病毒引起的win32.sys蓝屏

电脑无法进入系统,蓝屏显示 win32.sys 0X0000008E 错误,安全模式也是如此。网上查了下,win32.sys 蓝屏可能原因有 win32.sys 被破坏,或者内存问题。

用 windows PE 光盘启动到 PE 下,检查 win32.sys 与正常文件一样,应该没有问题,既然 PE 系统可以启动,那么内存也应该没问题(保险起见,也把内存条重新拔插了下,一样没有起色)。

怀疑有病毒影响系统启动。先检查了下各盘,发现了 autorun.inf 和一个它指向 sysinfo2.dll(好象是这样的,当时没记下文件名,不过只要在 autorun.inf 中出现的就要删除),是用 rundll32.exe 来调用的。

在 PE 下运行 windows 清理助手,提示找不到 urlmon.dll(后来知道了可以从硬盘的系统中直接拷 urlmon.dll 到清理助手的文件夹中,就可以运行了),只好运行 solo.exe(windows 清理助手不能用时可以另下 solo.exe 来运行)。发现四个清理项,因为是在 solo 中看不到具体内容,先清理了(含上述 autorun.inf)。重启,还是蓝屏。

继续进入 PE,删除了临时文件和 IE 缓存(木马、病毒喜欢藏的地方,默认位置在 c:\documents and settings\当前用户名\local settings\temp 和 Temporary Internet Files),并且到 c:\windows 和 c:\windows\system32 下按照创建时间和修改时间排序检查可疑文件,凡在当天或昨天创建和修改的文件均纳入怀疑对象,特别是 dll 和 exe,还有 bat 也要注意,把其中没有微软版本信息和签名名的文件全部删除(建议备份先,你要删除错了,别怪我)。

其中发现一个 com.bat,查看里面内容,是遍历各个盘符施放 autorun.inf 病毒(这个在前面用 windows 清理助手已经清除了),还有查找硬盘上的 360,如果有就删除 360 的执行文件。更有趣的是发现一个 ini 文件,其中有“360 大哥,高抬贵手,我只是普通的广告程序”之类的话,杀的就是广告,还叽歪个啥。

然后重启电脑,这回不再蓝屏了。正常进入系统,可以按常规继续追求残余分子,不废话了,无非是用如 windows 清理助手(在 PE 下清理助手是不能扫描硬盘系统注册表中的内容的,只能扫硬盘文件,所以能进系统,还要用它再清一下)、杀毒软件等各工具再检查几次,确保尽可能地清除病毒木马或恶意程序。

© 版权声明
THE END
点赞8赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容