为杀毒软件善后 打扫杀毒后的战场

　　杀毒软件根据其定义的特征码，查杀了系统中的病毒木马就万事大吉功成身退了。却把一个千疮百孔的系统留给了我们，杀毒后遗症成了我们心中永远的痛!杀软不过就是个软件，打扫杀毒后的战场，做好善后工作还得靠我们自己。

　　一. 启动相关

　　案例1：开机后桌面每次都弹出“加载xx文件时出错，找不到指定文件”的提示框。(图1)

　　图1

　　医治：

　　第一方案：启动msconfig，根据启动项位置提示找到对应的键值删除即可。

　　第二方案：按照提示框提示的文件，进入注册表搜索到加载键值删除即可。

　　关键的注册表键值：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　以上的键值会出现在msconfig的“启动”项中。

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　以上的键值比较隐蔽

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"Shell"="EXPLORER.EXE,*.exe"

　　*为某病毒或者木马的可执行文件，这种方法非常隐蔽，被当前的许多病毒采用

　　案例2：无法打开常见的程序， 系统弹出选择打开方式窗口。

　　医治：

　　第一步：重启按f8进入带命令行的安全模式。

　　第二步：进入命令提示符后执行 ftype exefile=”%1”%*命令恢复即可，也可以用sreng工具修复关联。

　　图2

　　案例3：双击任何一个盘符都不能打开，只有通过右键点击选择“资源管理器”才能打开，同时右键菜单原来第一项变成“auto” (图3)

　　图3

　　医治：

　　第一步：建立一个批处理文件kill.bat，代码如下：

　　@echo off

　　cd \

　　attrib -s -h -a autorun.inf

　　del autorun.inf

　　d:

　　attrib -s -h -a autorun.inf

　　del autorun.inf

　　taskkill /f /im explorer.exe

　　start explorer.exe

　　exit

　　提示：杀毒软件把系统根目录下的病毒文件清除了，但没有删除autorun.inf文件。(假设只有C、D两个分区。)

　　如果还没有完全解决问题，进行第二步操作。

　　第二步：定位注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\，把c、d项下面的有关auto的项全部删除。

　　第三步：在注册表下的root下 dirve下 删除shell子项

　　这样就能正常打开所有硬盘分区。