軟體 - 雙擊硬碟打不開的解決方法（中落雪病毒所致）

psac · 2006-09-07, 09:01 PM

雙擊硬碟打不開的解決方法

昨天一個同事打電話，說他那裡有一台電腦的所有硬碟分區雙擊打不開，也沒有任何反應，電腦但點擊右鍵，指向「打開」，可以打開，能夠正常使用。根據他說是剛重新安裝的操作系統（window xp sp2），當時也沒有過問電腦是否在聯網中，所以也沒有考慮電腦是否中毒的這種情況。
首先，想到的是雙擊打開硬碟分區的，與瀏覽我的電腦的程式（explores.exe）的關聯程式丟失。但忙了大半天，也沒有找到怎樣關聯的辦法。最終花了半個小時的時間，失落的感覺真得很難受呀。

今天來到公司，想起來那個問題，到網上查找了一下。問題終於明白了，原來是電腦中了病毒所致，找到問題了，當然問題也就很容易解決了，其實也就是我上面所說的，windows無法找到Iexplore.exe程式,導致雙擊硬碟無法打開的問題。
下面是解決的辦法：

如果你的活動硬碟是C硬碟，則將註冊表中
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\Shell 項刪除，這樣就解決了！
在「資料夾選項」中設置顯示所有文件，然後將所有驅動根目錄中的Autorun.inf文件刪除即可。

問題解決了，分析一下原因吧。造成雙擊磁碟打不開，出現「windows無法找到Iexplores.exe」的原因是這樣的：
首先你的活動硬碟感染了Win32.Hack.Tompai.b.65024這種病毒。在金上毒霸的網站上對於它是這麼解釋的：
這個病毒使用了後門，後門種植者通過該後門，秘密控制受感染機器，這個病毒工作於Windows 32平台。
(http://db.kingsoft.com/c/2005/03/24/181620.shtml)

通過分析，我發現Tompai病毒會在活動硬碟的根目錄產生Iexplores.exe文件，這個文件的作用是：當你雙擊活動硬碟的磁碟代號時，系統會呼叫Iexplores.exe文件自動播放活動硬碟的內容，作為傳播病毒的一種方式。
當你將活動硬碟接到某個主機上時，這台主機上可能裝有金山毒霸，瑞星等殺毒工具，這些殺毒工具可以將活動硬碟根目錄的病毒文件Iexplores.exe直接刪除掉。

但是，病毒在註冊表中留下的訊息沒有被清除掉，所以當你再準備雙擊打開活動硬碟時，系統仍然會按照註冊表的描迀?去呼叫Iexplores.exe來播放活動硬碟的內容，由於這時文件已被刪除，所以提示windows無法找到Iexplores.exe。

還有另外的方法：

上面的兩種情況都是中了同樣的木馬程式病毒（Trojan.Psw.Lmir.Aov.4871）：
程文件： pagefile 或 pagefile.pif
工作行程位置： D:\pagefile.pif
程式名稱： Trojan.Psw.Lmir.Aov.4871
程式用途：木馬病毒，竊取密碼，破壞系統、程式
工作行程分析：可能發生D盤突然雙擊打不開，出現個自動播放的，像光碟一樣等現象。也可能是PWSteal.Wowcraft.b病毒。

我在網上搜索了一下，解決方法如下：
關於pagefile.pif文件產生D盤無法正常打開的詳細解決方案
最近在瀏覽一網站的webshell時，不慎中毒。
當機後重啟，發現D盤無法正常訪問，雙擊後沒有反映，其他盤正常。右鍵--打開後，發現多出一個文件，前提：打開了顯示所有文件（工具--資料夾選項--檢視--顯示所有文件和資料夾選中，然後確定），文件名為「pagefile.pif」，馬上查毒，沒有病毒..我用的是正版金山毒霸2006。正奇怪時發現金山網鑣的任務欄圖示小時了，但毒霸主程式沒有結束掉。馬上打開任務管理器，沒有發現可疑工作行程，刪除「pagefile.pif」文件，OK一下就刪除了。再打開D盤，顯示「找不到pagefile.pif，指定位置：」，馬上右鍵打開D盤，沒有找到AutoRun.inf（小常識：我們都知道平時一些遊戲光碟可以自動啟動，那是因為在光碟下有個"AutoRun"的文件，它是自動執行的一個基礎文件。可是D盤裡沒有這個文件啊。馬上搜索pagefile.pif，結果，搜索為系統見，才恍然大悟，馬上「工具--資料夾選項--檢視--去掉「隱藏受保護的操作系統文件」然後確定」，OK，多出一個Auturun文件，我們知道有系統內容的文件是無法直接刪除的，我們要剔除它的系統內容，打開CMD(開始--執行--CMD.exe)，輸入：attrib D:\autorun.inf -s -h -rEnter鍵，然後直接刪除文件。

OK基本工作已經完成，然後我想換個殺毒軟件試試能不能掃到病毒，剛打開IE就發現D盤那兩個文件又出來了！OK綁定了exe文件，恢復exe文件關聯，在CMD下輸入assoc.exe=exefile，Enter鍵。這時，恢復了文件關聯。下載木馬剋星，暈！被殺，用瑞星線上殺毒（www.3721.com 不是 www.rising.com.cn)，全面掃瞄C,D兩盤，殺掉病毒，然後刪除兩個D盤的文件，最後恢復下exe文件關聯，在註冊表裡然後刪除相關註冊表鍵值：進入註冊表以後，展開HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell，刪除shell下的autorun鍵值，重新整理以後，此時就應該可以打開磁碟代號了。
可能有多個!!

OK全部檢查下，保證D盤裡沒有文件存在，exe文件關聯正確，註冊表裡沒有啟動項。

重啟OK！

一個病毒就這麼解決了。如果它還啟動，請使用工具清除掉Trojan Program 的開機啟動。就OK了！

05522 · 2006-09-08, 03:35 PM

嗯！！
又學到一招了
真是感謝

jient · 2006-09-08, 04:36 PM

感謝Psac大
精僻的解說

2006-09-07, 09:01 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	軟體 - 雙擊硬碟打不開的解決方法（中落雪病毒所致）雙擊硬碟打不開的解決方法昨天一個同事打電話，說他那裡有一台電腦的所有硬碟分區雙擊打不開，也沒有任何反應，電腦但點擊右鍵，指向「打開」，可以打開，能夠正常使用。根據他說是剛重新安裝的操作系統（window xp sp2），當時也沒有過問電腦是否在聯網中，所以也沒有考慮電腦是否中毒的這種情況。首先，想到的是雙擊打開硬碟分區的，與瀏覽我的電腦的程式（explores.exe）的關聯程式丟失。但忙了大半天，也沒有找到怎樣關聯的辦法。最終花了半個小時的時間，失落的感覺真得很難受呀。今天來到公司，想起來那個問題，到網上查找了一下。問題終於明白了，原來是電腦中了病毒所致，找到問題了，當然問題也就很容易解決了，其實也就是我上面所說的，windows無法找到Iexplore.exe程式,導致雙擊硬碟無法打開的問題。下面是解決的辦法：如果你的活動硬碟是C硬碟，則將註冊表中 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\Shell 項刪除，這樣就解決了！在「資料夾選項」中設置顯示所有文件，然後將所有驅動根目錄中的Autorun.inf文件刪除即可。問題解決了，分析一下原因吧。造成雙擊磁碟打不開，出現「windows無法找到Iexplores.exe」的原因是這樣的：首先你的活動硬碟感染了Win32.Hack.Tompai.b.65024這種病毒。在金上毒霸的網站上對於它是這麼解釋的：這個病毒使用了後門，後門種植者通過該後門，秘密控制受感染機器，這個病毒工作於Windows 32平台。 (http://db.kingsoft.com/c/2005/03/24/181620.shtml) 通過分析，我發現Tompai病毒會在活動硬碟的根目錄產生Iexplores.exe文件，這個文件的作用是：當你雙擊活動硬碟的磁碟代號時，系統會呼叫Iexplores.exe文件自動播放活動硬碟的內容，作為傳播病毒的一種方式。當你將活動硬碟接到某個主機上時，這台主機上可能裝有金山毒霸，瑞星等殺毒工具，這些殺毒工具可以將活動硬碟根目錄的病毒文件Iexplores.exe直接刪除掉。但是，病毒在註冊表中留下的訊息沒有被清除掉，所以當你再準備雙擊打開活動硬碟時，系統仍然會按照註冊表的描迀?去呼叫Iexplores.exe來播放活動硬碟的內容，由於這時文件已被刪除，所以提示windows無法找到Iexplores.exe。還有另外的方法：上面的兩種情況都是中了同樣的木馬程式病毒（Trojan.Psw.Lmir.Aov.4871）：程文件： pagefile 或 pagefile.pif 工作行程位置： D:\pagefile.pif 程式名稱： Trojan.Psw.Lmir.Aov.4871 程式用途：木馬病毒，竊取密碼，破壞系統、程式工作行程分析：可能發生D盤突然雙擊打不開，出現個自動播放的，像光碟一樣等現象。也可能是PWSteal.Wowcraft.b病毒。我在網上搜索了一下，解決方法如下：關於pagefile.pif文件產生D盤無法正常打開的詳細解決方案最近在瀏覽一網站的webshell時，不慎中毒。當機後重啟，發現D盤無法正常訪問，雙擊後沒有反映，其他盤正常。右鍵--打開後，發現多出一個文件，前提：打開了顯示所有文件（工具--資料夾選項--檢視--顯示所有文件和資料夾選中，然後確定），文件名為「pagefile.pif」，馬上查毒，沒有病毒..我用的是正版金山毒霸2006。正奇怪時發現金山網鑣的任務欄圖示小時了，但毒霸主程式沒有結束掉。馬上打開任務管理器，沒有發現可疑工作行程，刪除「pagefile.pif」文件，OK一下就刪除了。再打開D盤，顯示「找不到pagefile.pif，指定位置：」，馬上右鍵打開D盤，沒有找到AutoRun.inf（小常識：我們都知道平時一些遊戲光碟可以自動啟動，那是因為在光碟下有個"AutoRun"的文件，它是自動執行的一個基礎文件。可是D盤裡沒有這個文件啊。馬上搜索pagefile.pif，結果，搜索為系統見，才恍然大悟，馬上「工具--資料夾選項--檢視--去掉「隱藏受保護的操作系統文件」然後確定」，OK，多出一個Auturun文件，我們知道有系統內容的文件是無法直接刪除的，我們要剔除它的系統內容，打開CMD(開始--執行--CMD.exe)，輸入：attrib D:\autorun.inf -s -h -rEnter鍵，然後直接刪除文件。 OK基本工作已經完成，然後我想換個殺毒軟件試試能不能掃到病毒，剛打開IE就發現D盤那兩個文件又出來了！OK綁定了exe文件，恢復exe文件關聯，在CMD下輸入assoc.exe=exefile，Enter鍵。這時，恢復了文件關聯。下載木馬剋星，暈！被殺，用瑞星線上殺毒（www.3721.com 不是 www.rising.com.cn)，全面掃瞄C,D兩盤，殺掉病毒，然後刪除兩個D盤的文件，最後恢復下exe文件關聯，在註冊表裡然後刪除相關註冊表鍵值：進入註冊表以後，展開HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell，刪除shell下的autorun鍵值，重新整理以後，此時就應該可以打開磁碟代號了。可能有多個!! OK全部檢查下，保證D盤裡沒有文件存在，exe文件關聯正確，註冊表裡沒有啟動項。重啟OK！一個病毒就這麼解決了。如果它還啟動，請使用工具清除掉Trojan Program 的開機啟動。就OK了！
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-09-08, 03:35 PM	#2 (permalink)
05522 長老會員榮譽勳章勳章總數5 UID - 2000 在線等級: 註冊日期: 2002-12-06 住址: TAIPEI 文章: 351 精華: 0 現金: 15907 金幣資產: 20927 金幣	嗯！！又學到一招了真是感謝

	送花文章: 1731, 收花文章: 63 篇, 收花: 121 次

2006-09-08, 04:36 PM	#3 (permalink)
jient 長老會員榮譽勳章勳章總數10 UID - 25891 在線等級: 註冊日期: 2003-01-14 文章: 2842 精華: 0 現金: 4 金幣資產: 490147 金幣	感謝Psac大精僻的解說

	送花文章: 21957, 收花文章: 2299 篇, 收花: 10395 次

Google 提供的廣告