记一次电脑中招。。。

      昨天一个同样喜欢研究电脑知识的同学传来一个exe，说帮忙看看这到底是不是病毒，

当即国产杀毒软件（一下简称某霸，省得有广告的嫌疑）报毒，

忽视，取消删除，还没运行不是，怕什么，即使运行了不是也有某霸给我挡着，

So,手贱的运行下看看，嗯，某霸提示木马，已拦截，并且还删除了exe文件，见同学已经下线了，

我也懒得恢复了，结果这件事就这样放在了一边，下午的时候因为某个原因要用cmd，结果运行提示组策略限制，

屁颠屁颠的跑去组策略，打算去添加一个软件限制策略，结果打开分支时提示啥啥错误，添加不了，

又于是乎用Q管的系统修复功能，提示CMD被限制神马神马的，点击修复，

因为要赶着去超市采购干粮，还没测试cmd能不能用就关机了，

结果回来一开机，傻眼了，开机启动里面的exe打开方式为“图片查看器”，ctfmon.exe，还有个spoolve.exe，

看到spoolve，，，就知道中招了，桌面图标无显示，桌面无法右键，关机都关不鸟了，惨不忍睹啊。

但是修改了exe关联的话，不是病毒自己也运行不鸟了么，我猜也许这是病毒的自爆行为。。。

庆幸的是这个病毒还让我进系统，还留了个任务栏给我。

开始——运行——提示限制，盘符被隐藏，直接在地址栏输入盘符，提示什么没权限去了，进入C盘失败。

神马突破点都没了，当然除非搜PE系统下的软件。


好吧，下面进入正题，

任务栏右键，发现任务管理器有用，忍不住的一股哈喇子就流出来了。。突破点啊！！

果断U盘启动PE，讲regedit.exe复制到system32，重命名为taskmgr.exe，当然，原任务管理器肯定是要备份的。。。

当然顺便K掉C:\Program Files\Common Files\Microsoft Shared里面的spoolve.exe，一看40多兆，免疫云查杀，难怪。

拔掉U盘，启动windows，任务栏右键，任务栏管理器，眼前一亮，又是一股哈喇子，注册表弹出来鸟，

眼疾手快修复exe关联，爽了~

盘符还是进不了，可软件还是运行的了，

祭出某霸的强力查杀和系统修复，差不多问题都解决了，就差一个桌面还是神马都没有，

怀疑是explorer的问题，kill它,在cmd /k copy c:\windows\system32\dllcache\explorer.exe c:\windows，

KO了，有可能还有其他都不是问题的小问题，就不一一列出。

虽然某霸帮了不少忙，但是它的前期表现能力我不怎么满意，收拾烂摊很多安全软件都拿手。。。

谢谢！辛苦了。

这是转贴么