中毒后遗症 妙手来清除 （一）

xz9510

电脑病毒的危害性大家应该都体验过了，那么中毒后，自然是杀毒，不过杀完毒后也常常会给我们带来一些麻烦。建议阅读本文之前，你先了解一些手动杀毒的知识。
手动解决病毒的能力是区分菜鸟和高手的标志之一。因为杀毒软件仅能杀毒，但是很多病毒除了破坏行为外，还会对系统产生影响，大致表现为残留文件及修改系统文件、注册表。

对于“残留问题”，一般表现为残留病毒副本文件，残存服务、键值等。而所谓的修改系统，一般指修改文件关联、添加启动键值等。
病毒种类繁多，破坏手段也是各自相异，很难总结出一个通性通法来处理所有问题。但是实践证明尽量多的积累手动处理病毒的经验方法是十分必要的，除非你愿意每次中毒都重装系统。

病毒都干了些什么？

虽然新病毒层出不穷，但其破坏手段是有共性一面的(当然病毒未必是“破坏”这些目标，只是借助于修改这些系统关键文件来更好实现自身某些行为):修改系统配置文件、修改注册表、修改文件关联、捆绑文件、修改本地HOST文件(常见于恶意网页实现自己的恶意指向)。

由于病毒修改了上述文件，而一些杀毒软件不能修复这些错误，所以可能会出现以下问题:

1.启动系统后，提示XXX文件找不到;
2.不能进入系统(可能是不能启动或者不能进入系统界面);
3.可以进入系统，但是系统提示错误(文字提示或系统报错声音提示，可通过“事件查看器”查看没有正确启动的服务);
4.文件关联错误，文件不能正常打开;
5.网络功能不正常，比如不能正常升级病毒库或浏览网页(由于修改了HOST文件，造成错误的指向)。
修复被病毒破坏的系统

明白了一般病毒的典型破坏办法，我们总结病毒“后遗症”的解决办法如下:

1.找不到文件

遇到这种情况，根据不同系统，需要注意的内容也不同。
Windows 9x/Me:系统目录中Win.ini的[windows]字段下load=和run=两项后面是否为空白(如果有，则删除去);系统目录中System.ini的[boot]字段下shell=EXPlorer.exe项及[386Enh]字段也是应该注意的。上述位置修改后，如问题没有解决，就要用Windows安装盘覆盖安装一次，进行修复了。
Windows 2000/XP:应注意的文件有Autoexec.bat、Config.sys以及Winstart.bat，除此之外，还有一些加载项已经移动到注册表中，需要注意的注册表项有:
[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows]，其下的Load键就是自动加载的项目命令行，默认键值应为空。
[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon]，其下的shell键就是系统“外壳”，其默认键值应该为“C:\Windows\explorer.exe”(不含引号)。
[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run]，每个键值对应一个自启动程序，对所有用户长期有效，如果进入系统后，马上弹出有文件未找到，但系统的运行没有问题，遇到这种情况，你就需要在此项中修改了。当然，除此注册表中的内容外，还要注意“开始”菜单中“启动”项下的内容。
[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices]，所有用户长期有效，默认Windows 2000专业版有此项，默认为空白，Windows XP无此项，如果出现可以删除。