|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-09-24, 02:21 PM | #1 |
榮譽會員
|
資訊 - CDE等盤USB碟病毒右鍵open,開機彈出記事本的解決辦法
CDE等盤USB碟病毒右鍵open,開機彈出記事本的解決辦法
在dos下刪,C:\attrib -s -h -r autorun.inf C:\del autorun.inf =================================================== U: 表現形式:我想大家都見過了!`第一次是USB碟右鍵出現open、browns,而不是正常的打開,雙擊無法打開USB碟,要右擊點打開才行!` 而且一旦你雙擊過,病毒就寫入系統,下次開機會彈出記事本程式,並且以後沒感染此病毒的USB碟或者移動硬碟也會感染。 最近中了這個病毒,在網上找了一下解決方案,如下: 症狀: 解決辦法(一): 1、打開任務管理器結束wincfgs工作行程。 2、控制面版-資料夾選項(或者工具欄上的 工具-資料夾選項),去掉「隱藏受保護的操作系統文件」的勾,並選擇「顯示所有文件和資料夾」。 3、找到並刪除KB20060111.exe(也許文件名不同,在XP和2003中是和記事本一樣的藍色圖示,位置是C:\WINDOWS\KB20060111.exe)和wincfgs.exe(在XP系統中是黃色問號圖示的隱藏系統文件,位置是C:\windows\system32\wincfgs.exe)。 4、開始-執行-regedit-進入註冊表編輯器,選擇工具欄上的編輯-查找(記得將「項、值、資料」這三個查找選項選上,預定就是選上的,不要管),搜索「KB20060111.exe」,刪除找到的項/值,按F3鍵查找下一個並刪除相應的項/值,直到搜索完畢。 同理搜索「.\RECYCLER\RECYCLER\autorun.exe」和「wincfgs.exe」的相關項/值,刪除。 5、註冊表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理與wincfgs相關的開機啟動項。(因為第4步已經刪除,如果沒有看到wincfgs相關項則略過,正常情況也的確看不到。) 6、開始-執行-msconfig-點最後的「啟動」-取消「wincfgs」(可能沒有,那就不用管了)-確定-重啟。 7、系統清理結束。 8、將USB碟裡邊的RECYCLER資料夾和autorun.inf(有興趣的可以看下裡邊的代碼,會發現彈出記事本程式的根源)文件刪除,取下USB碟,再插上問題解決。 解決方法(二): 如果你嫌上邊的方法麻煩,就用下邊這個方法。(你只操作就行了,完全不知道怎麼刪除的) 1、將下邊的代碼用記事本寫下另存為1.bat。(延伸名是.bat就行了) @echo off tskill wincfgs attrib -R -A -S -H C:\windows\system32\wincfgs.exe attrib -R -A -S -H C:\WINDOWS\KB20060111.exe del C:\windows\system32\wincfgs.exe del C:\WINDOWS\KB20060111.exe tskill conime del %0 2、將下邊的代碼用記事本寫下另存為2.reg。(同樣延伸名是.reg就行了) Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\windows\system32\wincfgs.exe"=- "C:\WINDOWS\KB20060111.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load] 3、雙擊執行1.bat和2.reg(提示是否匯入註冊表,點確定。) 4、開始-執行-msconfig-點最後的「啟動」-取消「wincfgs」-確定-重啟。 5、結束。最後按照(一)的方法刪除你USB碟的RECYCLER資料夾和autorun.inf文件。拔出後再插 上就好了! ==================================================== 關於USB碟等存儲設備感染病毒的解決方法 (本文所講的是ROSE病毒的 其他相類似的病毒的解決方法類同) 你是不是有過USB碟雙擊打不開的情況?(點右鍵會有"AUTO"和"自動播放"選項) 如果有,你可能中了ROSE病毒(還有ravmone等)了。這種病毒會在所有的根目錄下建立ROSE.EXE和AUTORUN.INF文件,雙擊時就自動執行該病毒文件。 關於rose.exe病毒 此病毒作用機理是在各個磁碟代號複製rose.exe病毒體,同時創建autorun.inf自執行文件(均為系統隱藏文件,需要在資料夾選項中做相應設置才可以見)。autorun.inf的作用是當你雙擊磁碟代號時自動執行只定程式。此次病毒autorun.inf裡 [autorun] Shellexecute=rose.exe 就是指定rose.exe這個病毒程式的執行。 rose.exe病毒主要表現在: 1、在系統中佔用大量cpu資源。 2、在每個分區下建立rose.exeautorun.inf2個文件,雙擊該磁碟代號時顯示自動執行,但無法打開該分區。 3、大部分通過USB碟、移動硬碟等存儲設備傳播。 4、可能會引起部分操作系統崩潰,表現在開機自檢後直接並反覆重啟,無法進入系統。 手動殺毒方式,具體如下: 第一種 1、調出任務管理器,在工作行程網頁面中結束掉所有名稱為Rose.exe的工作行程(建議在後面的操作中反覆此操作,以確保病毒文件不會反覆發作)。 2、在開始--執行中輸入「regedit」打開註冊表,查找所有的「rose.exe」鍵值項,找到後將整個shell子鍵刪除。 3、在我的電腦-工具-資料夾選項-檢視-顯示所有文件和資料夾,把「隱藏受保護的系統文件」的勾去掉。 4、對每個磁碟代號點右鍵-打開進入(切記不能雙擊,用右鍵的打開選項),刪掉所有的rose.exe和autorun.inf文件。 5、在c:windows下查找有沒有rose相關文件,如果存在就直接刪掉 第二種 首先,在工作行程管理中停止rose.exe工作行程。 其次,開啟文件搜索(按win鍵 F),在搜索欄中填入「rose.exe」,把所有搜索到的rose.exe文件全部刪除。再在搜索欄中填入「autorun.inf」,只需搜索根目錄即可,把搜索到的文件再刪除掉。 再次,在執行欄輸入「msconfig」,在啟動中去掉rose.exe的選項。 最後重啟你的電腦! 第三種 1打開我的電腦——資料夾選項——檢視——隱藏受保護的操作系統文件(把鉤去掉)——顯示所有的隱藏文件(選中它) 2CTRL ALT DEL三鍵齊按進到電腦工作行程,把工作行程中的所有是rose.exe文件進行「結束任務」(記清了,所有的,一般你有幾個盤就會執行幾個rose.exe文件) 3右擊「我的電腦」——視窗檔案總管——把各個盤根目錄中的rose.exe 和 autorun.inf 兩個文件進行手動刪除(這兩個文件一般都存在各個「本機磁碟」根目錄下)。要注意非根目錄下的autorun.inf有的不是病毒,看看它的內容就知道,不要刪錯了。 4清空資源回收筒 5執行regedit,把rose.exe相關鍵值刪除,重啟,搞定。 rose.exe的發作原理 rose.exe,這個病毒工作於Windows 32平台。 病毒會在硬碟的 根目錄產生rose.exe文件,這個文件的作用是:當你雙擊硬碟的磁碟代號時, 系統會呼叫rose.exe文件自動播放硬碟的內容,作為傳播病毒的一種方式。 另外病毒可以通過移動存儲介質進行傳播(USB碟,移動硬碟).有些殺毒軟件可以 對其進行查殺!但是感染症狀依然存在; 感染症狀:"windows無法找到rose.exe"或者"雙擊活動硬碟無法直接打開", 而是出現一交談視窗,只能通過右鍵---打開才能瀏覽分區內容. 解決方法:右鍵打開其中一受感染的磁碟代號,在工具欄---資料夾選項--檢視下, 選顯示所有文件和資料夾,同時去除隱藏受保護的系統文件前的勾,你會發現在 你的磁碟代號下多了一antorun.inf 的文件,打開可以看到如下的內容: [AUTORUN] open=rose.exe 這句話的意思就是當你雙擊磁碟代號時自動打開寫入註冊表中的病毒程式文件, 即使病毒被殺死,但是註冊表的訊息依然存在,這就是無法打開磁碟代號的原因, 知道了原因,那麼我們就來刪除病毒在註冊表中的殘留訊息,開始---執行中 輸入regedit打開註冊表編輯程式,ctrl f打開查找命令,輸入rose.exe, 點查找,接下來會在註冊表中找到此鍵值.一般在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\下. 如果是你的移動硬碟的磁碟代號f盤打不開,那麼你將會在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\F\Shell\command\下發現此鍵值,把shell子鍵刪除即可.F3查找下一個,重複操作,直到所有的都清除.F5重新整理,除磁碟代號下的antorun.inf文件. 問題即可解決! 假設你的活動硬碟是F盤,則將註冊表中 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 項刪除 rose.exe作用是:當你雙擊活動硬碟的磁碟代號時,系統會呼叫rose.exe文件自動播放活動硬碟的內容,作為傳播病毒的一種方式。 當你將活動硬碟接到某台電腦時,這台電腦的殺毒工具可以將活動硬碟根目錄的病毒文件rose.exe直接刪除掉。 但是,病毒在註冊表中留下的訊息沒有被清除掉,所以當你再準備雙擊打開活動硬碟時,系統仍然會按照註冊表的描述去呼叫rose.exe來播放活動硬碟的內容,由於這時文件已被刪除,所以提示windows無法找到rose.exe。 如果你看不懂上面的文字說明的 此處有更為詳盡的圖示操作說明 http://me.flashlm.com/art_show.asp?id=93 還有大家可以到這裡下載 ROSE病毒專殺工具 對於新手比較好用 http://www.phy.hbnu.edu.cn/soft/softdown.asp?softid=36 |
__________________ |
|
送花文章: 3,
|