进程中有个System32.exe文件,,,不能结束,,安全模式下也不行...每次开机都会在C:\WINDOWS下生成System32.dll这个可以删
还有,,每个盘都有个System32.exe和autorun.inf
[autorun]
open=System32.exe
这是autorun.inf文件的内容...
哪位大虾帮忙解决一下......
感谢大家的热心帮忙..... 多亏了wangjay1980 斑竹提供的工具,让我找到了原因.
我说一下解决办法:问题出在explorer.exe这个进程,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell的值被修改了,后面多出了explorer32.exe.我用usbcleaner20070419.rar 修复后,又会自动改回去.首先结束explorer.exe这个进程,当Windows启动explorer.exe时,卡巴拦截了explorer32.exe的启动,这时就可以用usbcleaner20070419.rar修复了.
然后就可以删除System32.exe这个进程.删除进程后,就是删文件了,分别删除各个盘的System32.exe,autorun.inf,C:\WINDOWS\System32.dll.还有C:\WINDOWS\System32\explorer32.exe
最后删除注册表,分别搜System32.exe和explorer32.exe.进行删除就OK了.
补充一点:以上几个病毒都是隐藏的,而在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置都无法显示,解决办法:
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉。
二、显示出被隐藏的系统文件
运行——regedit
把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的CheckedValue删除,再新建一个DWORD值命名为CheckedValue,数值取1即可。我们将这个改为1是毫无作用的,这是病毒把CheckedValue这项改成字符串值而非原来的DWORD值了。有部分病毒变种会直接把这个CheckedValue给删掉,只需自己再重新建一个就可以.
四、删除病毒的自动运行项
打开注册表运行——regedit
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\WINDOWS\system32\SVOHOST.exe,最后到 C:\WINDOWS\system32" 目录下删除SVOHOST.exe 或sxs,重启电脑
由于中毒程度不同,此方法只做参考.....谢谢....
[ 本帖最后由 nickyty 于 2007-4-21 01:29 编辑 ] |
[复制链接]
发表于 2007-4-20 17:44:29
