在电脑病毒“日新月异”的今天,经常杀毒是每一个电脑用户无奈的选择。经过漫长的查杀,病毒到是没有了,可麻烦事也接踵而至。不是提示文件丢失,就是文件关联错误……我们可以把上述系统故障统称于“杀毒后遗症”。那么该如何医治杀毒后遗症呢?
一、找不到文件
杀毒完成后,进入系统,提示某某文件丢失(如图1)。遇到这种情况,应根据不同情况做出不同的处理
1.第一种情况是病毒程序向注册表的自启动项中加入了相关键值,而杀毒过程中,清除了病毒程序,却没有删除掉注册表中的相关内容,从而启动机器后会提示文件丢失。例如:五毒虫病毒会向注册表的[HKEY_CURRENT _USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]中添加"run"="RAVMOND.exe"键,而杀毒软件清除病毒后,并不会删除该键,因此进入系统后,会提示找不到文件“RAVMOND.exe”。对于这种假性的文件丢失,我们只需要将注册表的自启动项中将相关键值删除就可以了。需特别关注的有如下几个键值:
(1)[HKEY_CURRENT_USER
\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键就是自动加载的项目命令行,默认键值应为空。
(2)[HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows NT\CurrentVersion\Winlogon],其下的shell键就是系统“外壳”,其默认键值应该为“C:\Windows\eXPlorer.exe”(不含引号)。
(3)[HKEY_LOCAL_MACHINE
\Software\Microsoft\ Windows\CurrentVersion\Run],每个键值对应一个自启动程序,如果进入系统后,马上弹出有文件未找到,但系统的运行没有问题,遇到这种情况,根据提示丢失的文件名,一般在这里均可找到病毒残留的注册表项,删除即可。
另外,还要注意开始菜单中的自启动项,以及[HKEY_
CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]注册表分支。
2.第二种情况是病毒破坏了系统文件,而杀毒程序又删除了被病毒感染的系统文件,从而造成开机提示文件丢失的情况。遇到这种情况,我们只需根据提示,记下丢失的文件名,然后从其它运行正常的系统中拷贝一同名文件,覆盖到原文件目录中即可。也可以直接从安装光盘提取。如果你不知道丢失的文件具体在那个目录或者是丢失的文件太多,那么可以在“运行”对话框中输入并执行“Sfc /scannow”命令,回车后系统就会启动“Windows文件保护”程序,并提示插入Windows系统光盘,然后开始进行扫描(如图2)。扫描完成后丢失或损坏的系统文件就全部完好如初了;如果系统无法启动到桌面,就需要用安装光盘启动到故障恢复控制台下,用Expand命令来释放文件了。
二、文件关联错误
修改常见文件的关联是病毒惯用的伎俩,杀毒完成后很多文件的关联都出现了错误。例如查杀关联EXE文件的木马后,会破坏系统中所有EXE可执行程序的关联,导致无法启动任何程序。查杀“冰河”后,双击任意一个TXT文档,系统就会弹出没有程序关联的提示。那么该如何修复被破坏的文件关联呢?
1.文本型文件的关联被破坏。遇到双击任意一个TXT文档,出现没有程序关联的提示这样的问题(如图3),我们可以采取如下方法来修复,右击任意TXT文档并选择“打开方式”→“选择程序”,然后单击“浏览”并选择“c:\windows\notepad.exe”,同时勾选“始终用选择的程序打开这种文件”(如图4),确认后即可修复。
2.EXE文件的关联被破坏。如果出现双击EXE文件,无法执行的情况,可以肯定是EXE文件的关联被病毒所破坏,我们可以采取以下方法来修复。
方法一:命令提示符法
[1] [2]
在命令提示符依次键入并执行如下命令即可完成:ftype exefile="%1"%*。如果无法调出命令提示符窗口,可以新建一个TXT文档,输入“c:\windows\system32\cmd.exe”并保存为BAT文件,然后将BAT文件添加到开机脚本中,重启系统后就可以在“命令提示符下”使用ftype命令(ftype exefile="%1"%*)来修复文件关联了。
方法二:注册表法
打开记事本,录入以下内容,录入完毕,另存为“.REG”文件,双击导入即可:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\
open\command]
@="\"%1\" %*"
(出处:http://www.sheup.com)
[1] [2]