近来有不少电脑中毒后开机蓝屏,提示Win32k.sys错误,安全模式下也如此。在PE杀毒后,故障依然。因此一般都是选择重装系统。今天刚好有空,于是尝试手工修复系统。
先到WinPE下杀毒,然后搜索系统盘的win32k.sys,有两个,一个在windows\system32文件夹下,一个在windows\system32\dllcache,将它们改名,重启后仍然蓝屏,但提示是未知硬件错误,再用windows\system32\dllcache的win32k.sys替换windows\system32的,重启后没有蓝屏,系统能够启动了。
再重启到安全模式,用System Repair Engineer软件发现有Explorer.exe和两个隐藏的启动项,用System Repair Engineer将它们删除,但隐藏的启动项又自动重现。不管它,继续在"服务"项中清除可疑服务和驱动。
然后用wsyscheck软件发现竟然有两个Explorer.exe进程,分别指向不同位置,而且有很多线程插入(其它关键进程也如此)。启用wsyscheck的"禁止线程重生"功能后,到system32文件夹下删除线程插入的dll文件本体(有些找不到的),然后卸载这些模块,由于模块实在太多,删得烦,一气之下卸掉并删除那两个Explorer.exe进程,之后再卸载其它系统进程的病毒模块。于是系统进程就"干净"了!
再次重启到安全模式,发现没有桌面图标,只有桌面背景。打开任务管理器,新建explorer.exe进程,提示说"找不到explorer.exe",使用任务管理器的"浏览"查找windows下的explorer.exe,的确不见了,原来wsyscheck软件真的kill掉它了,嘿嘿!
从别的电脑拷贝一个explorer.exe过来,重启仍然没有桌面图标,在任务管理器新建explorer.exe,仍然提示"找不到explorer.exe"。奇怪了,难道是"映象劫持"了?于是在任务管理器中新建个任务regedit.exe,打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,果然发现有个Explorer.exe项,删除它。再新建explorer.exe进程,桌面图标出来了,呵呵!然后用autoruns软件删除其它"映象劫持"(保留第一项,那是系统的)。
重启到正常模式,OK!最后修复杀毒软件,并全盘杀毒。
没有评论:
发表评论
您能评论我的帖子,能让我高兴一整天!