【賽迪網-IT技術報道】上週末好好的電腦突然中超多病毒,究其原因竟然是為了下載一個Perl解釋器而導致。正版的瑞星此時也是無能為力,只好修復硬碟/還原/重裝系統,可是還有問題:雙擊E盤卻不能打開。如何解決呢,經過多方求解終於把問題搞定啦。
一、首先學習幾個常用的命令
1、del d:/_desktop.ini /f/s/q/a,強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除。
|
本句話的意思是:用Dos命令批量刪除歡樂時光的病毒留下的屍體文件_desktop.ini。當然假設_desktop.ini是歡樂時光的病毒留下的屍體文件了。
2、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、隱藏、只讀屬性。
3、D: dir /a,a是顯示所有的意思。
二、解決辦法
由於我的E盤中病毒,這裡就以E盤為例。
1、一般情況
由於病毒在驅動器下面寫入了一個AutoRun.inf文件,故有可能是"Windows無法找到setup.exe"或顯示"控制面版"什麼的。
解決方法:
開始---運行---cmd,輸入命令E: dir /a,此時會發現一個autorun.inf文件。
attrib autorun.inf -s -h -r,去掉autorun.inf文件的系統、只讀、隱藏屬性,否則無法刪除 autorun.inf。
一般情況下還需要定位DESKTOP.exe。
開始--運行--regedit --編輯--查找 DESKTOP.exe 或是查找"autorun"。
找到的第一個就是E盤的自動運行,刪除整個shell子鍵(注意:刪的時候一定要是shell這個子健,如果查找的是別的項或子鍵,一定不要亂刪!)。
不過本次操作註冊表並無發現shell子鍵;但是E: dir /a,發現了ntldr.exe和FOUND.000文件,故刪除這兩個文件,重新啟動機器,問題解決。
附:
|
2、另一種辦法
(1)如果各分區根目錄下帶autorun.inf一類的隱藏文件,將它刪除(刪除方法同1用Del命令),重新啟動電腦。
(2)在文件類型中重新設置打開方式(以Windows XP為例)
打開我的電腦-〉工具-〉文件夾選項-〉文件類型,找到「驅動器」,點下方的「高級」 點選「編輯文件類型」裡的「新建」 操作裡填寫「open」, 用於執行操作的應用程序裡填寫explorer.exe 確定隨後返回到「編輯文件類型」窗口,選中open 設為默認值,點確定。現在再打開分區或文件夾看下,是不是已恢復正常?
(3)開始--運行--輸入regedit 找到[HKEY_CLASSES_ROOTDirectoryshell] 將shell下的全部刪除,然後關閉註冊表,按鍵盤F5刷新。
3、不同病毒的解決方法
後門病毒Iexplores.exe
請注意可不是Iexplore.exe噢,當心弄錯了。
該病毒工作於Windows 32平台,會在硬碟的根目錄生成Iexplores.exe。Iexplores.exe文件作用是:當你雙擊硬碟的盤符時,系統會調用Iexplores.exe文件自動播放硬碟的內容,作為傳播病毒的一種方式。另外病毒可以通過移動儲存介質進行傳播(如移動硬碟)。很多殺毒軟體可以對其進行查殺,但是感染症狀卻依然存在。
感染症狀:Windows無法找到Iexplores.exe或者雙擊活動硬碟無法直接打開,而是出現一對話框,只能通過右鍵的選項「打開」或者「資源管理器」才能瀏覽分區內容(1,2雙擊不能打開驅動盤亦如此)。
解決方法:右鍵打開受感染的盤符,在工具欄-〉文件夾選項-〉查看下選顯示所有文件和文件夾,同時去除隱藏受保護的系統文件的選擇,你會發現在你的盤符下多了一個autorun.inf 的文件,打開我們可以看到如下的內容:
|
該意思就是當雙擊盤符時自動打開寫入註冊表中的病毒程序文件,即使病毒被殺死,但是註冊表的信息依然存在,這就是無法打開盤符的原因。那麼就來刪除病毒在註冊表中的殘留信息:通過regedit 打開註冊表編輯程序,查找Iexplorers.exe。一般在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints下。
如:如果是你的移動硬碟的盤符f盤打不開,那麼你將會在 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/FShellcommand下發現此鍵值,把shell子鍵刪除即可,F3查找下一個,重複操作,直到所有的都清除,F5刷新,刪除盤符下的antorun.inf文件。問題即可解決!
sxs.exe病毒
病毒會導致分區盤雙擊不能打開,瑞星自動關閉無法打開。
在任務管理器發現 sxs.exe 或者svohost.exe (與系統進程 svchost.exe 一字之差噢,當心呀)。
在以下整個過程中不得雙擊分區盤,需要打開時用鼠標右鍵--打開!
解決方法
A、關閉病毒進程
B、顯示出被隱藏的系統文件
在註冊表 HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/explorer/Advanced/ Folder/Hidden/SHOWALL,將CheckedValue鍵值修改為1。
這裡要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,並且把鍵值改為0!我們將這個改為1是毫無作用的。(有部分病毒變種會直接把這個CheckedValue給刪掉,自己再重新建一個就可以了)
方法:刪除此CheckedValue鍵值,單擊右鍵 新建--Dword值--命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇「顯示所有隱藏文件」和「顯示系統文件」。 在文件夾--工具--文件夾選項中將系統文件和隱藏文件設置為顯示。
C、刪除病毒
刪除 autorun.inf 和 sxs.exe 兩個文件。
D、刪除病毒的自動運行項
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 鍵值,可能有兩個,刪除其中的鍵值。
最後到 C://WINDOWS/system32/ 目錄下刪除 SVOHOST.exe 或 sxs.exe。重啟電腦後,發現殺毒軟體可以打開,分區盤雙擊可以打開了。
如果瑞星計算機監控無法打開,或者打開後是收著的小紅傘,並且所有的監控開啟都失敗,在系統的「服務」中把「Rising Process Communication Center」改為「自動」以啟用該服務便可。
(