系統 - 中了rose 清除!

[psac]

Q:
【求助】d盤雙擊打不開，右鍵單擊多出一項自動播放，是不是中毒了？？？

d硬碟雙擊打不開，右鍵單擊多出一項自動播放，是不是中毒了？？？

打開d盤後，發現多了一個autorun文件，打開後顯示[autorun]
OPEN=D:\command.com

把這個文件刪掉後又回來了，怎麼辦啊 ，各位高手幫忙啊


A:

中了rose.exe

對了,你的中的就是木馬.你可以用卡巴斯基來試一下或用這種方法
硬碟磁碟代號雙擊無法打開,只能右鍵打開
　　按照下面的方法無法刪除autorun.inf文件
　
　　開始---執行---cmd，例如D盤，就輸入
　　D: dir /a （沒有參數A是看不到的，A是顯示所有的意思） 此時你會發現一個autorun.inf文件
　　attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、只讀、隱藏內容，否則無法刪除 autorun.inf ，
　　del autorun.inf
　　到這裡還沒完，因為你雙擊了D盤磁碟代號沒有打開卻得到一個錯誤。要求定位DESKTOP.exe，
　　這個時候自動執行的訊息已經加入註冊表了。下面清除註冊表中相關訊息：
　　開始-執行-regedit-編輯-查找
　　DESKTOP.exe 或是查找autorun
　　找到的第一個就是D盤的自動執行，刪除整個shell子鍵(注意,刪的時候一定要是shell這個子健,如果查找的是別的項或子鍵,一定不要亂刪,否則系統起不來不要來找我哦)
　　完畢.
　　重複以上操作數次，解決其他驅動器的問題，註冊表中的訊息是在一起的，在刪除D盤
　　ShellOpenAutorun的時候順便都刪除了吧。

電腦病毒rose.exe介紹與清除指南

病毒介紹：自4月10號以來，在網路上流行一個叫「rose.exe」的病毒，它最初的表現為在你的電腦裡面，右鍵單擊各個磁碟代號的時候，第一項由原來的「打開」變成了「自動播放」，然後在你的系統工作行程裡面會出現若干個「rose」的工作行程，佔用電腦的CPU資源。

　　傳播方式：通過USB碟、MP3 、移動硬碟等移動存儲設備傳播，一般表現為移動存儲設備內東西無法剪下、移動存儲設備無法移出等，尤其在公用電腦上表現極為明顯，目前我已經在校新聞實驗中心、校廣播台、校外印表店、照相館等公共電腦場所發現該病毒，且愈演愈烈，另外在很多同學的電腦或者移動存儲設備上發現該病毒，傳播極為迅速。

　　病毒危害：

　　1、在系統中佔用大量cpu資源。

　　2、在每個分區下建立rose.exe 和autorun.inf 2個文件，且它們都隱藏系統保護文件之內，無論你怎樣搜索都找不到，但是在雙擊該磁碟代號時病毒就自動執行了。

　　3、若你繼續無視該病毒，可能會引起部分操作系統崩潰，表現在開機自檢後直接並反覆重啟，無法進入系統，簡單的說就是你電腦突然死機了，然後就再也開不了機。即便在你重新格式化C硬碟，重新安裝系統之後，你只是清除了C硬碟的該病毒，但是它在其他盤下仍然存在，且會再次發作。

　　殺毒方式：目前經測試，不論是哪個殺毒軟件，不論你將病毒庫升級到最新的哪個時候，它們暫時都不具備查殺該病毒的能力，即便是在你所使用的殺毒軟件是正版的情況下。個人估計殺毒軟件公司的員工此時正在抓緊時間研究如何查殺中。

　　我也是中了此毒，被折騰得夠嗆，也重裝了電腦，花了點時間從網上去學習，才有此切身經驗，現在根據以往別人提供的方法，再結合自己的經驗，希望對各位電腦中毒的同學有所幫助，也希望能引起其他沒中毒的同學的重視。



rose.exe 江民Trojan/VB.Small 毒霸Backrose:-)

rose.exe 江民報Trojan/VB.Small.bl


隨便看了下，不知是否全，見諒了，有什麼錯誤之處請指點

若有以下文件刪除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
c:\system.sys
C:\NTDETECT.COM

c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com

註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"dll'="c:\system32\rose.exe"


Shellexecute=rose.exe

想請問大家是否被改註冊表後就被強制關機？因為有此代碼。。。。。。

看了http://www.2dai.com/forum/viewthread...extra=page%3D1


也有很多人中，憤怒寫此文

請轉貼務必註明本站kvirus.bokee.com


-----------------------------------------------------

這是重新整理的東東

感染產生
X:\autorun.inf
X:\rose.exe
c:\windows\system32\run.reg
------------------------------------------------------
c:\windows\system32\run.reg內容
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dll'="c:\system32\rose.exe"
regedit /s
-------------------------------------------------------
調用+產生
C:\NTDETECT.COM
d:\systemfile.com
-------------------------------------------------------
X:\autorun.inf內容
[autorun]
shellexecute=rose.exe
-------------------------------------------------------
調用+產生
X:\rose.exe
c:\windows\system32\systemdate.ini
d:\systemdate.ini
-------------------------------------------------------
c:\windows\system32\systemdate.ini內容
日期加3天（不知是不是發作日期:-)
-------------------------------------------------------
調用+產生
C:\NTDETECT.COM
c:\system.sys
執行shutdown -s -t 0 -f
-------------------------------------------------------

[yu jun]

感謝 版大 分享重要的解決訊息..