急需高手指点！！！

wanglant · 发表于 2015-2-22 01:35

本帖最后由 wanglant 于 2015-2-22 01:40 编辑

我的WIN7 64位系统遇到下面问题：原本输入登录密码后数秒即可进入桌面，现在要等数分钟。
等待过程中黑屏，进入后屏幕左上角显示:

正在设置以下对象的个性化设置
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\Wbem\Desktop.ini:wmic.js

然后屏幕中央弹出错误窗口:
无法找到脚本文件：
C:\WINDOWS\System32\Wbem\Desktop.ini:wmic.js

请教这是哪个程序调用此文件，应该如何修正？

预先感谢！顺祝新春吉祥！

wwh0501 · 发表于 2015-2-22 08:02

第一感觉病毒或者流氓插件，先去杀毒

wwh0501 · 发表于 2015-2-22 08:13

http://bbs.kafan.cn/thread-1627438-1-1.html
可参考一下这个帖子

暴疯狂笑 · 发表于 2015-2-22 10:14

结合时间成本和最终效果考虑：建议楼主全新安装Win8.1专业版或者企业版，系统安装（使用U盘）大约10分钟，驱动5分钟（大部分机器只要安装显卡驱动），剩下的就看你用到的软件了。

xixim · 发表于 2015-2-22 10:19

直接系统还原，还原一下，有些系统故障排查很麻烦，不如从根上解决。

大号跳蚤 · 发表于 2015-2-22 10:32

我和楼上两位建议相同，综合考虑难以程度和时间成本还不如重装了，那些奇奇怪怪的问题，指不定你折腾到最后否是这鸟样，重装后，开个系统保护，留点空间，建几个还原点，不用第三方软件，不用额外的存储介质也可以简单应付了。。。

szyzb · 发表于 2015-2-22 10:39

同样建议安装msdn的系统。

仙賢戀軒 · 发表于 2015-2-22 20:59

如果注定说大不了重装的话可以试试看这招

安全模式清空host
进注册表 Local Machine\software\wow6432node\microsoft\active setup\installed components
把里面和wmic.js有关的都清掉

einstein86 · 发表于 2015-2-22 21:06

win+R msconfig，把启动项里面所有可疑的项目全关了。重启试试。

iFive · 发表于 2015-2-22 21:55

先感谢下3楼提醒思路。
我认为，你目前的情况可能是vbs病毒通过NTFS附加数据流藏在了那个desktop.ini文件中了。
而杀毒软件杀毒时不彻底，留下了残余的注册表键值（MS的Active Setup个人设置）。

我的建议如下：
1、重新将一个无害的vbs注入那个desktop.INI中。
方法：
开始菜单输入cmd，右键选择管理员权限运行。
输入以下命令：
echo Wscript.Sleep 100 > C:\WINDOWS\System32\Wbem\Desktop.ini:wmic.js
然后回车，这会写入一个只运行100ms的没有任何功能的vbs脚本。
重新开机检查有没有变动。
2.可以使用8楼仙仙的方法，删除操作也可以用autoruns完成。

wanglant · 发表于 2015-2-23 03:40

感谢诸位费心！！！我装的就是MSDN版的64位win7 sp1版。是安装睿派克论坛的photoshop cc 2014版中的vs病毒。我机器是安装的微软MSE，对此病毒实在无力，安全模式下删除不全，开机上网后又恢复。系统恢复也无用，只能再次重装了。提请大家小心睿派克论坛的此版本软件！

顺祝大家新春幸福，吉祥安康！！！

iFive · 发表于 2015-2-23 08:01

本帖最后由 iFive 于 2015-2-23 09:53 编辑

wanglant 发表于 2015-2-23 03:40
感谢诸位费心！！！我装的就是MSDN版的64位win7 sp1版。是安装睿派克论坛的photoshop cc 2014版中的vs病毒 ...

碰到这种情况可以报告给微软。
MSE右上角箭头，报告恶意软件样本，把带有病毒的文件用rar打包起来，记得选择保留ntfs流信息。然后给他上传上去。

暴疯狂笑 · 发表于 2015-2-23 14:10

wanglant 发表于 2015-2-23 03:40
感谢诸位费心！！！我装的就是MSDN版的64位win7 sp1版。是安装睿派克论坛的photoshop cc 2014版中的vs病毒 ...

针对Photoshop CC这个软件来说：ADOBE官网原版+amtlib.dll替换才是最“正统”地方式。

wanglant · 发表于 2015-2-24 12:19

iFive 发表于 2015-2-23 08:01
碰到这种情况可以报告给微软。
MSE右上角箭头，报告恶意软件样本，把带有病毒的文件用rar打包起来，记得选 ...

感谢指导，已照做。

wanglant · 发表于 2015-2-24 12:23

暴疯狂笑发表于 2015-2-23 14:10
针对Photoshop CC这个软件来说：ADOBE官网原版+amtlib.dll替换才是最“正统”地方式。
...

请问何处可找到amtlib.dll for photoshop? 我的 Acrobat X 就是用您说的这种方式激活的，请问这个文件和photoshop中的可以互换吗？谢谢！！！

frontwing · 发表于 2015-2-24 12:30

本帖最后由 frontwing 于 2015-2-24 12:50 编辑

wanglant 发表于 2015-2-24 12:23
请问何处可找到amtlib.dll for photoshop? 我的 Acrobat X 就是用您说的这种方式激活的，请问这个文件和 ...

我记得acrobat的amtlib和其他软件的amtlib是不通用的。
你遇到的病毒可能是这个：http://bbs.kafan.cn/thread-1705227-1-1.html
adobe软件可以用完美者站长的版本：http://ansifa.blog.163.com/blog/#m=0&t=1
你下的那个PS改版应该不是睿派克论坛官方出品，是二次加料。