打开注册表(RegEdit),在编辑栏查找:roseexe查找。找到后再按F3,只到全部搜完后,删除右边的所有搜索结果,然后打开我的电脑各个盘,此时不要双击打开,在C盘根目录下
会看到有两个roseexe和autoruninf(可能是隐藏文件)删除即可,然后再依次检查其他盘,删完就O了
你中拉AUTO的话可以在注册表里面搞好的~~~
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autoruninf 和 sxsexe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOSTexe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOSTexe 或 sxsexe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了
下个AUTO专杀全部杀一次就可以拉
二~2的关键字autorun替换为auto就解决问题
Atorun/U盘病毒 杀毒&恢复2009-11-01 13:27很多人用U盘中了毒 并感染全硬盘 往往不名所以然,以下详解
一、U盘/autorun病毒特征:
(1)主要通过优盘传播;(2)隐藏U盘文件夹及文件,但是勾掉“文件夹选项——查看”中的隐藏选项仍看不到原始文件;所以不要担心文件被删了,只是被隐藏了而已,也算病毒作者有点良心;第一步可以恢复文件属性。(3)按照文件夹和文件名复制病毒,(如:文件名exe)伪装成原文件,让用户误以为只是被改后缀,双击后全硬盘感染病毒;(4)一般会全硬盘感染,C盘根目录(C:\WINDOWS\system32)和各盘符下都有隐藏的病毒文件;(5)杀毒软件被强制关闭或不能杀掉毒;(6)除了autorun命名的exe、vbs等病毒,还有systemexe、cccexe等病毒。
二、手动删除(其实前两步一般就能解决问题,嫌长的话3、4就不用看了)
0、注意事项:操作时不要双击盘符进入电脑。正确方法是——右击“我的电脑”——资源管理器——然后从左侧栏打开硬盘和文件夹。
1、U盘原始文件、文件夹和各盘符下病毒被病毒深度隐藏,设置显示所有隐藏文件和系统文件也不能看到。恢复方法为:
解决方法:开始-->运行-->输入cmd-->进入相应的盘符,输入命令attrib -r -s -h /s /d 回车运行即可(如U盘盘盘符为H,即 H:+回车,然后再输入命令) 。看看其他盘符有没有其他不正常exe文件和autorunexe,此即病毒文件
并且要把U盘以原文件夹名、文件名命名的exe文件和小于1M的exe文件全都删了,这全是病毒!
2、病毒专杀bat文件。把下列程序句复制到文本文档,保存后再改后缀为bat,双击运行:
@echo on
taskkill /im explorerexe /f
taskkill /im wscriptexe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import killreg
del c:\autorun /f /q /as
del %SYSTEMROOT%\system32\autorun /f /q /as
del d:\autorun /f /q /as
del e:\autorun /f /q /as
del f:\autorun /f /q /as
del g:\autorun /f /q /as
del h:\autorun /f /q /as
del i:\autorun /f /q /as
del j:\autorun /f /q /as
del k:\autorun /f /q /as
del l:\autorun /f /q /as
start explorerexe
3、另外设置显示所有隐藏文件和系统文件后,看看其他盘符有没有其他不正常exe文件(如sysmexe、cccexe等),把上面的bat文件中autorun换成exe的文件名,都运行一下,如:
@echo on
taskkill /im explorerexe /f
taskkill /im wscriptexe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import killreg
del c:\system /f /q /as
del %SYSTEMROOT%\system32\system /f /q /as
del d:\system /f /q /as
del e:\system /f /q /as
del f:\system /f /q /as
del g:\system /f /q /as
del h:\system /f /q /as
del i:\system /f /q /as
del j:\system /f /q /as
del k:\system /f /q /as
del l:\system /f /q /as
start explorerexe
4、杀毒后可能有后遗症——不能双击打开。解决如下
杀毒后并进行如下操作:打开“我的电脑”-“工具”-“文件夹选项” -“文件类型”,然后系统会找到很类型的文件类型, 你用滚动条找到“驱动器”,点击一下,然后在下面找到“高级”-“新建”-在弹出的对话框里,操作项输入“open",用于执行操作的应用程序输入“C:\WINDOWS\explorerexe”,[注,不带引号]最后点击确定即可。
参考资料:
我中过的说下我的经验,第一用专杀先在断网络的情况下强行杀掉熊猫,然后还没有完,之后了进安全模式,用瑞星全盘杀毒清除所有的感染文件(熊猫要感染exe还有一些网页文件比如什么html,asp,aspx,php等)最后了在用GHOST备份一次,记住了要吧后最名为GHO的文件的后最删掉,这个是防止病毒删除文件用的,因为熊猫要删除你的系统备份后最名为GHO的文件如果你吧后最删除了,它就没用了这样你下次中了病毒后,你先清病毒然后吧后最加上就可以直接恢复系统了,节省了很多的麻烦
在任务栏上右键打开“任务管理器”,在“进程”选项中找到SXSEXE或SVOHOSTEXE(请看清每个字母的拼写)进程,右键“结束进程”结束掉。之后即可使用杀毒软件杀auto病毒了。不过前提是你必须将电脑上的杀毒软件升级到最新的病毒库。如果电脑上无法升级杀毒软件,可以使用auto病毒专杀软件清除!专杀下载地址:
http://2021168377/hope/sites/liuzh/data/autorar
auto病毒防护方法和解决方案:
为降低感染U盘病毒的风险,请关闭Windows
XP的自动播放功能,操作方法如下:
1、点击“开始”选择“运行”,键入“gpeditmsc”,并运行,打开“组策略”窗口。
2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”。
3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。
4、在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。
需要注意的是:“关闭自动播放”设置是只能使系统不再列出光盘和移动存储的目录,并不能够阻止自动播放音乐CD盘。要阻止音乐CD的自动播放,你就只有更改移动设备的属性了。
特征:在每个盘根目录下自动生成sxsexe,autoruninf文件,有的还在windows\system32下生成SVOHOSTexe 或 sxsexe ,文件属性为隐含属性。自动禁用杀毒软件。
传染途径:主要通过U盘,移动硬盘
迷惑性:
1、按ctrl+del+alt查看进程,可能多出svohost进程,他与系统自带的svchost只差一字,大家要看清楚!
2、注册表修改项隐蔽更强,如何修改我将在下面详细说明。
3、自动修改注册表,使系统“显示所有隐藏文件”功能失效,从而达到隐藏自己病毒体文件的目的。
清除办法:
建议到安全模式下,网上有许多网友说直接搜索smsexe文件删除是不可以的,因为一删除后,只要你刷新就立刻出现。
1、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
2、恢复注册表(有的系统可能病毒没有修改注册表,检验办法是,如果您的系统能看到隐藏文件那么这步可以省略,建议大家都看一下)
(删除病毒自启动项)打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run
SVOHOSTexe 或 sxsexe
下找到 SoundMam(注意不是soundman,只差一个字母) 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOSTexe 的(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒体文件
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autoruninf 和 sxsexe 两个文件,将其删除。
最彻底的删除办法是:单击开始--运行--cmd 确定后在dos状态下写如下命令(一般系统盘跟目录下可能没有病毒体文件,但是其他盘应该都存在)
attrib -h -r -s c:\sxsexe
del c:\sxsexe
attrib -h -s -r c:\autoruninf
del c:\autoruninf
attrib -h -r -s d:\sxsexe
del d:\sxsexe
attrib -h -s -r d:\autoruninf
del d:\autoruninf
如果大家还有其他的盘符可以参考我上面的写一下就可以,如果有E盘,那就是
attrib -h -r -s e:\sxsexe
del e:\sxsexe
attrib -h -s -r e:\autoruninf
del e:\autoruninf
=============建议大家可以写成一的批处理,然后运行一下就ok了。
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOSTexe 或 sxsexe
为了方便大家我写了一个批处理删除病毒体文件,运行的时候如果提示“没有发现该文件”说明找不到病毒体文件,没有关系的。因为有些目录病毒可能没有复制到里面去。
大家把这个复制后用文本文件保存,然后改名为delsxsbat,最后双击运行就ok了,我只写到G盘的,估计就够用的,另外加了个h(u)盘的
attrib -h -r -s c:\sxsexe
del c:\sxsexe
attrib -h -s -r c:\autoruninf
del c:\autoruninf
attrib -h -r -s d:\sxsexe
del d:\sxsexe
attrib -h -s -r d:\autoruninf
del d:\autoruninf
attrib -h -r -s e:\sxsexe
del e:\sxsexe
attrib -h -s -r e:\autoruninf
del e:\autoruninf
attrib -h -r -s f:\sxsexe
del f:\sxsexe
attrib -h -s -r f:\autoruninf
del f:\autoruninf
attrib -h -r -s g:\sxsexe
del g:\sxsexe
attrib -h -s -r g:\autoruninf
del g:\autoruninf
attrib -h -r -s h:\sxsexe
del h:\sxsexe
attrib -h -s -r h:\autoruninf
del h:\autoruninf
最后提醒大家的是:使用u盘或者是移动硬盘的时候要在插入后,立刻按住shift键,防止自动运行程序启动,打开的时候要点右键--打开,这样病毒就不会运行(如果存在病毒文件sxsexe和autoruninf直接删除就ok了),否则如果你的u盘上有此病毒,你双击后,非但打不开u盘,还运行了病毒程序,呵呵上面做的一切都要重做了哦。
至于杀毒软件不能自动启动的问题,那可以重新安装或者参考各杀毒软件的处理办法了,这里就不一一列举了
中毒后,在各磁盘驱动器根目录下加autoruninf,以实现双击磁盘自动播放指定程序的病毒非常多。
Auto病毒专杀工具下载地址
http://wwwxdownscom/soft/8/9/2006/Soft_33488html
欢迎分享,转载请注明来源:品搜搜测评网
微信扫一扫
支付宝扫一扫
