讓系統重回“正軌”

■

通用方法

要想讓系統運行重回“正軌”，必須要分析網絡病毒的破壞行為，弄清楚它究竟對系統的哪些位置進行過修改，之后有針對性地恢復系統設置才行?，F在本文就借助Fileman、Regshot這兩款外力工具，來尋找病毒的破壞痕跡。

大家知道，計算機系統被病毒攻擊后運行不正常的時候，是很容易找到病毒文件的，畢竟大多數網絡病毒都會向計算機硬盤中寫入能自動發作的病毒文件。例如，病毒常常會向系統分區寫入病毒文件，只要進入DOS命令行窗口，使用“dir C:ah”命令（如圖1所示），我們就能查看到所有具有隱藏屬性的可執行文件，其中使用了陌生名稱的exe文件，很可能就是具體的病毒文件。

圖1 DOS命令行窗口

一旦確認某個可疑文件就是病毒文件后，就能通過Fileman、Regshot這兩款外力工具，監控它們對系統的攻擊痕跡，其中Fileman工具能幫助用戶監控到病毒文件在計算機硬盤讀寫了哪些內容，而Regshot工具能通過多次抓取比對的方式，監控到病毒文件對系統注冊表進行了哪些惡意修改。在使用Fileman工具監控病毒文件的讀寫痕跡時，可以先開啟它的運行狀態，這時它會自動運行監控功能，使用“Ctrl+E”快捷鍵暫停該功能，以防生成的監控記錄太多，不利于后續的分析操作。依次點擊“選項”、“過濾/高亮”，導入之前發現的病毒文件，同時在“排除”文本框中輸入“explorer.exe”，確保監控操作更有針對性。設置操作結束后，再次使用“Ctrl+E”快捷鍵恢復程序的監控功能，這樣特定病毒文件的操作痕跡就處于它的監控之下了。下面啟動Regshot工具，按下對應程序界面中的“攝取1”按鈕，過一段時間后，獲取得到病毒沒有發作之前的注冊表狀態信息，該信息作為以后的比對標本。

做好之前的準備工作后，現在嘗試手工執行病毒文件，待到其在計算機中充分得到釋放時，按Regshot工具界面中的“攝取2”按鈕，再次獲得系統注冊表的狀態信息，之后點擊“比較”按鈕，這樣Regshot工具就會自動對病毒運行前后的系統注冊表進行比對，比對的結果會以html或txt格式文件輸出，打開該文件我們就能知道網絡病毒對系統注冊表進行了哪些修改。在該工具的導出結果中，位于“增加值”處的內容，多半是病毒運行時留下的痕跡，確認無誤后應該及時刪除它們。而病毒在系統注冊表中修改過的鍵值內容，都會出現在“修改值”位置處，顯示在前面的一半是原始鍵值，顯示在后面的是病毒修改的數值，這時我們必須根據原始值內容，將修改后的系統注冊表及時還原過來。

圖2 標簽設置頁面

與此同時，我們要及時按下Fileman工具中的“Ctrl+E”快捷鍵，讓其監控功能停止運行，以避免產生大量的監控結果，增加數據分析的難度。即使得到的監控數據有很多，我們也不用太緊張，只要重點關注操作請求為“Write”、“Create”的記錄就行，這兩項操作往往是病毒在計算機硬盤中釋放文件的痕跡，根據對應操作記錄的“路徑”信息，我們就能判斷出病毒釋放文件的具體位置。這時，可以進入系統任務管理器窗口的進程頁面，將病毒進程強行終止后，再到病毒釋放文件的文件夾窗口，刪除病毒殘留文件即可。對于無法停止的病毒進程，不妨使用“冰刃”之類的強力工具將其關閉運行。經過上述處理之后，再配合殺毒軟件的操作，多半就能確保系統在殺毒后能正常工作了。

具體方法

上面的方法操作起來比較麻煩，而且不一定對所有病毒攻擊有效。其實，很多病毒的攻擊特征非常明顯，根據攻擊現象我們基本就能判斷出是什么類型的病毒，而手工解決這類病毒的攻擊后遺癥，也有多種方法可以使用。

1.刪除隱藏文件

在對計算機殺毒后，有的時候會遇到移動硬盤雙擊打不開的現象，每次殺毒操作結束后，都要重新進行格式化操作，才能通過雙擊鼠標方式打開移動硬盤。這種不正常現象，主要是U盤病毒殘留的autorun.inf文件引起的，殺毒軟件在工作的時候，雖然將這種類型病毒的主文件成功清除掉了，但是對該病毒釋放的autorun.inf文件，它卻不能將其一并刪除。日后，當我們嘗試通過雙擊鼠標方式，打開移動硬盤窗口時，Windows系統掃描到了autorun.inf文件，而沒有發現該文件open項指定的可執行文件，所以雙擊操作自然無法打開移動硬盤窗口。

要想讓優盤病毒清除后的系統恢復正常，只要先在移動硬盤圖標上點擊鼠標右鍵，從彈出的右鍵菜單中選中“資源管理器”命令，進入系統資源管理器窗口。依次點擊“工具”、“文件夾選項”命令，切換到文件夾選項設置框。選擇“查看”標簽，進入如圖2所示的標簽設置頁面，選中“顯示所有文件和文件夾”選項，確認后返回移動硬盤窗口。這時，隱藏在移動硬盤根目錄下的autorun.inf文件會自動顯示出來，手工將其刪除掉。日后，我們就可以通過雙擊鼠標方式打開移動硬盤了，而不需要進行格式化了。

2．調整文件關聯

殺毒操作結束后，常用的TXT、CHM、BMP、DOC 等類型文件，有時會無法打開，用鼠標雙擊對應文件圖標，Windows系統會彈出選擇打開方式對話框。出現這種不正?，F象，主要是網絡病毒偷偷篡改了可執行文件的關聯，一般是與病毒程序相關聯，一旦病毒程序被殺毒軟件成功刪除后，文件關聯不能自動恢復，所以就產生了讓用戶自行選擇打開方式的現象。

圖3 輸入字符串

處理這種現象的一般方法是，將計算機系統重新啟動到支持命令行狀態的安全模式中，在命令提示符狀態下輸入“ftype exefile="%1" %*”字符串命令（如圖3所示），就能修復文件關聯了。

對于修復特定類型文件的關聯設置時，也可以通過修改系統注冊表相關鍵值的方法來進行。例如，要恢復CHM類型文件的關聯時，可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“regedit.exe”命令，打開系統注冊表編輯窗口。在該窗口的左側列表中，將鼠標定位到注冊表節點“HKEY_CLASSES_ROOTchm.fileshellopencommand”上，雙擊目標節點下的“默認”鍵值，在其后彈出的對話框中，檢查其數值是否為“"%SystemRoot%hh.exe"%1”，如果不是的話，應該及時將其調整過來即可。

當然，為了防止病毒日后繼續非法修改這種關聯設置，我們可以用鼠標右擊“command”節點選項，從右鍵菜單中選擇“權限”命令，切換到對應節點選項權限編輯框，在這里僅保留everyone用戶賬號，其他賬號全部刪除，同時為everyone用戶賬號賦予只讀權限，刪除其他各種權限。

修改主頁設置

在成功殺毒后，IE瀏覽器的主頁內容可能會變得不正常，這主要是病毒將惡意內容隱藏在主頁設置背后，日后用戶只要打開IE瀏覽器窗口，它們有可能會“卷土重來”。要將IE瀏覽器主頁內容恢復正常，我們不妨進行如下設置操作：

首先依次單擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“regedit.exe”命令，開啟系統注冊表編輯器運行狀態。在該界面的左側顯示區域處，將鼠標定位到注冊表節點“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”上，找到目標節點下的“Start Page”鍵值，用鼠標雙擊該鍵值，彈出如圖4所示的編輯鍵值對話框，將病毒指定的站點地址刪除，輸入自己需要設定的主頁地址，確認后退出設置對話框。為了防止病毒再次修改主頁設置，再次選中“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tI n t e r n e t ExplorerMAIN”注冊表節點，從編輯窗口菜單欄中逐一點擊“編輯”、“權限”選項，打開對應節點選項的權限編輯對話框，從“組或用戶名稱”列表中，添加好“everyone”賬號，將其“讀取”權限設置為“允許”，將其他權限設置為“拒絕”，同時刪除其他一些陌生的用戶賬號，單擊“確定”按鈕保存設置操作。

同樣地，依次展開注冊表節 點“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”，將該節點下的“Start Page”鍵值，也修改為自己想要設定的網站地址。同時，打開目標節點的權限編輯對話框，選中并導入“everyone”用戶賬號，將該賬號設置為“只讀”權限，并刪除其他陌生賬號，防止網絡病毒再次修改對應鍵值。

4．移植相關鍵值

網絡病毒程序為了保護自身安全，經常會悄悄刪除或篡改與系統安全模式有關的注冊表鍵值，造成普通用戶不能進入安全模式，對病毒程序進行徹底地查殺操作。殺毒軟件在成功清除病毒文件后，被破壞的與安全模式有關注冊表鍵值不會自動恢復正常，我們必須按照如下步驟操作，才能讓殺毒后的系統重回“正軌”：

圖4 編輯鍵值對話框

圖5 鼠標定位注冊表節點

圖6 注冊表節點

首先從局域網中找一臺工作狀態正常的計算機系統，依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其 中 執 行“regedit.exe”命令，開啟系統注冊表編輯器運行狀態。在該界面的左側顯示區域處，將鼠標定位到注冊表節點“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot”上，如圖5所示。

依次單擊注冊表編輯窗口中的“文件”、“導出”命令，彈出文件選擇對話框，將上述節點內容保存為“aaa.reg”文件。將該文件拷貝到系統運行有異常的計算機中，再次打開系統注冊表編輯窗口，依次點擊“文件”、“導入”命令，選中并添加“aaa.reg”文件，將正常的安全模式注冊表鍵值導入進來，再重新啟動計算機系統，就能讓殺毒后的系統正常切換到安全模式狀態了。

5．恢復顯示功能

有的時候，計算機系統不能正常顯示具有隱藏屬性的文件，這主要是病毒木馬程序為了隱藏自身，在將自己設置為隱藏屬性后，悄悄調整或者刪除顯示隱藏文件的注冊表鍵值。當殺毒軟件成功清除病毒木馬文件后，之前被偷偷篡改的相關注冊表鍵值，無法自動恢復到以前狀態，這樣我們自然就不能使用“文件夾選項”設置，來顯示查看計算機系統中的隱藏文件。

要讓這種不正?，F象重回“正軌”，首先需要點擊鍵盤上的“Ctrl+Alt+Del”快捷鍵，調出系統任務管理器窗口，切換到進程標簽頁面，檢查其中是否有陌生進程存在，如果看到的話，必須及時選中并右擊它，點擊快捷菜單中的“結束進程”命令。

其次，逐一點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“regedit.exe”命令，開啟系統注冊表編輯器運行狀態。找到注冊表 節 點“HKEY_LOCAL_MACHINESoftwareM i c r o s o f tw i n d o w sCurrentVersionexplorerAdvancedFolderHiddenSHOWALL”（如圖6所示），將該節點下的“CheckedValue”鍵值刪除。再打開該節點的右鍵菜單，依次點擊“新建”、“Dword值”命令，將新創建的雙字節鍵值取名為“CheckedValue”，同時將其數值設置為“1”，重新啟動計算機系統后，我們就能在文件夾選項設置框中，正常選擇“顯示所有隱藏文件”和“顯示系統文件”選項了。