症状：1.控制面版中大部分程序无法打开
2.任务栏的输入法。快速启动栏内容为空。任务栏右键菜单中
工具栏内容变灰，无法使用。
3.注册表被锁定，不能打开。
4.ie主页被更改。各种选项目变灰，无法更改。
5.记事本可以使用，不过10几分钟就自动关闭。就算打开有内容的文本文件，
也是空白一片。同样的文件用写字板打开可以显示内容，不过没过几秒
或者按什么键，就会出现“一个嫨你徢嵆眼瘾的动画,梌常不?"的文字。



探究病因：

1.打开任务管理器，发现SVOHOST可以进程。与系统进程SVCHOST非常相似。
（系统使用必备进程：system,system Idle Process,csrss,lsass, winlogon,smss,一般还有几个svchost，看这些进程的用户名 一般 为SYSTEM，LOCAL SERVICE NETWORKSERVICE（一些网络服）。
2.尝试关闭SVOHOST进程，可以关闭，但只要一运行任何程序，SVOHOST进程就又出现。
3.运行MSCONFIG，发现有两个自启动项：SVOHOST和CTFNOM，一个就是刚才 那个可以进程，一个不小心看还以为OFFICE的高级输入法服务（名为CTFMON）。选择全部禁用。SVOHOST的值是C:\WINDOWS\SVOHOST.EXE
4.进注册表，查找SVOHOST，CTFNOM，果然在各个RUN启动项里，全部删除。
5.查看exefile的关联，发现exefile\shell\command的值被改为“C:\WINDOWS\System32 \he1p.exe "%1" %*”（注意HE1P，不是HELP）
6.重启，发现问题依旧。打开注册表，各个RUN里SVOHOST，CTFNOM仍然都在，查找中还发现在很多新的地方添加了这两个键值。



思考：中了病毒，病毒名为SVOHOST.EXE的程序。它在注册表的RUN里强行写入内容，使自己能够 进入系统时启动。启动时监视注册表，一发现SVOHOST的信息被改动，就再一次写入。.exe文件关联被更改，一启动任何程序病毒程序也随之启动，在进程中又出现了。

杀毒：依照提示找病毒程序SVOHOST.EXE和HELP.EXE，进入显示的文件夹，却找不到。想可能被隐藏了。


1.注册表解所：运行--GPEDIT.MSC，打开组策略，依次进入用户配置\管理模板\系统,右边的 ”阻止访问注册表编辑工具‘，双击，禁止。就可以了。（可用WORD宏，INF文件 JAVA脚本解除）


2.解隐藏。依次点击窗口上方的“工具”菜单下的“文件夹”选项，在出现的显示所有文件和显示 系统文件，去掉隐藏受保护的文件前的勾，没有效果。应该是注册表中被修改为真正隐藏了。 用ULTRAEDIT-32编辑以下内容，保存为“破隐藏.reg,导入，再按显示所有文件，成功。（因为写字板，记事本都不能正常使用）
内容：
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001
3.去病毒程序。
a.曾尝试着进入文件夹中删除SMOHOST.TXT和hlop.exe。结果重启问题依旧。
b.看来不只这两个程序。再进入\WINDOWS\SYSTEM32下面认真查找，果然发现还有 lsasa.exe,commamd.exe两个程序，请认真看跟LSASS，COMMAND多象。把四个全部删除。 重启
c.重启想不到问题依旧，看来还有程序。于是我把这四个文件复制到别的地方，然后随便拿了四个文件改成这四个名字，重起出现错误提示：“commamd不是正常的WIN32程序”。（因为刚才我是随便拿了个文本文件改名成COMMAMD.exe）。 结果控制面板可以正确使用了。
D.虽然问题解决，但最终的源头没找到。应该有程序自启动调用了COMMAMD.exe程序。进入 注册表查找“commamd”果然发现了新大陆。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的SHELL值为 Explorer.exe commamd.exe”，（winlogon设置用户登陆的环境，下面的值在系统启动时候必须启动，
而EXPLORER.EXE是用户界面，如桌面，任务栏等就是这个东东分配的），在EXEPLORER.EXE后面跟上程序就能在启动exeplorer.exe的时候同时启动。
e.终极大战。把上面的shell值改为exeplorer.exe。删除windows\system下把四个文件都删除。

至此问题全部解决。


******************************************************************************************

1.输入法恢复。按'CTRL+shift","ctrl+空格键'都无法调出输入法。语言栏已经显示但没有内容。一般进入控制面板中的‘区域和语言选项’关闭高级语言服务 就可以了。但‘区域’打不开。在运行中输入”INTERNAT“，出现输入法图标。
但那是98下的那种。右键点击输入法图标，出现设置菜单。能配置输入法，于是关闭高级语言 服务，在桌面显示输入法图标前打勾。到此，XP的正常输入法可以使用了。


2.ie主页被改。手动，可以在注册表中清理，但怕不彻底。平常常去3721在线杀毒，这次也去， 按提示安装，却发现无法安装成功。于是使用upiea1.48修复IE，一次搞定。

3.记事本修复。上面用记事本打开看不见文件内容，是因为txtfile下的shell\open\command的值 被改为notepad.exe，这样点击文件时变成新建一个文本文件，所以记事本打开时 会一片空白。值改成“notepad.exe %1".问题解决。

4.工具栏修复。务栏右键菜单中工具栏内容变灰，无法使用。进入注册表，依次打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer下 新建或修改NoCloseDragDropBands的值为0就可以了(数值为dword类型）


******************************************************************************************

文件关联修复特例－－－一进入系统就自动重启或注销。

很多人遇到过这个问题，中了冲击波病毒就有这种结果。但不都是中了这个病毒，以下讲讲如何简单实现这个效果，以及修复的方法。

分析：1。系统一启动就必 须启动exeplorer.exe（负责分配用户界
面，如：桌面，任务栏，开始菜单）。如无法启动它，
会空白一片，看不到这些。
2.主要是在exeplorer.exe上下功夫。
a.把.exe文件关联到shutdown关机命令，系统启动时候
一调用exeplorer.exe，就自动启动shutdown.exe命令。

b.更改注册表。在HKEY_LOCAL_MACHINE\SOFTWARE\Micros
oft\Windows NT\CurrentVersion\Winlogon 下的SHELL值可以
正常应该 是 Explorer.exe，现在把值改为 exeplorer.exe
shutdown.exe .或者干脆把值改为SHUTDOWN.EXE

以上两种方法都能造成重启时，进入用户密码窗口，进入桌面的一刹那，甚至看不到桌面就自动重启或注销。