AUTO 病毒简介:
这种病毒在每个驱动器(硬盘、 MP3/MP4 ……)下都有一个卷标 AutoRun.inf 文件,只要你双击驱动器(如 D: ),就会激活病毒。感染后双击盘符打不开驱动器,而且会导致病毒复制,再次感染! 首先 : 运行 gpedit.msc ,打开组策略 -> 计算机配置 --> 管理模板 -- > 系统 -- 》右侧的关闭自动播放 , 可以避免重复感染 .
手动查杀方法 :
方法一:
一般是最近流行的 rose 病毒的问题 , 此病毒可手动清除 , 具体方法为 :
1. 打开我的电脑 , 点 " 工具 "-->" 文件夹选项 "-->" 查看 ", 在 " 高级选项 " 里 , 把 " 隐藏受保护的系统文件 ( 推荐 )" 一项前面的勾号去掉 , 并将 " 隐藏文件和文件夹 " 下属栏中选中 " 显示所有文件和文件夹 ". -------- 作为了打开隐藏文件显示 , 方便以下 .
2. 点击 " 开始 "--->" 运行 ", 输入 "regedit", 进入注册表编辑 , 点 " 编辑 "--->" 查找 ", 在 " 查找目标栏 " 输入 "ROSE.EXE" 按回车搜索相关键值 , 查到后 , 直接删除该键值 , 然后继续按 F3, 继续查找剩下相关键值 , 只要查出即删 , 一般中毒的系统会产生 2 个键值 , 你删除后只管按 F3, 直到完成注册表搜索 , 确保你的注册表里没有相关键值为止,以切断 ROSE.EXE 文件的复制源 .
3. 进入你电脑的所有驱动器盘 ( 千万注意 : 千万不要双击打开盘符 , 采用右键点取 " 打开 " 进入 !), 在每个磁盘的根目录你会看到 2 个文件 :"rose.exe" 及 "autorun.inf", 将你电脑所有盘中的 "rose.exe" 文件全部删除 , 切勿遗漏 .( 每个盘中该病毒仅存在与根目录下 , 且每个盘切莫双击直接点开 !)------- 作彻底断掉该病毒的可执行文件 .
4. 在完成第三步之后,你会发现 "rose.exe" 文件已经不复存在 , 但是 "autorun.inf" 仍在 , 且无法删除 , 刷新后仍然出现 , 不要紧 , 重新启动电脑 , 进入系统 , 依旧按右键 " 打开 " 进入电脑各盘,再删除所有的 "autorun.inf" 文件 , 你会发现此次删除成功 ,-------- 作扔需注意切莫双击进入电脑各盘 , 否则前功尽弃 !
5. 重启电脑 ( 务必 ) 重复第 2 步搜索删除即可 !
方法二:
一、先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹,去掉“隐藏受保护的系统文件”的选中,让所有的文件都显示出来 .
( 若仍无法显示全部文件 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL ,将 CheckedValue 键值修改为 1 。若还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的 DWORD 值 CheckedValue 删除掉,新建了一个无效的字符串CheckedValue ,并且把键值改为 0 (如图)!这样你以为把 0 改为 1 就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。正确的方法是:先检查 CheckedValue 的类型是否为 REG_DWORD ,如果不是则删掉“李鬼” CheckedValue (例如在本“案例”中,应该把类型为 REG_SZ 的 CheckedValue 删除)。然后单击右键“新建” -- 〉“ Dword 值”,并命名为 CheckedValue ,然后修改它的键值为 1 ,这样就可以选择“显示所有隐藏文件”。经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden 的数据丢失或损坏,遇到这种情况,请在 Windows XP 安装光盘中找到 Hidden.reg ,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:我手头上的 XP 安装光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden 这个分支导出(假如命名为 1.reg );然后备份有问题的电脑的该注册表分支;最后把 1.reg 导入看能否解决问题)
二、 然后右击硬盘→打开的方法打开硬盘,你会看到 auotrun.inf 文件,先不要删除它,双击它 , 会自动用记事本打开这个文件,里面有 open=" 一个有 exe 文件 " ,到这里你要记住这个 open 后的这个 exe 文件,然后关闭记事本。
接下来,右击任务栏→任务管理器→进程→找到你刚才看到的 open 后的那个 exe 文件的进程→右击→结束进程树。再到该硬盘下面,你应该可以顺序删除里面的 autorun.inf 和 open 指向的 exe 文件了。
一般它还会感染其他盘,并且会在注册表里面有启动项,只要你重启就会重新发作,所以你还要把其它的盘检查一次。然后删掉注册表里的启动项,方法如下:
开始→运行→ regedit ,进入注册表,打下如下的子键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边找 open =指定的那个 exe 文件的启动项。一般会是 c:\windiws\*****.exe 之类!!
如果有,右击→删除即可!!这样就不会再发作了!
原因二: rose 病毒:
症状:双击盘符无法打开,只能通过右键打开;几天之后删除系统 NTDETECT.COM 文件,系统无法启动。
传播途径: U 盘、 MP3 、移动硬盘
检 查方法:将文件夹选项 -- 查看中的 " 隐藏受保护的操作系统文件(推荐) " 前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符,如果发现有“ rose.exe ”和“ AUTORUN.INF ”文件,则已中毒。
解决方法:
手动:
结 束 rose.exe 进程,然后删掉以下文件:各个盘符下的 autorun.inf 和 rose.exe 文件(包括自己的 U 盘等), c:\windows\system32\run.reg , c:\windows\system32\systemdate.ini ( 里面记录着删掉 NTDETECT.COM 文件的时间 ) , d:\systemfile.com 文件;最后将注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的 dll 键值删掉,然后重启即可。
没有评论:
发表评论