被强大的病毒日翻了，求助

瘦宅基

上学校网站的时候中招了，具体症状如下

1.不断写入10.PIF、3.PIF、H.PIF等进程，似乎还在不断复制系统进程，SVCHOST多了好几个
2.瑞星、REGEDIT、MSCONFIG均被屏蔽，运行REGEDIT时进程会多出个CACLS.EXE
3.双击盘符会打开新窗口，疑似AUTORUN.INF被改写
4.GOOGLE病毒资料时打开某些网页浏览器会被强关，如http://bbs.ikaka.com/showtopic.a ... 35&onlyauthor=1
5.最可怕的是，无法进入安全模式，进入即重启……

GOOGLE了一下，跟这个症状比较像


楼主的瑞星被屏蔽了。看看是不是中了rsvv.pif病毒。可以在DOS状态下C：盘根目录下面查看隐藏文件，如果发现有rsvv.pifsvs.pif之类的文件就是了，其它盘D：、E：、F：依次查看。
a)这个病毒会屏蔽注册表、KAV、RAV、RISING和病毒防火墙，一旦执行相应的文件，就会被强行关闭或者是提示文件正在被使用。
b)会在C:\Documents and Settings\All Users目录下产生如2.pif、8.pif、10.pif、c.pif等之类的文件。
c)会改写各盘下的autorun.inf文件，双击打开各盘后自动执行rsvv.pif，使系统再次感染病毒，所以在杀病毒过程中切不可做其它操作，让计算机杀毒完后再做其它操作。
d)RSVV.PIF病毒还更改了注册表项，使用户在双击打开硬盘的时候执行rsvv.pif文件。
e)RSVV.PIF病毒的顽固性在于，计算机不能进入安全模式，所以和一般的病毒有很大区别。
f)更改系统时钟，使病毒程序启动后会误认为注册码失效或与授权时间不符而拒绝工作。
一、杀毒：新建一个文件夹，将Kaspersky （本例以卡巴斯基为例，如果装有其它杀毒软件，办法也一样的）avp.exe文件拷到里面。然后改名为a.com，再将kav内的所有文件一起拷贝过来。（这样做的目的是，病毒改变了Kaspersky 目录的属性，不允许在Kaspersky 目录下作任何增删改的操作，所以只有把原文件拷贝出来改名，将其它DLL文件及病毒库文件也拷过来一起执行）。有意思的是，卡巴斯基不认为rsvv.pif、svs.pif是病毒。。。。但是会找出隐藏在system32及windows目录下的其它变种。
二、手工查杀：进入DOS状态，再进入各盘根目录。
1、dir /a *.pif （显示所以扩展名为pif的文件）
2、attrib -s -h -a -r rsvv.pif （去掉文件的保护属性）
3、del rsvv.pif （删除文件）
4、重复2、3步骤，删除其它pif文件，svs.pif
5、在DOS状态下转换入D：、E：、F：。。。。重复1~4步骤。
三、好了，现在差不多了。打算整理注册表的话，将windows目录下的regedit.exe文件拷贝出来，改名为reg.com，然后执行。展开key_current_user/software/microsoft/windows/explorer/mountpoint2将里面所有的autorun里面值为rsvv.pif的删掉就行了。
四、待杀毒软件完全查杀后重启一下，再次进入DOS状态查看是否还有RSVV.PIF文件，如果没有就证明OK。  


但是现在怎么才能进DOS呢……能否在避免重装的前提下解决问题？

猫熊爱

挂干净电脑杀毒，注册表被改无法

sowo

同学，请用winpe:glasses1:

神轮

挂pe系统

瘦宅基

详细希望:mask:

冰天平

现在随便那个系列的修改系统镜像都会有winPE的吧？

找一张系统整合盘，番茄深度啥的都行启动的时候直接进winPE之后想干啥随你。

caohow

打电话问瑞星

PuzzleOfPhay

先用system repair engineer把安全模式修复了
之后怎么干不用说了吧

alann

这个病毒我中过，它在注册表里屏蔽了大部分杀软工具，下个第三方的注册表修改器把屏蔽去掉

Onitsuka

求病毒名。。