[yoyo007]

引用:

文章轉自：江民論壇病毒求助區原創
編輯整理：http://www.centurys.net/index.php

解決防毒軟體無法使用，無法進入安全模式。


對此方法做幾點簡單的說明：

1. 本方法為原創並且在中毒電腦上測試驗證可行！可以很輕鬆的幹掉病毒的「映像劫持」以及修復安全模式！轉載請註明【江民論壇病毒求助區原創】即可。

2. 修復過程中任何一步出錯都必須從第二步重新開始！

3. 如果病毒更新後導致 Registry Workshop 無法執行，請將 RegWorkshop.exe 更名為 [隨機字母數字組合.exe] ；WsysCheck.exe 同理。

4. WSysCheck 還可以代替檔案總管對系統內的檔案進行管理 (瀏覽、複製、剪下、刪除 ...等) ，同時 WSysCheck 也內建登錄編輯功能，可以對登錄檔進行維護。

根據很多使用各種防毒軟體的朋友反應中某些病毒後，無法使用絕大多數的防毒軟體，這是由於病毒利用了登錄檔裡的「映像劫持」；簡單點說，當防毒軟體 [a.exe] 被病毒 [b.exe] 在登錄檔裡設定了映像劫持後，每當執行 [a.exe] 就會啟動 [b.exe]。

不僅僅是防毒軟體，包括 Sreng、IceSword、Regedit、MsConfig 都無法正常使用；05-31 更新了解決方法，可以比較徹底的解決這個問題 (成功率在 95% 以上) 。

修復系統時請嚴格按照圖片說明來操作，這樣才能保證效果！

按照提示更名後請務必將下載的文件全部解壓到桌面！下載後我們會得到軟體 Regsitry Workshop、WSysCheck0525版 (我已將其改名為 l8ddp410dy.exe) 以及登錄檔修復檔 FixIFEO.reg (修復映像劫持) 和 FixSafeBoot.reg (修復安全模式) 。

註：以上檔案論壇若有需要請自行搜下網路；
　　此帖只是作為對 WsysCheck 的運用及操作簡單舉例。








這一步特別重要請認真操作。








這一步非常重要，要盡全力找到這個 7/8 位字母數字隨機組合命名的 DLL 檔案。如果這個 DLL 還載入進 Winlogon.exe，那麼請在該 DLL 上單按滑鼠右鍵選擇【新增到 Dos 移除清單】，然後執行下面的第十步內容，刪除頑固檔案，完成後進入正常系統，再從上面的第二步重新開始向下執行。

需要注意的是這個 DLL 不一定只局限於 7、8 位隨機命名的 DLL，也有可能是其它檔名的 DLL，這裡主要是要判斷陌生的 DLL 檔案，一般插入 Explorer 的病毒 DLL 包含在以下資料夾：

C:\Program Files\Common Files\Microsoft Shared 及其子資料夾、C:\Program Files\Internet Explorer 及其子資料夾、C:\WINDOWS\system32\drivers 及其子資料夾、暫存資料夾 ...等，操作時需多加判斷。





這一步也很重要，包括 Explorer.exe 以及 Iexplore.exe 都要中止。














重啟之前，有一點提示，即：請使用 WSysCheck 內建的檔案總管瀏覽各個硬碟分區，檢查其根目錄下是否存在 Autorun.inf 及陌生的 [.exe] 或 [.pif] 檔案，如果存在，請務必刪除。

至此，病毒清理工作結束。