中毒症状:开机后跳出“windows图片和传真查看器”,所有exe文件打开方式都变成图片和传真查看器,开始菜单的软件程序图标被更改,桌面无图标,无右键菜单,只剩下一个任务栏,组策略、开始运行栏使用受限(不能使用cmd,不能修改策略,无法进入硬盘-提示无权限),有的连任务管理器也受限(如不能新建任务)。如下图例子,开机后金山清理专家的程序文件kastray.exe被用图片查看器打开,无法正常启动运行。
解决方法:用PE光盘启动,删除C:\Program Files\Common Files\Microsoft Shared\spoolve.exe(文件大小被设成几十M以达到躲避云安全检查的目的)和c:\windows\system32\explorer.exe,将c:\windows\system32\dllcache\中的explorer.exe复制到c:\windows\下,
或去找同版本的操作系统或安装光盘,复制其中正常的explorer.exe到c:\windows\。如果PE光盘附带的工具中有能打开硬盘系统注册表的就顺便找到.exe文件的关联进行修复,如果没有此工具,那么重新进入中毒系统后,修改regedit.exe为regedit.com或regedit.scr、regedit.bat,再运行进入注册表编辑器修复exe关联,如果连正常的.exe文件关联注册表值是什么也不知道,那就准备好能修复exe文件关联的工具软件,如SREng,同样进入中毒系统后修改其后缀为.com或.scr、.bat,再运行这些工具进行修复。等这些主要的修复完成,再处理修复其它残留的,全盘查杀病毒、系统修复什么的。
以上病毒症状及部分修复方法来源于电脑报论坛,其中liuxi326的修复方法也可以参考,他将regedit.exe改名为taskmgr.exe,使注册表编辑器可以打开,然后修复文件关联。另外一点,现在病毒动不动就把自己弄得有20M、40M的大小,轻意废去云安全,那么云安全又凭什么说自己可以检测病毒保护电脑呢。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1084.html
