双击打不开硬盘
发布个最近好多人中的病毒解决方法.
当前位置:首页 > 网络技术 > 网管之家 > 发布个最近好多人中的病毒解决方法.
卫星电视 发表于 2006-8-20 10:54:00
发布个最近好多人中的病毒解决方法.
最近好几个朋友说电脑好象中毒了,可用杀毒软件却又杀不出来.
远程连接到对方电脑上一看,确定是病毒,具体症状如下:
双击D盘打不开,点右键能打开,打开后发现有autorun.ini 及pagefile的文件
注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\Shell 这个键值 为 Explorer.exe 1(正常情况下这个键值为 Explorer.exe 没有后面的 1 )
在进程中有两个 winlogon.exe的进程及ExERoute.exe
如果你的电脑出现上面的症状,那说明你中招了.
解决方法有两种,一种是自动解决,一种是手动解决.
自动解决:
首先上木马杀客的网站下载一个落雪木马专杀(专杀工具下载)
再下载一个木马杀客软件(木马杀客下载)
1。然后在正常模式下关闭系统还原
2。然后重起电脑 按F8进入安全模式后 再选择进Administrator用户名
3。在刚查杀的时候不要开启任何程序(包括木马杀客和开机启动的程序) D盘不能双击 也不能运行后缀为.exe的文件和程序
4。先用落雪木马专杀的查杀功能查杀下 然后再选择落雪木马专杀的修复功能修复(选择全自动修复功能修复 千万别忘记了)
5. 再打开木马杀客全盘扫描查杀下(如果还发现有木马 请在隔离区把病毒文件删除)
6.再去看下进程有没木马进程
7.正常启动电脑,看进程及注册表里还没有本文开头所说的症状.
手动查杀
手动查杀需要用到两个软件 Regfix及Process Explorer
下载地址:
Process Explorer 下载
FixReg下载
1.将下载下来的FixReg文件解压出来,将主程序扩展名.exe 改为 .com备用
2.安装Process Explorer 装完后,找到其安装目录,将主程序的扩展名.exe 改为 .com
关掉所有不用的程序,运行这个软件,结束掉WINLOGON.exe进程(有的时候可能是services.exe、CSRSS.EXE、lsass.exe 等等),及ExERoute.exe进程. 这个时候需要注意一下,自己仔细看一下进程,上面提到的进程,在你的机器里,那个是双份的,因为一个是正常的,另一个是病毒,这Process Explorer软件里,你将鼠标指向某个进程,会显示你这个进程的所在位置.这样你就可以分辩那个是病毒了,正常的那个进程是在\windows\system32下,而病毒进程是在\windows\下.(如果是2K系统,那么是winnt
3.运行FixReg.com,修复exe 文件关联.
4.,还原被病毒修改的注册表内容:
注册表打开方法:开始----运行----输入 regedit --点确定
打开注册表编辑器,需要修改以下内容:
HKEY_CLASSES_ROOT\.lnk\ShellNew\\command
HKEY_CLASSES_ROOT\.bfc\ShellNew\\command
HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command\\
HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\
HKEY_CLASSES_ROOT\file\Shell\open\command\\
HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command\\
HKEY_CLASSES_ROOT\inffile\Shell\Install\command\\
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\
HKEY_CLASSES_ROOT\telnet\Shell\open\command\\
HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command\\
HKEY_CLASSES_ROOT\Unknown\Shell\openas\command\\
HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\\command
将以上注册表键值下的"rundll32.com","finder.com","command.pif"改为"rundll32.exe"
(据观察用FixReg软件执行全面修复后,上面这些已经是正确的了,如不正确再手动修改)
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command\\
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command\\
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command\\
HKEY_CLASSES_ROOT\ftp\Shell\open\command\\
将以上键值下的"iexplore.com"改为"iexplore.exe"
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command\\
HKEY_CLASSES_ROOT\http\Shell\open\command\\
将以上键值下内容修改为"%SystemRoot%\Program Files\Internet Explorer\iexplore.exe"
HKEY_CLASSES_ROOT\Drive\Shell\find\command\\
将以上键值下的"explorer1.com"改为"iexplore.exe"
HKEY_CLASSES_ROOT\.exe\\
将以上键值下的"(默认)"修改为"exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\\Shell
将以上键值下的"Explorer.exe 1"修改为"Explorer.exe"
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
将以上键值下的"No"修改为"Yes"
删除HKCR\winfiles
删除病毒自启动项和病毒信息:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RUN\\Torjan Program
"%Windows%\CSRSS.exe" (或services.exe Winlogon.exe Lsass.exe smss.exe等)
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings
删除HKLM\SOFTWARE\MICROSOFT\Windows\CURRENT VERSION子键(注意不是CURRENTVERSION子键,删中间有空格的那个,别删错了!)
5,最后删除病毒文件:
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
D:\autorun.inf
D:\pagefile
D:\command.com
c:\windows\winlogon.exe
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\MSWINSCK.OCX
C:\Program Files\Common Files\iexplore.pif
D:\command.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\LSASS.exe
c:\windows\winlogon.exe
c:\windows\smss.exe
PS:发上内容有部分摘自网络.
最后祝大家电脑上没有中此病毒,如果中此病毒那么祝大家可以安全清除掉.
[ 本帖最后由 卫星电视 于 2006-8-20 22:23 编辑 ]
恨天涯 发表于 2006-8-20 11:01:00
我来先顶一下!!
为你而醉 发表于 2006-8-20 14:56:00
不错,鼓励一下!
wyk999777 发表于 2006-8-21 8:37:00
我的也中毒了吗
我的移动磁盘出现了双击左键打不开的现象,也是中毒了吗?这种情况在注册表里是发现不了的吧。
yuanbc 发表于 2006-8-21 8:55:00
顶一下了~~
菜鸟网虫 发表于 2006-8-21 9:11:00
这个东东不错,早就遇到了,但手工杀毒失败
卫星电视 发表于 2006-8-21 11:24:00
你说的现象也是病毒,不过与本主题无关,解决方法如下:
双击左键打不开,你可以用点右键选打开,如果右键也打不开,你可以用资源管理器打开。然后找到活动硬盘根目录下的autorun.inf文件,打开后,会发现有一个OPEN=“×××”等号后面的就是病毒所在位置,把病毒删掉后,再把autorun.inf文件删掉
前几天发现一专门针对活动硬盘的病毒,就是在活动硬盘的每个分区下,都产生一个autorun.inf文件,还有一个Recycler的目录,注意这个目录和回收站的名字差不多,但其里面有病毒。而导致活动硬盘双击时,提示拒绝访问,点右键也无法打开,但用资源管理器却可以打开。打开后将其病毒文件删掉,然后将活动硬盘拨掉,重新插上就好了。(注:这些病毒文件都是系统及隐藏属性,需要在文件夹选项里选中“显示所有文件”及去掉“隐藏受保护的系统文件”前的对勾)
菜鸟网虫 发表于 2006-8-21 11:30:00
再提供一种,将移动硬盘里文件拷出来,再将移动盘格了
semi_1122 发表于 2006-8-22 23:18:00
不错,顶的第一个帖
杀毒软件都杀不出来,那就比较讨厌了,不是每个人都懂得计算机的呀。
yuonlin 发表于 2006-8-26 17:49:00
我有遇过。。不过现在好了——不过现在又碰到一个不知什么病毒了??
我现在又碰到一个怪象
我的IPC$共享会自动关闭。开启后不到10钟又关闭。。又查不到病毒,,请问是什么原因???
快速回复 |
发表于 2007-1-2 23:02:29
楼主