瑞星卡卡安全论坛技术交流区系统软件 杀马时删除了一个系统文件,造成无法登陆系统

1   1  /  1  页   跳转

杀马时删除了一个系统文件,造成无法登陆系统

收藏
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2007-04-28 12:39 | 只看楼主 短消息 资料
字号: 1楼

杀马时删除了一个系统文件,造成无法登陆系统

昨天给单位机器杀了TEL.XLS.EXE木马后,卡巴报有风险程序,提示为\drive\skkbby(记不清楚了,貌似差不多)。用搜索命令寻找到了位于c:\windows\system32\dirvers下的一个同名的.sys的文件,删除。重启后发现在用户帐户选择时,键盘输入不能(开机可以用键盘,甚至可以进入开机高级菜单)。由于超级管理员、用户帐户均设置密码,怎么也登陆不了系统了。后来猛地回想起来,被我删除的文件好象就是专门控制用户帐户键盘输入的(好象是稳得起版主说过),但具体的文件名实在记不起来了。
请教:在无法登陆系统这种情况下,如何恢复?谢谢!
最后编辑2007-04-28 20:28:59
分享到:
gototop
 
飞跃时空
头像
锋芒艾服狮
  • 帖子:1085
  • 注册: 2006-02-18
  • 来自:
发表于: 2007-04-28 12:59 | 短消息 资料
字号: 2楼

我也不太懂,请高手谈谈。
gototop
 
万恶我为首
头像
特邀体验者
  • 帖子:2749
  • 注册: 2004-10-07
  • 来自:广西柳州
发表于: 2007-04-28 14:06 | 短消息 资料
字号: 3楼

光盘引导看行不?
我也没见过
gototop
 
tspopo
头像
强壮不惑狮
  • 帖子:1075
  • 注册: 2006-10-04
  • 来自:
发表于: 2007-04-28 19:57 | 短消息 资料
字号: 4楼

这问题能难住你吗?
gototop
 
tspopo
头像
强壮不惑狮
  • 帖子:1075
  • 注册: 2006-10-04
  • 来自:
发表于: 2007-04-28 19:59 | 短消息 资料
字号: 5楼

1、首先进入安全模式,删除掉 C:\WINDOWS\system32\SocksA.exe 文件,之后删除所有盘符根目录下的autorun.inf和tel.xls.exe 两个文件,注意,一定要用鼠标右键打开每个盘符。

2、打开记事本,将以下代码copy进去,然后另存为tel.reg 文件,双击将其导入注册表。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

3、打开注册表编辑器(“开始”-“运行”-输入“regedit”),删除注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL 中的CheckedValue,然后新建一个Doword 值,将其键值设为1。

4、打开我的电脑,从“工具”菜单-“文件夹选项”中的“隐藏受保护的系统文件(推荐)”前的勾去掉。重新启动电脑即可。
找来不知能否对您有帮助。
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2007-04-28 20:24 | 只看楼主 短消息 资料
字号: 6楼

引用:
【tspopo的贴子】1、首先进入安全模式,删除掉 C:\WINDOWS\system32\SocksA.exe 文件,之后删除所有盘符根目录下的autorun.inf和tel.xls.exe 两个文件,注意,一定要用鼠标右键打开每个盘符。

2、打开记事本,将以下代码copy进去,然后另存为tel.reg 文件,双击将其导入注册表。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

3、打开注册表编辑器(“开始”-“运行”-输入“regedit”),删除注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL 中的CheckedValue,然后新建一个Doword 值,将其键值设为1。

4、打开我的电脑,从“工具”菜单-“文件夹选项”中的“隐藏受保护的系统文件(推荐)”前的勾去掉。重新启动电脑即可。
找来不知能否对您有帮助。
………………

所有模式都登陆不了系统,怎么进记事本、注册表啊?系统还原也不行啊!看来只能用ERD2003了…………
其实最悲哀的,是不知道删了哪个文件。唉!
不管怎么样,还是谢谢你。
另外:马我已经先杀了,手长删除了不该删的DD。机器没有被病毒搞死,反而被我搞定了。没有系统安装光盘、没有备份,也没有GHOST,郁闷!
gototop
 
tspopo
头像
强壮不惑狮
  • 帖子:1075
  • 注册: 2006-10-04
  • 来自:
发表于: 2007-04-28 20:29 | 短消息 资料
字号: 7楼

我只是提醒你删掉的文件,你用PE盘启动。或者故障恢复控制台。
gototop
 
tspopo
头像
强壮不惑狮
  • 帖子:1075
  • 注册: 2006-10-04
  • 来自:
发表于: 2007-04-28 20:38 | 短消息 资料
字号: 8楼

Windows XP 故障恢复控制台允许您:

使用、复制、重命名或替换操作系统文件和文件夹。
在下次启动计算机时启用或禁用服务或设备启动功能。
修复文件系统的引导扇区或主启动记录 (MBR)。
创建和格式化驱动器上的分区。
下面介绍如何使用故障恢复控制台:

将 Windows XP CD 插入到 CD-ROM 驱动器中,然后重新启动计算机。
在出现的菜单上,单击“安装 Microsoft Windows XP”。
按 R 修复所选的 Windows 安装。
在使用故障恢复控制台时,系统将提示您输入 Administrator 帐户的密码。如果您三次输入错误的密码,那么故障恢复控制台将关闭。如果包含计算机的用户帐户信息的数据库丢失或损坏,那么您将无法使用故障恢复控制台。

在输入密码且故障恢复控制台启动之后,键入 exit 重新启动计算机。故障恢复控制台有一些其他限制。有关详细信息,请参阅 Microsoft 知识库文章 314058:Windows XP 故障恢复控制台的说明
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT