很多同學的PC都遭遇過病毒的入侵,其中總有一些“頑固分子”無法在Windows中查殺,只有進入PE系統環境才有機會將其干掉。問題是,現在很多殺毒軟件如金山、瑞星等都沒有應急啟動盤的制作,在PE下這些殺毒軟件又無法運行。那么,現在有沒有什么辦法制作免費PE殺毒盤,而且還要支持最新的UEFI啟動模式?
【解題思路】
Windows XP時代的殺毒軟件如瑞星、金山等都有制作殺毒啟動盤的功能。不過隨著Windows 7開始內置WinRE修復環境,現在殺毒軟件都沒有再提供類似功能。而且隨著UEFI啟動的普及,之前老方法制作的殺毒啟動盤也無法在UEFI環境下啟動。因此要制作類似效果的殺毒啟動盤,我們就需要使用支持UEFI啟動+可以在PE下運行的殺毒軟件。目前微軟官網提供免費的“Windows Defender 離線版”即可實現上述要求(下載地址:http://windows.microsoft.com/zh-cn/windows/what-is-windows-defender-offline)。
【解題方法】
因為需要支持UEFI啟動,所以首先要準備一個1GB的閃存盤,將其格式化為FAT32格式(這樣可以同時支持BIOS和UEFI啟動)。然后按照自己系統的版本(32位或是64位,一定要下載和當前系統一致的版本,否則后續運行會出錯,UEFI啟動只支持64位系統)到上述地址下載Windows Defender離線版。下載到的是一個制作啟動盤工具軟件,運行后即可按自己需要選擇合適的啟動盤工具如閃存盤,剩余操作按向導提示一步步完成即可(圖1)。
圖1 制作USB啟動盤
完成啟動盤的制作后,系統會自動將所需的文件復制到閃存盤。打開閃存盤后可以看到這個殺毒啟動盤實際上就是一個“PE系統+自啟動MSE殺毒”組合,其中的“sources\boot.wim”即為啟動盤的核心文件(圖2)。
圖2 查看啟動盤文件結構
現在按提示重啟電腦選擇從閃存盤啟動,成功加載文件后就會自動啟動MSE離線版,它的使用和在正常Windows下是一樣的,點擊“立即掃描”即可進行全盤掃描(圖3)。
圖3 啟動MSE進行殺毒
不過使用閃存盤殺毒雖然簡單,但是每次殺毒都要借助閃存盤總是不便。對于沒有閃存盤的用戶,我們可以將MSE離線殺毒直接集成到當前硬盤上使用。如上所述,啟動盤核心是其中的Boot.wim文件,因此我們只要在本地BCD配置文件上添加上殺毒啟動即可。菜單的添加借助Bootice.exe完成。
首先在資源管理器中打開上述啟動盤,然后將全部文件復制到任意分區根目錄下如“K:\”(如果要支持UEFI啟動,則要將文件復制到FAT格式的分區)。運行Bootice.exe后切換到BCD編輯,點擊“添加→WIM啟動”,依次作如下設置并保存(圖4):
啟動磁盤:當前硬盤
啟動分區:復制啟動文件所在的分區
設備文件:\sources\boot.wim
SDI文件:\boot\boot.sdi
菜單標題:MSE離線殺毒
啟動文件:\Windows\system32\boot\winload.exe
圖4 添加殺毒啟動菜單
小提示:
如果是UEFI啟動的電腦,這里BCD文件要選擇“FAT分區\EFI\microsoft\boot\bcd”文件進行編輯,同時啟動文件要設置為“\Windows\system32\boot\winload.efi”。這樣重啟后選擇FAT32分區啟動的UEFI菜單才能進入PE系統。
這樣重啟后在多重啟動菜單中選擇“MSE離線殺毒”即可啟動離線MSE殺毒軟件(如果是UEFI啟動,則按F12鍵在開機菜單中選擇FAT32分區啟動的UEFI菜單),剩余的操作同上。
需要注意的是,因為MSE病毒庫更新是和系統更新一起,我們無法手動提取已經升級了的病毒庫。因為啟動盤中的mpam-fe.exe(64位系統對應為mpam-fex64.exe)則為離線病毒庫,32位系統到http://dwz.cn/cfan102(已作縮短處理)下載最新病毒庫(若是64位系統,則到http://dwz.cn/2ZlVr2下載)。因此對于閃存盤用戶,需要使用最新病毒庫殺毒時,只要到上述位置下載文件,然后替換啟動盤中的同名文件即可,無需再次制作啟動盤。
、在文件類型中重新設置打開方式(以XP為例)
打開 我的電腦--工具--文件夾選項--文件類型,找到“驅動器”或“文件夾”(具體選哪個根據你所遇問題,若屬于雙擊打不開驅動器則選擇“驅動器”,打不開文件夾則選擇“文件夾”)。點下方的“高級”,在“編輯文件類型”對話框里的“新建”,操作里填寫“open”(這個可隨意填寫,如果有“open”且指向的是其他陌生的.exe文件則有可能指向的是木馬,則選擇“編輯”),用于執行操作的應用程序里填寫explorer.exe,確定。隨后返回到“編輯文件類型”窗口,選中“open”,設為默認值,確定。現在再打開分區或文件夾看下,是不是已恢復正常?
3、注冊表法:
a、對于分區不能雙擊打開者
開始--運行--輸入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]將shell下的全部刪除,然后關閉注冊表,按鍵盤F5刷新,雙擊分區再看。
b、對于文件夾不能雙擊打開者
開始--運行--輸入regedit,找到[HKEY_CLASSES_ROOT\Directory\shell]將shell下的全部刪除,然后關閉注冊表,按鍵盤F5刷新,雙擊分區再看。
1."開始-運行",鍵入cmd后回車,進入DOS狀態,輸入C:后回車.繼爾輸入dir/a后車(沒有參數a是看不到隱藏文件的.執行a是顯示所有文件)
2.此時你會發現一個autorun.inf文件,再輸入attrib autorun.inf -s -h -r 后回車,此你說什么呢作目的是去掉autorun.inf文件的"系統"、“只讀”、“隱藏”屬性,否則無法刪除。隨后輸入del autorun.inf。
3.雙擊c盤試一下,如能打開,就OK.
4.如出現要求你定位某個命令,如ESKTOP.EXE或其它時,進入注冊表,清除注冊表中相關信息:"開始-運行",鍵入regedit,"編輯-查找-DEKTOP.EXE或其它,找到的第一個就是C盤的自動運行,刪除整個shell子鍵,完畢.
雙擊C盤,應該可以打開了!
重復以上你說什么呢作數次,解決其它驅動器的問題,為防止意外,請備份好注冊表及其它要刪除的文件.
方法二:
運行:gpedit.msc打開組策略:用戶配置:管理模板:系統:雙擊:“系統”然后找到右面:關閉自動播放:雙擊它。然后選已啟用:下面的所有驅動器:最后退出。注銷一次。或者是重啟一次就可以了。。。。
強烈建議使用第二種方法
手工清除!方法很簡單:
通過右擊,選擇打開即可進入這個磁盤單擊工具--文件夾選項--查看
進行如下設置取消選中 隱藏受保護的操作系統文件.選中.顯示所有文件和文件夾確定.
即可看到盤根目錄下有個AUTORUN.INF文件,將其刪除,其他盤也使用右鍵打開,然后也能看到這個autorun.inf文件,將其刪除
然后打開任務管理器,將explorer.exe結束,
然后單擊文件,新任務,輸入explorer回車即可
如果 文件夾選項這樣設置了.還是無法顯示隱藏的系統文件那么極大的肯能是病毒修改了注冊表.使得隱藏文件無法顯示可以通過修改注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001來恢復
如果不想修改注冊表可以通過開始.運行.cmd輸入:
attrib d:\autorun.inf -h -s -r
del d:\autorun.inf
attrib e:\autorun.inf -h -s -r
del e:\autorun.inf
attrib f:\autorun.inf -h -s -r
del f:\autorun.inf
注:有幾個分區就用幾個這種命令...
手動刪除“sxs.exe病毒”方法:
在以下整個過程中不得雙擊分區盤,需要打開時用鼠標右鍵——打開
一、關閉病毒進程
Ctrl + Alt + Del 任務管理器,在進程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一個字母),有的話就將它結束掉
二、顯示出被隱藏的系統文件
運行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1
這里要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,并且把鍵值改為0!我們將這個改為1是毫無作用的。(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新建一個就可以了)
方法:刪除此CheckedValue鍵值,單擊右鍵 新建——Dword值——命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。
在文件夾——工具——文件夾選項中將系統文件和隱藏文件設置為顯示
三、刪除病毒
在分區盤上單擊鼠標右鍵——打開,看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件,將其刪除。
四、刪除病毒的自動運行項
打開注冊表 運行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 鍵值,可能有兩個,刪除其中的鍵值為 C:\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe
重啟電腦后,發現殺毒軟件可以打開,分區盤雙擊可以打開了。
五、后續
殺毒軟件實時監控可以打開,但開機無法自動運行
最簡單的辦法,執行殺毒軟件的添加刪除組件——修復,即可
下載橙色八月或者落雪病毒專殺工具,殺出病毒后,給每個盤符重新起名就OK了。
時候突然發現電腦上的C盤出現超大文件夾位置是C:\Documents and Settings\Administrator\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom,大多放置的是優盤上的數據,優盤可能上網下載一些資料,感染到病毒。這個文件夾以前是沒有的,最近一段時間電腦上都出現了,會在很短時間內使C盤可用空間不足,造成系統運行緩慢。
對C盤目錄下邊有個rotinom文件夾,有人認為用殺毒軟件和清理軟件清理一下,但這樣不能徹底清除,還會不止一次出現。
當 U 盤插入電腦后,即使沒有對 U 盤進行操作的情況下,指示燈不停閃爍,在 C 盤里發現了一個超多個G容量的 Rotinom 文件夾, 會把U 盤內的文件都復制到了 C : \ Documents and Settings\Adminstrator\Locol Settings\application Data\S-1-5-31-1286970278978-5713669491-166975984-320\ Rotinom 文件夾內,并且 U 盤內多了一個名為USB2.0驅動的文件夾, U 盤內又產生了和原有的文件夾名字相同的 EXE 文件,電腦和u盤同時出現大量exe文件,無法打開同名文件夾,電腦運行特別慢,說明病毒正在偷偷復制 U 盤的文件。
這是一種蠕蟲病毒,蠕蟲(worm)是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等,同時具有自己的一些特征,蠕蟲不使用駐留文件即可在系統之間進行自我復制, 蠕蟲病毒的傳染目標是互聯網內的所有計算機。
一旦系統感染蠕蟲,蠕蟲即可自行傳播,將自己從一臺計算機復制到另一臺計算機,更危險的是,還可大量復制,造成電腦運行嚴重減速,甚至死機,或造成網絡癱瘓。
手機網絡比較使用頻繁,手機連接電腦或優盤,造成電腦產生蠕蟲,局域網條件下的共享文件夾、電子郵件Email、網絡中的惡意網頁、大量存在著漏洞的服務器等,都會把蠕蟲傳播開來,造成危害面擴大。
蠕蟲還會消耗內存或網絡帶寬,從而可能導致計算機崩潰。蠕蟲的傳播不必通過“宿主”程序或文件(不必駐機,只要有連接就可以,就可以傳播病毒或癱瘓感
染蠕蟲的電腦。
要徹底淸理蠕蟲病毒,必須刪除Rotinom,最徹底方法:在dos界面下清理。
在開機時按F8進入安全模式(帶命令行),在開始菜單運行中輸入cmd,或開始一程序一附件一命令提示符,這些操作均是進入dos界面。
Rotinom是文件夾,要直接一次性刪除文件夾更好,有時文件夾里有些文件被損壞,造成Rotinom文件夾無法直接刪除。
用cd命令進入該文件所在目錄文件夾,在該文件夾內
要刪除文件夾內所有單獨文件不包括子文件夾用deL *.*,全部刪除所有單個文件。
進入目錄文件夾用cd命令,比如cd /feiq,命令后有一個空格再加上/號,逐步逐級進入,同時打開windows文件夾,互相對照,一步一步進入當前文件夾。
刪除Rotinom下所有文件,還有一些子文件夾要刪除。
要一次性刪除目錄下的一個個文件夾及其所包含所有文件及子文件夾。用rd /s/q命令,如rd /s/q 123,刪除123文件及所含所有東西,注意rd命令后的空格及q后面的空格。
當刪除完Rotinom所有文件及子文件夾,退回上一級目錄命令cd加兩點,如cd..,刪除文件夾內所有文件后退回Rotinom上一級目錄。
用rd /s/q /Rotinom文件夾目錄,清除病毒。
如果Rotinom文件夾下有文件損壞,不能刪除Rotinom文件夾,要刪除文件夾下能刪除的盡量刪除完,防止病毒再次出現,影響電腦運行效率。
Rotinom文件夾路徑