auto解决
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。 。
全都已经清空了,你还想恢复过来吗?
超级兔子修复IE
其实在电脑中删的文件并没完全删除
你只要找些专业人员就可以了 有恢复工具可以恢复
你先别在那文件夹乱+东西 不然会有影响
什么是“文件夹选项”中的“检视”页面,请问是什么系统的?我从没听过,有这个页面,
如果你是说查看页面。想恢复过来也不是没有可能,只是我做不到,
都破坏得面目全非了,是我就重装系统了!
如果你的注册表知识学得够好,你就可以手写这些注册键值导入就可以了。OK!
或者你可以去别的机子导一份注册表信息来你的机子,也行。
good luck!
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
杀毒软件实时监控可以打开,但开机无法自动运行
最简单的办法,执行杀毒软件的添加删除组件——修复,即可
补充:发现许多朋友都碰到这个病毒,回头来将本文重新补充了下,希望对各位有用。
2006-8-19
2006-8-23 补充更新
瑞星已出了专杀工具,不幸中此病毒的朋友可以去下面地址,下载“橙色八月专用提取清除工具”
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
AutoRun.inf病毒要打开:命令提示符 和 进入注册表查找 这两步骤怎么做?
悬赏分:20 - 解决时间:2007-4-4 13:12
电脑感染病毒后双击硬盘盘符C;D;E;F都无法打开,但可用右键点“打开”命令打开。 另右键可以看到"自动播放";更新系统无法解决。
解决方法:
此现象为电脑感染爱情后门病毒引起。病毒在每个驱动器下都有一个卷标AutoRun.inf文件,只要双击驱动器,就会激活病毒。只需要手工删除AutoRun.inf文件即可解决。
在“命令提示符”下输入“attrib autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除,这样C盘就可以打开了,按照同样的方法将其他盘依次也删除即可。
ttrib -h -s -r d:\\autorun.inf
del d:\\autorun.inf
attrib -h -s -r e:\\autorun.inf
del e:\\autorun.inf
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
这有可能是因为你机器中过病毒,杀毒之后的结果。这种病毒在每个驱动器下都有一个卷标AutoRun.inf文件,只要你双击驱动器,就会激活病毒,我们需要手工来删除AutoRun.inf这个文件,在“命令提示符”下输入“attrib
autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del
autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除。
解决的具体方法如下(以D盘为例):
开始---运行---cmd(打开命令提示符)
D: dir/a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除 autorun.inf ,
del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位DESKTOP.exe,
这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息:
开始
运行
regedit
编辑
查找
DESKTOP.exe
找到的第一个就是D盘的自动运行,删除整个shell子键
完毕.
重复以上操作数次,解决其他驱动器的问题,注册表中的信息是在一起的,在删除D盘
Shell\Open\Autorun的时候顺便都删除了吧。
rose病毒的杀毒方法:
版本一:
Rose.exe病毒主要表现在:
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
由于某些原因,各种杀毒软件均没有提供相应的病毒库,导致无法通过杀毒软件查杀该病毒。现网络中心提供手动杀毒方式,具体如下:
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
方法二:
1、开机的时候按F8选择安全模式
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容,把能删除都删掉。另外system Volume Information目录(文件夹)下(WinXP),请关闭系统还原。
System Volume Information目录(文件夹)(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件,如果存在就直接删掉
转自版主虫子的帖子
方法三:
若有以下文件删除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
注册表项
rose.exe
Shellexecute=rose.exe
想请问大家是否被改注册表后就被强制关机?因为有此代码。。。。。。
心得:
rose病毒除了上面说的
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
之外,还可以自行复制执行文件并修改文件名,并在可能的每个注册信息里保存自己的注册信息,而且有可能引起浏览器错误
解决方法:
手工操作
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操 作,(以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
然后 参考版主 zcp08765的帖子删除
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
这样手工删除之后,使用江民扫描所有盘符 会发现
C:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
D:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
E:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
中删掉所有的rose.exe和autorun.inf文件和修改过文件名的rose.exe和autorun.inf文件
修改后的文件名可能为A0053***.exe A0053***.inf 病毒文件可能不止一个
回答者:wangbaby89 - 举人 四级 8-27 07:23
提问者对于答案的评价:
你只解决了不能双击进入盘符问题,却没有解决我重起的问题,电脑发出警报声我自己解决了,是内存没插紧
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
通过一个叫“组策略”的东西,我们可以关闭所有驱动器的自动播放。这样的即使存在autorun.inf,也不会影响我们双击打开盘符。运行gpedit.msc就会打开组策略,在左边窗口中依次打开计算机配置——管理模板——系统,然后在右边窗口中找到“关闭自动播放”,双击打开这一项,选择“已启用”,然后选择“所有驱动器”,确定!最后,别忘了重新启动。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
怎么杀死SXS病毒啊?
悬赏分:20 - 解决时间:2006-12-8 20:34
我中了sxs病毒,每个盘中都有sxs.exe,autorun.inf,folder.htt,desktop.ini和两个文件夹:RECYCLER,System Volume Information。
我看过一些杀sxs的方法,可是我的windows任务管理器的进程中有6个svchost.exe却没有sxs.exe
请各位帮帮忙吧~~~~~
问题补充:就是svchost.exe啊!
提问者: lyp0454 - 试用期 一级
最佳答案
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
(删除病毒自启动项)打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
SVOHOST.exe 或 sxs.exe
下找到 SoundMam(注意不是soundman,只差一个字母) 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
然后:
删除各盘病毒文件的BAT
以下代码另存为bat
cd
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
-===============-=------------------++++++______________________________-----=================+=====++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++======
为什么双击“我的电脑”---“C盘”无法正常打开,而是选择打开方式?
悬赏分:0 - 解决时间:2007-5-28 12:50
为什么双击“我的电脑”---“C盘”“D盘”……都无法正常打开,而是选择打开方式?
但是从资源管理器可以点进去?
请求高手help!
提问者: yezhongkai168 - 试用期 一级
最佳答案
中了病毒了,autorun病毒
被感染的磁盘根目录下会生成一堆autorun.*文件,包括
autorun.bat、autorun.vbs、autorun.bin、autorun.inf、autorun.txt、autorun.reg、autorun.wsh。
其中autorun.inf文件是感染传播的关键,用记事本打开:发现其内容为:
autorun风暴
[autorun]
open=
shell\open=打开(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=资源管理器(&X)
一般利用优盘进行传播的病毒都会有这样一个文件。为避免激活病毒,大部分人在遭遇这样的病毒时采取的措施是右击盘符,选择“打开”,不过这要是这么做就正中病毒编写者下怀,他正是利用了大多数人处理这一类病毒时的动作,将“打开”和“资源管理器”两个菜单关联到新的命令:运行Windows自带的wscript.exe以调用病毒文件autorun.vbs。如果你正是这么做的,请在第一时间打开任务管理器,要是看到一个叫wscript.exe的进程,说明你已经中招,不要迟疑,立即结束该进程。然后从地址栏进入每个磁盘根目录,注意,不要双击磁盘或是右击选择“打开”,否则你又得再一次打开任务管理器。这时你应该会发现该病毒送你的七个文件:
autorun.bat、autorun.vbs、autorun.bin、autorun.inf、autorun.txt、autorun.reg、autorun.wsh
因为是隐藏的,并且带有系统属性,所以得在文件夹选项中取消隐藏受保护的操作系统文件并选中显示所有文件,果断的把它们请进回收站吧,为了保险,临走时清空一下回收站。如果你有好几个分区,这样手工清除实在是太不方便了,而且要是一不小心双击了盘符,那么此前做的就白费了,所以搜索电脑中的autorun.*文件,包括隐藏文件和系统文件,找到以后,看看它们是不是上边提到的七个中的,如果是,不用说也知道该怎么做了吧~ 一般来说根本不用看,肯定都是病毒文件,最后做好善后工作:
打开注册表,展开到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
在窗口右侧找到Userinit,双击,发现其值是
userinit.exe,autorun.bat
将,autorun.bat删除,只留下
userinit.exe
至此,病毒被清理干净。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024