TA的每日心情 | 无聊 2014-8-6 20:09 |
---|
签到天数: 1 天 连续签到: 1 天 [LV.1]初来乍到
|
楼主 |
发表于 2007-5-8 21:12
|
显示全部楼层
盘符不能打开问题解决方法
[这个贴子最后由北溟鱼在 2007/05/08 21:18 第 1 次编辑]
(四)sys.exe病毒
sys.exe的病毒通过移动硬盘和U盘传播造成
sys.exe病毒特征:
Word文档杀手(Worm/DocKiller)或Troj_backdoor.sys 。2004年6月17日,反病毒中心截获“Word文档杀手”蠕虫病毒(Worm/DocKiller)。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档(*.doc)文件,并用试图用自身覆盖找到的Word文档,达到传播的目的,同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被复制。
解决方法:
1.先用鼠标右键打开移动硬盘(注意:一定要用右键点开,以保证系统进程中没有sys.exe的运行),然后在文件夹选项中把所有方框里的勾都撤消,再显示所有文件和文件夹,此时会发现,在根目录下隐藏的sys.exe和一个autorun.inf文件,删除这两个文件。同样的方法,在你的d盘,e盘等所以硬盘中重复一遍。
2.开始-运行-regedit打开注册表,编辑-查找中输入“sys.exe”进行查找,删除查找结果的子键,删除一个后点击“查找下一个”继续删除,直到找不出与sys.exe有关的键值为止,尤其是要把有关的整个shell子键删除。(建议在修改注册表前先进行备份,以免出错)你会在注册表每个盘下面的“AUTORUN”子键发现“自动播放(&p)"这子键,毫不犹豫 删~!
如果你不知道就在注册表中查找“自动播放”,找到结果后注意相关键值信息,注意查看数据项,如果发现还有关于“sys.exe”的键值就删除。
3.重新启动,再打开我的电脑,右键点移动硬盘,如果没有发现多出的“自动播放”选项,基本就清除完毕了,返回后用左键双击打开,sys.exe与autorun.inf如果已经不存在,就搞定了,再用同样的方法检查其他盘。
(五)sxs病毒
Sxs.exe病毒处理方法
sxs.exe病毒手动删除方法 (病毒会导致分区盘双击不能打开)
病毒会导致分区盘双击不能打开,瑞星自动关闭无法打开。
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开
找了网上许多方法,无法有效删除,并且没有专杀工具
手动删除“sxs.exe病毒”方法:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。也可以使用搜索整个硬盘,但是一定记得"在高级选项"中把"搜索隐藏的文件和文件夹"打勾哟.
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
如果瑞星计算机监控无法打开,或者打开后是收着的小红伞,并且所有的监控开启都失败,那么到“控制面板”-“管理工具”-“服务”,找到“Rising Process Communication Center”,应该是被禁用了,右键“属性”,启动类型一项改为“自动”,然后启用该服务。
据有些网友说.此autorun.inf文件不同.可能是变种的.至少autorun.inf这一段是相同的.有的是:autorun.inf.****.这个****可能不同.请在下面加上即可
2006-08-25 16:25加入
删除各盘病毒文件的BAT
以下代码另存为bat
cd
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
(六)rose.exe病毒
症状:我的磁盘D、E为什么双击盘符打不开,要按右键的打开才行?而且D、E盘右键的菜单里怎么多了“Auto”?几天之后删除系统NTDETECT.COM文件,系统无法启动。
rose.exe病毒
病毒介绍:自4月10号以来,在网路上流行一个叫“rose.exe”的病毒,它最初的表现为在你的电脑里面,右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”,然后在你的系统进程里面会出现若干个“rose”的进程,占用电脑的CPU资源。
rose.exe的情况:
rose.exe病毒大多是通过移动设备传播的。只要双击磁盘就会激活"rose.exe","rose.exe"和"autorun.inf"就会自动复制到所有磁盘根目录,并会把自动运行信息写入注册表和系统盘下的WINDOWS文件夹下。rose.exe病毒具有潜伏期,一般在中毒24小时后才会看到明显症状,并且随着中毒时间变长,所发生的症状逐渐加深,WINDOWS目录下的病毒文件和注册表项也会变多。这说明rose.exe对电脑的破坏是逐渐加深的,或者其发生了变异。
传播方式:通过U盘、MP3 、移动硬盘等移动存储设备传播,一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等,尤其在公用电脑上表现极为明显,目前我们已经在很多公共及个人电脑上发现该病毒,且愈演愈烈,传播极为迅速。
病毒危害:
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe 和autorun.inf 2个文件,且它们都隐藏系统保护文件之内,无论你怎样搜索都找不到,但是在双击该盘符时病毒就自动运行了。
3、若你继续无视该病毒,可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统,简单的说就是你电脑突然死机了,然后就再也开不了机。即便在你重新格式化C盘,重新安装系统之后,你只是清除了C盘的该病毒,但是它在其他盘下仍然存在,且会再次发作。
具体方法如下:
1.判断是否中毒,依症状发展顺序有:
双击打不开各个盘,只能右键菜单选择“打开”(open),磁盘的右键菜单中第一项为“自动播放”(Auto),磁盘根目录下有系统隐藏文件"rose.exe"和"autorun.inf"(将文件夹选项--查看中的"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”即可看到),资源消耗较大,任务管理器中出现多个"rose.exe"进程,无法启动系统(反复重启),重装系统后依然如故,或无法从光盘引导启动,无法读取BIOS,按电源开关没有反应(尤其笔记本)。
下面是关于Rose病毒的清理方法
二.以下是网上收集的如何手动清除该病毒的方法.
注意:只要知道你中的是rose.exe病毒,则此电脑的任何磁盘驱动器(包括U盘等移动存储器)切莫直接双击打开,否则以下操作前功尽弃。
解决方法:
一、结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等),c:\windows\ system32\run.reg,c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:\systemfile.com文件;最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉,然后重启即可。
二、只要知道你中的是rose.exe病毒,则此电脑的任何磁盘驱动器(包括U盘等移动存储器)切莫直接双击打开,否则以下操作前功尽弃,
1.打开我的电脑,点"工具"-->"文件夹选项"-->"查看",在"高级选项"里,把"隐藏受保护的操作系统文件(推荐)"一项前面的勾号去掉,并将"隐藏文件和文件夹"下属栏中选中"显示所有文件和文件夹". --------此操作为了打开隐藏文件显示,方便以下操作.
2.点击"开始"--->"运行",输入"regedit",进入注册表编辑,点"编辑"--->"查找",在"查找目标栏" 输入 "ROSE.EXE" 按回车搜索相关键值,查到后,直接删除该键值,然后继续按F3,继续查找剩下相关键值,只要查出即删,一般中毒的系统会产生2个键值,你删除后只管按F3,知道完成注册表搜索,确保你的注册表里没有相关键值为止.--------此操作为了截断ROSE.EXE文件的复制源.
3.进入你电脑的所有驱动器盘(千万注意:千万不要双击打开盘符,采用右键点取"打开"进入!),在每个磁盘的根目录你会看到2个文件:"rose.exe"及"autorun.inf",将你电脑所有盘中的"rose.exe"文件全部删除,切勿遗漏.(每个盘中该病毒仅存在与根目录下,且每个盘切莫双击直接点开!)-------此操作彻底断掉该病毒的可执行文件.
4.在完成第三步操作后,你会发现 "rose.exe"文件已经不复存在,但是"autorun.inf"仍在,且无法删除,刷新后仍然出现,不要紧,重新启动电脑,进入系统,依旧按右键"打开"进入电脑各盘,再删除所有的"autorun.inf" 文件,你会发现此次删除成功,--------此步操作扔需注意切莫双击进入电脑各盘,否则前功尽弃!
5、在c:\windows\system32目录下,查找有没有rose.exe文件,如果存在就直接删掉。
6.重启电脑(务必)重复第2步搜索删除,大功告成!
∷预防办法:
养成良好的使用U盘习惯:
插U盘前,先按住键盘上的shift(目的:防止U盘带毒后,自动启动将病毒带入你的机子.杀完又有,多半是由于此带进来的)不放,再插入U盘.对U盘点右键(千万不能双击打开U盘),用杀毒软件清查一下它.再打开U盘.
杀完后,重启一下就行了
1、当别人将U盘插入自己的电脑,当出现操作提示框时,不要选择任何操作,关掉。
2、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去,否则会立刻激活病毒!
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到U盘中出现了“rose.exe”和“autorun.inf”两个文件,直接删除!
4、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入“rose.exe”,找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。
PS:再附一种方法供参考:
方法二:
1、开机的时候按F8选择安全模式
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容,把能删除都删掉。另外system Volume Information目录(文件夹)下(WinXP),请关闭系统还原。
System Volume Information目录(文件夹)(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件,如果存在就直接删掉.
PS:也有网友编辑了ROSE专杀
(七)自动播放惹祸上身:让你双击打不开磁盘分区
我们知道Windows有个自动播放功能,放入光盘或插上闪盘可以自动执行某项操作,给用户带来方便同时也给某些木马病毒创造了自动传播的有利条件。不经意的一次双击可能执行的就是移动设备中的木马程序,由此导致双击打不开分区,而只能右键打开。其实很简单,包括最著名的“落雪”,都是利用Autorun.inf自动播放来入侵和运行的。
1.自动播放搞的鬼
Autorun.inf一般位于磁盘分区根目录,用记事本打开,常见如:
[Autorun]
icon=flower.ico
open=setup.exe
这是自动播放使用的安装信息,如图,其中“Icon=*.ico”可以为磁盘添加图标,等号后面可以是图标或应用程序;“Open=*.exe”是自动运行的程序,这很容易被木马“嫁接”,双击该磁盘就等于运行木马。
当然,聪明的木马会把Autorun.inf和程序文件设置成隐藏的系统文件,甚至会把主程序放在RECYCLER或System Volume Information目录下。所以,我们要多一个心眼,在第一次打开来源未知的光盘或闪盘,最好按住Shift,然后右键该盘符看有没有“自动播放”(Auto等等)的项,选择“打开”命令比较安全。
2.当木马无处藏身
既然木马是隐藏的,首先就要让所有文件都显示出来。文件夹选项如图设置,不要认为微软推荐就一定是好的!要杀木马就放心设置了,不放心完了改回来就。当然,更聪明的木马会修改注册表,让文件夹选项中隐藏或显示系统文件的设置无效,这是为什么有时设置“显示所有文件和文件夹”,确定后再打开文件夹选项仍是不显示;或干脆两个选项都选不中;或无法显示系统文件夹的内容……
如上图设置,对应注册表中的项有:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"SuperHidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"CheckedValue"=dword:00000000
有时木马并不修改当前用户[HKCU]的注册表项,而是修改了所有用户的,这时要检查[HKLM]下的设置,地址在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]。
设置完成以所有隐藏文件显露无疑。
3.木马束手就擒
最后,我们可以清除自动播放的木马,放心把分区下的Autorun.inf和木马文件统统删除!当然也可以用Autorun.inf个性化分区图标,也可以指定运行想要的程序。再搜索一下有没有复制到其他目录的木马程序,容易复活的话可以到命令行安全模式删除。这里不再赘述。 |
|