[方案] 被病毒替換掉系統檔案的回復方式

看板AntiVirus (防毒)作者junorn (威廉華勒斯)時間17年前 (2008/06/07 15:49)推噓7(7推 0噓 3→)

留言10則, 8人參與討論串1/1

由於最近使用機器狗技術的病毒慢慢變多了有解毒能力或者是有碰過的人應該可以發現到近期有很多系統檔案被替換掉的案例，尤其是EXPLORER.EXE 但因為這一些東西並沒有辦法直接刪除或替換有些甚至刪除之後就開不了機了所以很多人不曉得要怎麼樣將他們還原成正常檔案這邊提供幾個方式供參考這裡都以EXPLORER.EXE為例 1.使用光碟片開機或把硬碟接到別台電腦替換。這個就不多描述了...這種方式直接替換當然是沒問題的（以替換後就正常為前提下） 2.使用Rename operations pending方式這個是利用延遲命名的方式來刪除檔案原理不多說請自己找資料...但優先權很高，所有系統檔基本上都可以替換 3.利用CMD模式的一些指令這邊就有分 a. sfc指令 sfc指令是利用windows檔案保護機制來還原檔案的一種指令使用方式如下: 按下開始 -> 執行 -> 輸入cmd後按確定然後會跳出黑色視窗之後在黑色視窗內輸入 sfc /scannow 然後按鍵盤的ENTER 此時會掃描你的電腦，並會嘗試將檔案回復途中有可能會要你放入Windows光碟片 b. ren指令 ren這指令蠻特別的，他是dos下用來重命名檔案名稱的指令但他不受檔案是否在執行中的影響也就是說可以直接更改執行中的檔案名稱。所以可以用來替換檔案首先一樣是按開始 -> 執行 -> 輸入cmd後按確定之後再黑色視窗內輸入 ren c:\windows\explorer.exe explorer.e 然後按鍵盤的ENTER 當更改之後，會有兩種情形第一種是在電腦內有dllcache這資料夾並有要補回的系統檔案時他會自動將檔案補回去此時就已經完成替換回系統正常檔案的動作（前提是要補回的檔案是正常的時候）第二種是沒有會自動補回的檔案時 Windows會提示你要你放入光碟片，同樣放入光碟片後讓他自己修復或者是沒有光碟片，那就按下取消然後自己找正常的檔案將他補回原本的位置後重開機這樣一樣能將檔案替換掉。 4.利用Xdelbox 這軟體我不熟就不描述了，但他有一個功能是重開機時利用他自身的功能去改命名檔案大致上就這幾種方式有需要的人就參考看看吧。 ren方式我是覺得最好用...不用幾秒鐘就好了..當然前提要有自動補回的檔案下. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.135.15.200