Extraer virus archivos de sistema troyanos infectados con el programa exe

Ahora al troyano de virus que infecta el programa exe le gusta modificar los archivos del sistema. Normalmente, el software antivirus no puede restaurar los archivos del sistema envenenado al estado original. ¿Hay alguna otra forma además de volver a cargar y copiar desde otras máquinas?

¡También puede extraer los archivos "originales" más originales y seguros del disco de instalación! Sin embargo, los archivos en el disco de instalación se pueden crear sin copiar /pegar directamente, y los métodos de extracción de XP y Vista /2008 son diferentes porque usan diferentes métodos de instalación.

Primero, extraiga los archivos del disco de instalación de XP

Observe cuidadosamente los archivos del disco de instalación de XP, puede ver que la mayoría de los archivos en el directorio i386 son nombres de archivo "EXPLORER.EX_" De hecho, es un archivo comprimido, el nombre del archivo es el mismo que el nombre del archivo extraído, pero la extensión y el tamaño del archivo son diferentes, por lo que no se puede usar el sufijo directo.

Hay dos maneras de extraer fuera del archivo:
Método A: por ejemplo, utilizando software de compresión de 7-zip para descomprimir el archivo directamente. La razón para mencionar 7-zip es que es gratis, ya que integrará el menú "7-zip" en el menú del botón derecho de todos los archivos (o carpetas) de forma predeterminada, que es muy conveniente de usar. Por supuesto, el uso de WinRAR también se puede descomprimir.
método: Descomprimir el archivo usando XP viene con el comando Expandir en la ventana de línea de comandos. Uso: expanda D: \\ i386 \\ EXPLORER.EX_ C: \\ explorer.exe, (Figura 1); esto significa extraer el archivo EXPLORER.EX_ en el directorio i386 de la unidad D al directorio raíz de la unidad C, y asígnele el nombre Explorer.exe. El directorio i386 es el directorio donde se encuentran los archivos de instalación en el disco de instalación de XP. Este comando se usa a menudo para restaurar el sistema bajo la consola de recuperación.

Figura 1 Extracción de archivos con expand

Segundo, extracción de archivos del disco de instalación de Vista /2008

Vista /2008 utiliza una nueva tecnología de instalación, todos los archivos de instalación se guardan En el archivo sources \\ install.wim, este archivo no se puede abrir con el software normal y solo se puede abrir con el programa imagex.exe proporcionado por Microsoft. Este programa no tiene una interfaz gráfica de usuario. Ahora se usa como ejemplo para el uso de Vista:

Paso 1: ejecute el símbolo del sistema como administrador y use el comando CD (por ejemplo: el comando "CD i386" es para ingresar El subdirectorio i386 del directorio actual) ingresa a la carpeta donde se encuentra imagex.exe.
Paso 2: Uso imagex /Información h: \\ fuentes \\ Command install.wim para ver la versión actual del CD de instalación incluido. Por ejemplo, el disco de instalación de Vista tiene versiones de Home Basic, Home Premium, Business y Ultimate. Cuando vea
Windows Vista Ultimate

Este párrafo para explicar donde el número de índice 4 se refleja archivos de instalación de Vista Ultimate.

Paso 3: Use el comando como imagex /mount g: \\ sources \\ install.wim 4 d: \\ msdn para asignar la imagen de instalación con el número de índice 4 en el archivo de instalación del disco G a la carpeta d: \\ msdn. . En este momento, abra d: \\ msdn para extraer el archivo original como si ingresara a la carpeta normal, no es necesario extraerlo.

Figura 2 Uso de imagex para extraer archivos

Paso 4: Después de usarlo, debe desinstalar la imagen. Los comandos correspondientes a la operación anterior son los siguientes: imagex /unmount d: \\ msdn.

Consejo:

1. Si no puede usar imagex.exe, vaya a Panel de control → Agregar nuevo hardware e instale WIMFLTR.INF manualmente.

2. La carpeta a la que se asigna imagex debe existir. Si la carpeta original tiene archivos, entonces los archivos asignados no desaparecerán, sino que serán "disfrazados" por los archivos de instalación de Vista.