常用系统修复软件绿色工具包

• 常用系统修复软件绿色工具包

• ---

 

1.SREng

 

以下是引用片段：
作者Smallfrogs，System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具，在这个工具的帮助下，你可以察觉你的系统故障并能够很容易的修复他们。 

使用方法: 
[如何发log] 
附件 下载解压后运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。 
注意：扫描log前关闭打开的应用程序,包括qq等,方便看log 

[如何修复] 
简单概括：结束进程、修复、手动删除文件，具体如下，把(1)~(9)看懂再操作， 
如果正常模式操作不成功进安全模式下操作 
按下列方法操作,修复后手动删除文件(不能删除的可以使用删除工具KillBox或者Unlocker)。 

(1)注册表  
先在任务管理器里结束要修复的对应“注册表”项的进程(注意有的"注册表"项没有运行的进程，有的进程有同名的系统文件,如svchost.exe、lsass.exe等，结束这样的进程可以用icesword等软件，可以看到路径）。 

在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击，然后点击"删除" 

注意如果以下3项需要修复，恢复如下的默认值 
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击，然后点击"编辑" 修改对应"值" 如下即可) 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] 
  <shell><Explorer.exe> 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] 
  <Userinit><C:/WINDOWS/system32/Userinit.exe,> 
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 
  <AppInit_DLLs><> 

(2)启动文件夹 
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击，然后点击"删除"。 

(3)服务 & 驱动程序 
在SREng中 "启动项目" "服务" "win32 服务应用程序"（或者"驱动程序"） 先勾选右下角的 "隐藏已认证的微软项目" 鼠标左键在对应要修复的项上单击，然后选择右下角的"删除服务"，点击"设置"，在弹出的窗口中点"否"。  

(4)浏览器加载项 
在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击，然后点击"删除所选内容"。 

(5)正在运行的进程 
对于要删除的文件，可以到安全模式删除，或者用killbox等工具软件。 

(6)文件关联 
在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选，然后点击"修复"。 

(7)Winsock 提供者 
用log 中 提示的文件搜索,确认是恶意添加的 
可以使用 lspfix 删除对应文件 
最后再用 winsock xp fix 修复一下 

(8)Autorun.inf 
按照SREng  log中 删除对应分区下的autorun.inf 及相关exe文件 
如果要删除的文件看不到,文件夹选项设置显示所有文件;或者使用IceSword 

(9)HOSTS 文件 
在SREng中 "系统修复" "HOSTS 文件"  "127.0.0.1  localhost"这个保留,其它的全部删除(自己添加的除外) 

下载:http://www.xdowns.com/soft/6/65/2006/Soft_31423.html 


2、HijackThis 
以下是引用片段：
简介:作者Merijn，是一个非常有用的检测扫描工具，主要用于扫描显示系统当前进程、启动项信息、BHO（Browser Helper Object）、ToolBar（浏览器工具栏）、DPF（Downloaded Program Files）等信息，并且具有修复功能，对于发现病毒等有害程序有很大帮助，尤其是在发现/修复浏览器劫持方面有很大作用。 

使用方法: 
[如何发log] 
附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。 
注意：扫描log前关闭打开的应用程序,包括qq等,方便看log 

[如何修复] 
简单概括：结束进程、修复、手动删除文件，具体如下，把(1)~(5)看懂再操作， 
如果正常模式操作不成功进安全模式下操作 
(1)在HijackThis扫描的结果中，选中需要修复的项目，按下修复（Fix checked）按钮进行修复。修复前请关闭所有浏览器窗口和文件夹窗口。 
(2)修复后手动删除对应文件(不能删除的可以使用删除工具KillBox或者Unlocker,注意hijackthis修复的只是注册表信息)。 
(3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程，有的进程有同名的系统文件,如svchost.exe、lsass.exe等，结束这样的进程可以用icesword等软件，可以看到路径）。 
(4)对于023项，修复后，对于显示(file missing)项，可以用hijackthis的工具箱删除，或者SREng操作 对应的 服务项，方法看SREng。 
(5)对于以下类似位置的项，注意 
F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/ .exe 
（此项删除文件 C:/WINDOWS/ .exe） 
F2 - REG:system.ini: Shell=Explorer.exe C:/WINNT/System32/kernels32.exe 
（此项删除文件 C:/WINNT/System32/kernels32.exe） 
O4 - 启动项HKLM//Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program 
Files/DeskAdTop/Run.dll" ,Rundll 
（此项删除文件 C:/Program Files/DeskAdTop/Run.dll） 

下载: http://www.xdowns.com/soft/1/44/2006/Soft_30275.html  

 

3、KillBox 和 Unlocker
KillBox

以下是引用片段：
简介:作者Option Explicit,删除文件和文件夹的工具软件  
使用方法:  

(1)标准方式删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删除dll前先反注销此文件  

(2)重启后删除文件:选择此项后，浏览选上要删除的文件,然后点红色的X操作即可(对于同时删除多个文件,点红色X后在弹出的选择框中选择否,然后重复加入其他文件,最后一个文件加入后,在弹出框中选择是)  

(3)重启后替换文件:选择此项后，浏览选上要删除的文件，然后勾选"替换文件",killbox自动提供替换文件,然后点红色的X操作即可  
下载: http://www.xdowns.com/soft/6/12/2006/Soft_33499.html   

 

Unlocker

以下是引用片段：
简介：功能强大，正常模式就可以删除大部分文件 
使用方法： 
在要删除的文件/文件夹上 鼠标右键  选择 “unlocker”，然后再弹出的窗口中选择“delete” 

下载: http://www.xdowns.com/soft/6/12/2006/Soft_30377.html

4、IceSword 
以下是引用片段：
简介:作者pjf，IceSword是一斩断黑手的利刃(所以取这土名，有点搞e，呵呵)。它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。  

IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。  
使用方法:  
参考其帮助文件  
下载:http://www.xdowns.com/soft/8/21/2006/Soft_30727.html

5、Msinfo32模块分析 
以下是引用片段：
简介:操作系统自带的命令,有时SREng hijackthis 分析不出时,这个命令比较实用   
使用方法:  
开始菜单 运行 输入 msinfo32 回车  
在弹出的 "系统信息" 窗口中,选择 "软件环境" "加载的模块"  
(1)点击"文件日期"列,按时间排序,用最新加载的几个模块文件google,排查  
(2)点击"制造商"列,进行排序，用不确认的制造商模块文件或没有制造商的模块文件google,排查 

 

   6、Winsock XP Fix 和 LSPFix  

以下是引用片段：
Winsock 修复工具  
使用方法:  
(1)Winsock XP Fix   
运行 点击 修复 后,重起电脑  

http://www.xdowns.com/soft/1/44/2006/Soft_34325.html 
 
(2)LSPFix(辅助修复HijackThis扫描发现的O10项)  
使用时，请关闭所有IE界面和文件夹界面后运行LSPFix，运行后，把要修复的那项从左边转到右边，点“Finish”即可。（不过这之前，需要在“I know what I`m doing”前面打勾。）  
下载:http://www.xdowns.com/soft/6/12/2006/Soft_34324.html 

7、RootkitRevealer 【rootkit 类病毒首选检测工具！！！】 
以下是引用片段：
Sysinternals的Rootkit检测工具，能检测出www.rootkit.com公布的所有Rootkit，包括AFX, Vanquish and HackerDefender （注意：RootkitRevealer不能够检测那些没有隐藏文件和注册表的Rootkit，比如FU_Rootkit）。   
下载: http://www.xdowns.com/soft/8/19/2006/Soft_34327.html   
8、FileMon和RegMon 

以下是引用片段：
  
简介:Sysinternals的文件和注册表监控工具  
在病毒文件、注册表项删除但立刻重复出现的情况下，使用这两个工具，监视病毒文件和注册表项由哪些进程或线程再次生成。有助发现问题。  
下载: http://www.xdowns.com/soft/6/56/2006/Soft_32139.html  

http://www.xdowns.com/soft/6/56/2006/Soft_32127.html