的可执行文件，所以双击操作自然无法打开移动硬盘窗口。

要想让优盘病毒清除后的系统恢复正常，只要先在移动硬盘图标上点击鼠标右键，从弹出的右键菜单中选中“资源管理器”命令，进入系统资源管理器窗口。依次点击“工具”、“文件夹选项”命令，切换到文件夹选项设置框。选择“查看”标签，进入如图2所示的标签设置页面，选中“显示所有文件和文件夹”选项，确认后返回移动硬盘窗口。这时，隐藏在移动硬盘根目录下的autorun.inf文件会自动显示出来，手工将其删除掉。日后，我们就可以通过双击鼠标方式打开移动硬盘了，而不需要进行格式化了。

2．调整文件关联

杀毒操作结束后，常用的TXT、CHM、BMP、DOC 等类型文件，有时会无法打开，用鼠标双击对应文件图标，Windows系统会弹出选择打开方式对话框。出现这种不正常现象，主要是网络病毒偷偷篡改了可执行文件的关联，一般是与病毒程序相关联，一旦病毒程序被杀毒软件成功删除后，文件关联不能自动恢复，所以就产生了让用户自行选择打开方式的现象。

图3 输入字符串

处理这种现象的一般方法是，将计算机系统重新启动到支持命令行状态的安全模式中，在命令提示符状态下输入“ftype exefile="%1" %*”字符串命令（如图3所示），就能修复文件关联了。

对于修复特定类型文件的关联设置时，也可以通过修改系统注册表相关键值的方法来进行。例如，要恢复CHM类型文件的关联时，可以依次点击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“regedit.exe”命令，打开系统注册表编辑窗口。在该窗口的左侧列表中，将鼠标定位到注册表节点“HKEY_CLASSES_ROOTchm.fileshellopencommand”上，双击目标节点下的“默认”键值，在其后弹出的对话框中，检查其数值是否为“"%SystemRoot%hh.exe"%1”，如果不是的话，应该及时将其调整过来即可。

当然，为了防止病毒日后继续非法修改这种关联设置，我们可以用鼠标右击“command”节点选项，从右键菜单中选择“权限”命令，切换到对应节点选项权限编辑框，在这里仅保留everyone用户账号，其他账号全部删除，同时为everyone用户账号赋予只读权限，删除其他各种权限。

修改主页设置

在成功杀毒后，IE浏览器的主页内容可能会变得不正常，这主要是病毒将恶意内容隐藏在主页设置背后，日后用户只要打开IE浏览器窗口，它们有可能会“卷土重来”。要将IE浏览器主页内容恢复正常，我们不妨进行如下设置操作：

首先依次单击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“regedit.exe”命令，开启系统注册表编辑器运行状态。在该界面的左侧显示区域处，将鼠标定位到注册表节点“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”上，找到目标节点下的“Start Page”键值，用鼠标双击该键值，弹出如图4所示的编辑键值对话框，将病毒指定的站点地址删除，输入自己需要设定的主页地址，确认后退出设置对话框。为了防止病毒再次修改主页设置，再次选中“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tI n t e r n e t ExplorerMAIN”注册表节点，从编辑窗口菜单栏中逐一点击“编辑”、“权限”选项，打开对应节点选项的权限编辑对话框，从“组或用户名称”列表中，添加好“everyone”账号，将其“读取”权限设置为“允许”，将其他权限设置为“拒绝”，同时删除其他一些陌生的用户账号，单击“确定”按钮保存设置操作。

同样地，依次展开注册表节 点“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”，将该节点下的“Start Page”键值，也修改为自己想要设定的网站地址。同时，打开目标节点的权限编辑对话框，选中并导入“everyone”用户账号，将该账号设置为“只读”权限，并删除其他陌生账号，防止网络病毒再次修改对应键值。

4．移植相关键值

网络病毒程序为了保护自身安全，经常会悄悄删除或篡改与系统安全模式有关的注册表键值，造成普通用户不能进入安全模式，对病毒程序进行彻底地查杀操作。杀毒软件在成功清除病毒文件后，被破坏的与安全模式有关注册表键值不会自动恢复正常，我们必须按照如下步骤操作，才能让杀毒后的系统重回“正轨”：

图4 编辑键值对话框

图5 鼠标定位注册表节点

图6 注册表节点

首先从局域网中找一台工作状态正常的计算机系统，依次点击“开始”、“运行”命令，弹出系统运行对话框，在其 中 执 行“regedit.exe”命令，开启系统注册表编辑器运行状态。在该界面的左侧显示区域处，将鼠标定位到注册表节点“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot”上，如图5所示。

依次单击注册表编辑窗口中的“文件”、“导出”命令，弹出文件选择对话框，将上述节点内容保存为“aaa.reg”文件。将该文件拷贝到系统运行有异常的计算机中，再次打开系统注册表编辑窗口，依次点击“文件”、“导入”命令，选中并添加“aaa.reg”文件，将正常的安全模式注册表键值导入进来，再重新启动计算机系统，就能让杀毒后的系统正常切换到安全模式状态了。

5．恢复显示功能

有的时候，计算机系统不能正常显示具有隐藏属性的文件，这主要是病毒木马程序为了隐藏自身，在将自己设置为隐藏属性后，悄悄调整或者删除显示隐藏文件的注册表键值。当杀毒软件成功清除病毒木马文件后，之前被偷偷篡改的相关注册表键值，无法自动恢复到以前状态，这样我们自然就不能使用“文件夹选项”设置，来显示查看计算机系统中的隐藏文件。

要让这种不正常现象重回“正轨”，首先需要点击键盘上的“Ctrl+Alt+Del”快捷键，调出系统任务管理器窗口，切换到进程标签页面，检查其中是否有陌生进程存在，如果看到的话，必须及时选中并右击它，点击快捷菜单中的“结束进程”命令。

其次，逐一点击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“regedit.exe”命令，开启系统注册表编辑器运行状态。找到注册表 节 点“HKEY_LOCAL_MACHINESoftwareM i c r o s o f tw i n d o w sCurrentVersionexplorerAdvancedFolderHiddenSHOWALL”（如图6所示），将该节点下的“CheckedValue”键值删除。再打开该节点的右键菜单，依次点击“新建”、“Dword值”命令，将新创建的双字节键值取名为“CheckedValue”，同时将其数值设置为“1”，重新启动计算机系统后，我们就能在文件夹选项设置框中，正常选择“显示所有隐藏文件”和“显示系统文件”选项了。