死马当成活马医－强势修复中毒的WINXP系统

昨天帮一个朋友处理病毒，对木马下载器的欺骗伎俩PF的五体投地。只是现在这些病毒太狠了，修复的过程太复杂，我估计对电脑应用不是很了解的人99%会选择重装系统。

说一下我的修复过程，没有截图。

中毒电脑的现象：

正常启动时，点击用户名，登录后立即被注销。——立即猜到userinit.exe被破坏

重启尝试进安全模式，系统自动重启。——显然病毒还破坏了安全模式。

这台电脑的光驱还是坏的，弹不出来，用回形针捅开，郁闷的是这个机箱和光驱的结构实在不怎么样，光驱托盘出来一点点边缘部分，就是拉不到。此处省略若干字。。。。。强行拉出光驱不表。

如果光驱整不好，还要打算做一个WINPE的U盘。

系统被病毒整成这样，没有windows安装盘，或没有winpe，差不多就无治了。

解决步骤：

1.WINPE光盘启动
2.选择需要修复的windows目录
3.启动ERD COMMAND，编辑注册表。
4.检查注册表发现run键值被加入多个木马，检查winlogo无异常，检查映像劫持发现几乎所有安全软件、系统修复工具被劫持，挨个手动修复完成。
5.从c:\windows\system32\dllcache中恢复userinit.exe到c:\windows\system32

6.重启电脑，系统顺利登录
7.下载清理专家2.3，下载AV终结者专杀（我喜欢用这个工具修复被破坏的安全模式，手工改注册表恢复安全模式嫌麻烦）

8.清理专家清除恶意软件，查到恶意软件7、8个，提示窗口一片红。这台电脑上的毒霸还没升级，手动执行uplive.exe和AV终结者专杀（用这个专杀恢复安全模式，其实某些破坏清理专家也可以修复掉）。此时，实时监控已经查杀了若干onlinegame木马。

9.使用清理专家在线安全诊断，全面检测的结果隐藏已知的安全项之后，发现若干个EXE和DLL在QQ的安装目录下，一个看起来象音频控制器的EXE在windows\system32目录下。有两个SYS的驱动未知，一看属性感觉不是好东西。点击该项，在弹出的快捷菜单中定位，将这两个SYS直接删除。

10.用同样的方法查看那几个与QQ相关的加载项和进程，发现都是假的。但文件属性做的和真的实在是太象了，有假冒的版本信息、版权信息，但没有数字签名。把这几个文件全部删除。重启电脑。

11.重启后，毒霸防火墙又杀了若干个onlinegame（我不习惯用全面扫描的，太费时间）。继续用清理专家检查，未发现异常。试着扫描了windows目录，无异常。

这个案例中，最关键的步骤是恢复系统的正常登录，常备一个WINPE，实在是很有用。