【aDesk】替换虚拟机SAM文件恢复蓝屏

更新时间：2023-02-23

所属模块虚拟机内部 | 虚拟机黑屏、蓝屏

适用版本通用

虚拟机开机后蓝屏，且蓝屏代码有两种，表现为c000021a与c00002e3，无法正常开机使用

1、蓝屏代码有c000021a与c00002e3（两个代码之中变化），百度基本确认该虚拟机中了病毒导致蓝屏

2、尝试使用新派生虚拟机挂载个人盘，但是客户侧个人盘部分文件被之前系统盘加密，新虚拟机无法打开加密文件（下图显示绿色文件），即使使用administrator用户解密仍会提示权限不足，所以只能想办法修复原虚拟机

3、尝试原蓝屏虚拟机进入安全模式去解除掉文件的加密，但是虚拟机选择安全模式启动就会自动重启，无法操作

4、尝试将注册表文件c:/windows/system32/config/regback/SYSTEM 复制替换c:/windows/system32/config/下的对应文件，但是regback里已经没有文件了（病毒导致），无法复制替换

5、尝试进入PE系统，使用PE恢复密码方法（见附件）打开虚拟机系统盘C:\Windows\System32\config\SAM文件里的administrator用户，发现点击打开没有反应，定位为目前病毒还导致了用户配置文件损坏

6、尝试同模板新派生一台虚拟机，通过PE加载系统拷贝一份新系统盘SAM文件到原问题虚拟机对应位置，重新开机后系统正常进入，加密文件也可正常打开，问题解决

虚拟机中病毒导致。

虚拟机恢复后第一时间进行的杀毒结果如下（最后杀毒风险项目超过100条）

替换同模板正常虚拟机系统盘C:\Windows\System32\config\SAM文件到故障虚拟机系统盘同位置解决

替换系统文件操作，可能影响操作系统稳定性，建议操作前先对虚拟机打快照，防止误操作导致系统完全损坏无法恢复

(767.6 KB)

{{contentObj.name||'--'}}