长话短说,一个不应该在这台机器上运行的程序已经运行,并且它创建了一个恶意的 .sys 文件,该文件在 pci.sys 之后立即加载(由 NBTLog.txt 确定)
我查看了 BCDEdit、EasyBCD 和一些注册表项,但似乎无法确定 winstart.exe 实际上从哪里获取要加载的系统文件列表!
sys 文件本身在高海拔地区运行,似乎阻止了所有删除它的尝试;我可以(可能应该)制作一个 Linux USB 启动盘并使用它来删除 sys 文件,但我真的很想了解这里的机制。
((FWIW:问题源于一个兄弟为某个游戏运行训练器;他受到了适当的惩罚))
答案1
最可靠的方法处理 Windows 上的恶意软件是重新安装一切。在大规模 IT 部署中,操作系统和应用程序都是使用磁盘映像进行配置和安装的,尝试手动“清理”系统是浪费时间,尤其是因为您可能会错过恶意软件隐藏的位置。
您可能需要考虑制作一个已知的干净磁盘映像(以及定期备份数据),以便在采取所有预防措施后,如果将来发生意外(不仅是因为恶意软件,还因为硬盘故障等硬件问题),可以快速恢复。Windows 7 包含一个内置备份工具,能够将映像复制到 NTFS 格式的硬盘上。
为您的帐户设置密码,让您的孩子使用有限权限(“标准”)帐户,并确保安装的任何软件都是值得信赖且安全的。对于不使用本地漏洞来提升权限的恶意软件(最近,有些已被公开),感染应该(理论上)被限制在该用户帐户中。
如果可能的话,更好的办法是将正在运行的软件限制在白名单中。Windows 7 Enterprise 和 Ultimate 版本包含 AppLocker,它是 Windows XP Professional 和 Windows Vista Business 中包含的软件限制策略功能的后继者。
答案2
我认为 COMMAND.COM 就是您要找的。
查看:http://www.computorcompanion.com/LPMArticle.asp?ID=73和http://en.wikipedia.org/wiki/COMMAND.COM获得一些良好的入门信息。