[案例分享] 系统启动后无桌面显示
时间:2011-07-18
来源:互联网
此文系WINOS转载,但是分析的思路还是值得借鉴的。
不管你知道与否,温故一下也是很有益的。
好了,废话不多说了。见文章。
前些时候有朋友来电求救,反映说用杀毒软件对机器进行查杀后,重新启动计算机后,就显示不了桌面了. 状态如下图:
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_63fea524639124d.jpg');" onload="if(this.width>'700')this.width='700';" >
病毒查杀过程中发现有病毒,且进入系统后无任何错误提示.
看到这里,估计有不少朋友都应该初步判断到是explorer文件遭受破坏.
相信这种情况很多人遇到过。
不管你知道与否,温故一下也是很有益的。
好了,废话不多说了。见文章。
前些时候有朋友来电求救,反映说用杀毒软件对机器进行查杀后,重新启动计算机后,就显示不了桌面了. 状态如下图:
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_63fea524639124d.jpg');" onload="if(this.width>'700')this.width='700';" >
病毒查杀过程中发现有病毒,且进入系统后无任何错误提示.
看到这里,估计有不少朋友都应该初步判断到是explorer文件遭受破坏.
相信这种情况很多人遇到过。
作者: xc81877996 发布时间: 2011-07-18
问题处理开始:
首先, 调出任务管理器查看进程状态:
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_fc14b61c8048a98.jpg');" onload="if(this.width>'700')this.width='700';" >
果然没发现explorer进程,看来是真的被破坏了。
进入CMD命令行,输入dir explorer.exe /s/d 进行搜索一下,explorer.exe其实是存在的.
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_ae23487b910a432.jpg');" onload="if(this.width>'700')this.width='700';" >
对比了一下文件大小,跟一个正常系统的无差异.执行了一下,却提示找不到文件
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_760e8a5a64dce0c.jpg');" onload="if(this.width>'700')this.width='700';" >
奇怪,难道真的被破坏了?还是exe文件不能执行. 尝试执行了notepad.exe 发现可以打开记事本.
接下来,尝试将explorer.exe 拷贝到c盘根目录下,并尝试更名为plorer.exe
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_fc6393325c16ae0.jpg');" onload="if(this.width>'700')this.width='700';" >
执行一下,发现可以打开浏览器,但并非是桌面.桌面仍旧空白
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_6f2fe5002b8638f.jpg');" onload="if(this.width>'700')this.width='700';" >
那也说明原来的explorer.exe应该是没问题的,问题很可能就出现在explorer这个名字上.
为了验证想法,我尝试将刚刚可以执行的notepad.exe 拷贝一份到C盘目录下,并更名为explorer.exe 并执行
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_1217e8b644fefbc.jpg');" onload="if(this.width>'700')this.width='700';" >
果然出错,问题真的就出现在名字上
首先, 调出任务管理器查看进程状态:
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_fc14b61c8048a98.jpg');" onload="if(this.width>'700')this.width='700';" >
果然没发现explorer进程,看来是真的被破坏了。
进入CMD命令行,输入dir explorer.exe /s/d 进行搜索一下,explorer.exe其实是存在的.
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_ae23487b910a432.jpg');" onload="if(this.width>'700')this.width='700';" >
对比了一下文件大小,跟一个正常系统的无差异.执行了一下,却提示找不到文件
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_760e8a5a64dce0c.jpg');" onload="if(this.width>'700')this.width='700';" >
奇怪,难道真的被破坏了?还是exe文件不能执行. 尝试执行了notepad.exe 发现可以打开记事本.
接下来,尝试将explorer.exe 拷贝到c盘根目录下,并尝试更名为plorer.exe
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_fc6393325c16ae0.jpg');" onload="if(this.width>'700')this.width='700';" >
执行一下,发现可以打开浏览器,但并非是桌面.桌面仍旧空白
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_6f2fe5002b8638f.jpg');" onload="if(this.width>'700')this.width='700';" >
那也说明原来的explorer.exe应该是没问题的,问题很可能就出现在explorer这个名字上.
为了验证想法,我尝试将刚刚可以执行的notepad.exe 拷贝一份到C盘目录下,并更名为explorer.exe 并执行
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_1217e8b644fefbc.jpg');" onload="if(this.width>'700')this.width='700';" >
果然出错,问题真的就出现在名字上
作者: xc81877996 发布时间: 2011-07-18
难道有什么程序阻止了explorer.exe运行? 朋友说在没进行病毒查杀前,可以正常进入系统,查杀后发现就不进不去了,说明应该不是杀毒软件的原因.难道是策略屏蔽? 查看了本地策略,没有发现有策略限制. 难道是镜象挟持? 以前听过在注册表有个地方可以对可执行文件进行限制及重定向. 抱着试试态度,查找到了镜象挟持在注册表的位置:"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 在这里找到了explorer.exe 并且发现被赋予了 disablerun :
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_e2768aa5d042414.jpg');" onload="if(this.width>'700')this.width='700';" >
删除之,重启动 问题解决.
附带说明一下,在这个位置,不仅能限制程序的运行,同时还可以将可执行文件进行重定向,有点象DOSKEY命令.方法是在Image File Execution Options 下新建一个项,并命名为你要重定向的程序的名称连同后缀名,例如notepad.exe 然后在该项下新建一个字符串,并命名为:debugger 值更改为需要执行的程序,例如CMD.EXE ,设置后,只要执行notepad就等于执行了cmd.exe
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_02ba3668b6e7312.jpg');" onload="if(this.width>'700')this.width='700';" >
全文结束
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_e2768aa5d042414.jpg');" onload="if(this.width>'700')this.width='700';" >
删除之,重启动 问题解决.
附带说明一下,在这个位置,不仅能限制程序的运行,同时还可以将可执行文件进行重定向,有点象DOSKEY命令.方法是在Image File Execution Options 下新建一个项,并命名为你要重定向的程序的名称连同后缀名,例如notepad.exe 然后在该项下新建一个字符串,并命名为:debugger 值更改为需要执行的程序,例如CMD.EXE ,设置后,只要执行notepad就等于执行了cmd.exe
=700) window.open('http://bbs.cfanclub.net/attachment/Mon_1107/6_224481_02ba3668b6e7312.jpg');" onload="if(this.width>'700')this.width='700';" >
全文结束
作者: xc81877996 发布时间: 2011-07-18
相关阅读 更多
热门阅读
-
office 2019专业增强版最新2021版激活秘钥/序列号/激活码推荐 附激活工具
阅读:74
-
如何安装mysql8.0
阅读:31
-
Word快速设置标题样式步骤详解
阅读:28
-
20+道必知必会的Vue面试题(附答案解析)
阅读:37
-
HTML如何制作表单
阅读:22
-
百词斩可以改天数吗?当然可以,4个步骤轻松修改天数!
阅读:31
-
ET文件格式和XLS格式文件之间如何转化?
阅读:24
-
react和vue的区别及优缺点是什么
阅读:121
-
支付宝人脸识别如何关闭?
阅读:21
-
腾讯微云怎么修改照片或视频备份路径?
阅读:28
