广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 7085 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] CDE等盘USB碟病毒右键open,开机弹出记事本的解决办法
CDE等盘USB碟病毒右键open,开机弹出记事本的解决办法

在dos下删,C:\attrib -s -h -r autorun.inf
C:\del autorun.inf
===================================================
U:
表现形式:我想大家都见过了!`第一次是USB碟右键出现open、browns,而不是正常的打开,双击无法打开USB碟,要右击点打开才行!` 而且一旦你双击过,病毒就写入系统,下次开机会弹出记事本程式,并且以后没感染此病毒的USB碟或者移动硬碟也会感染。
最近中了这个病毒,在网上找了一下解决方案,如下:
症状:

解决办法(一):
1、打开任务管理器结束wincfgs工作行程。
2、控制面版-资料夹选项(或者工具栏上的 工具-资料夹选项),去掉「隐藏受保护的操作系统文件」的勾,并选择「显示所有文件和资料夹」。
3、找到并删除KB20060111.exe(也许文件名不同,在XP和2003中是和记事本一样的蓝色图示,位置是C:\WINDOWS\KB20060111.exe)和wincfgs.exe(在XP系统中是黄色问号图示的隐藏系统文件,位置是C:\windows\system32\wincfgs.exe)。
4、开始-执行-regedit-进入注册表编辑器,选择工具栏上的编辑-查找(记得将「项、值、资料」这三个查找选项选上,预定就是选上的,不要管),搜索「KB20060111.exe」,删除找到的项/值,按F3键查找下一个并删除相应的项/值,直到搜索完毕。
同理搜索「.\RECYCLER\RECYCLER\autorun.exe」和「wincfgs.exe」的相关项/值,删除。
5、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第4步已经删除,如果没有看到wincfgs相关项则略过,正常情况也的确看不到。)
6、开始-执行-msconfig-点最后的「启动」-取消「wincfgs」(可能没有,那就不用管了)-确定-重启。
7、系统清理结束。
8、将USB碟里边的RECYCLER资料夹和autorun.inf(有兴趣的可以看下里边的代码,会发现弹出记事本程式的根源)文件删除,取下USB碟,再插上问题解决。

解决方法(二):
如果你嫌上边的方法麻烦,就用下边这个方法。(你只操作就行了,完全不知道怎么删除的)
1、将下边的代码用记事本写下另存为1.bat。(延伸名是.bat就行了)
@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB20060111.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB20060111.exe
tskill conime
del %0
2、将下边的代码用记事本写下另存为2.reg。(同样延伸名是.reg就行了)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\windows\system32\wincfgs.exe"=-
"C:\WINDOWS\KB20060111.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
3、双击执行1.bat和2.reg(提示是否汇入注册表,点确定。)
4、开始-执行-msconfig-点最后的「启动」-取消「wincfgs」-确定-重启。
5、结束。最后按照(一)的方法删除你USB碟的RECYCLER资料夹和autorun.inf文件。拔出后再插
上就好了!
====================================================
关于USB碟等存储设备感染病毒的解决方法
(本文所讲的是ROSE病毒的 其他相类似的病毒的解决方法类同)
你是不是有过USB碟双击打不开的情况?(点右键会有"AUTO"和"自动播放"选项) 如果有,你可能中了ROSE病毒(还有ravmone等)了。这种病毒会在所有的根目录下建立ROSE.EXE和AUTORUN.INF文件,双击时就自动执行该病毒文件。
关于rose.exe病毒
此病毒作用机理是在各个磁碟代号复制rose.exe病毒体,同时创建autorun.inf自执行文件(均为系统隐藏文件,需要在资料夹选项中做相应设置才可以见)。autorun.inf的作用是当你双击磁碟代号时自动执行只定程式。此次病毒autorun.inf里
[autorun]
Shellexecute=rose.exe
就是指定rose.exe这个病毒程式的执行。
rose.exe病毒主要表现在:
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exeautorun.inf2个文件,双击该磁碟代号时显示自动执行,但无法打开该分区。
3、大部分通过USB碟、移动硬碟等存储设备传播。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反覆重启,无法进入系统。
手动杀毒方式,具体如下:
第一种
1、调出任务管理器,在工作行程网页面中结束掉所有名称为Rose.exe的工作行程(建议在后面的操作中反覆此操作,以确保病毒文件不会反覆发作)。
2、在开始--执行中输入「regedit」打开注册表,查找所有的「rose.exe」键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-资料夹选项-检视-显示所有文件和资料夹,把「隐藏受保护的系统文件」的勾去掉。
4、对每个磁碟代号点右键-打开进入(切记不能双击,用右键的打开选项),删掉所有的rose.exe和autorun.inf文件。
5、在c:windows下查找有没有rose相关文件,如果存在就直接删掉
第二种
首先,在工作行程管理中停止rose.exe工作行程。
其次,开启文件搜索(按win键 F),在搜索栏中填入「rose.exe」,把所有搜索到的rose.exe文件全部删除。再在搜索栏中填入「autorun.inf」,只需搜索根目录即可,把搜索到的文件再删除掉。
再次,在执行栏输入「msconfig」,在启动中去掉rose.exe的选项。
最后重启你的电脑!
第三种
1打开我的电脑——资料夹选项——检视——隐藏受保护的操作系统文件(把钩去掉)——显示所有的隐藏文件(选中它)
2CTRL ALT DEL三键齐按进到电脑工作行程,把工作行程中的所有是rose.exe文件进行「结束任务」(记清了,所有的,一般你有几个盘就会执行几个rose.exe文件)
3右击「我的电脑」——视窗档案总管——把各个盘根目录中的rose.exe 和 autorun.inf 两个文件进行手动删除(这两个文件一般都存在各个「本机磁碟」根目录下)。要注意非根目录下的autorun.inf有的不是病毒,看看它的内容就知道,不要删错了。
4清空资源回收筒
5执行regedit,把rose.exe相关键值删除,重启,搞定。
rose.exe的发作原理
rose.exe,这个病毒工作于Windows 32平台。 病毒会在硬碟的
根目录产生rose.exe文件,这个文件的作用是:当你双击硬碟的磁碟代号时,
系统会呼叫rose.exe文件自动播放硬碟的内容,作为传播病毒的一种方式。
另外病毒可以通过移动存储介质进行传播(USB碟,移动硬碟).有些杀毒软件可以
对其进行查杀!但是感染症状依然存在;
感染症状:"windows无法找到rose.exe"或者"双击活动硬碟无法直接打开",
而是出现一交谈视窗,只能通过右键---打开才能浏览分区内容.
解决方法:右键打开其中一受感染的磁碟代号,在工具栏---资料夹选项--检视下,
选显示所有文件和资料夹,同时去除隐藏受保护的系统文件前的勾,你会发现在
你的磁碟代号下多了一antorun.inf 的文件,打开可以看到如下的内容:
[AUTORUN]
open=rose.exe
这句话的意思就是当你双击磁碟代号时自动打开写入注册表中的病毒程式文件,
即使病毒被杀死,但是注册表的讯息依然存在,这就是无法打开磁碟代号的原因,
知道了原因,那么我们就来删除病毒在注册表中的残留讯息,开始---执行中
输入regedit打开注册表编辑程式,ctrl f打开查找命令,输入rose.exe,
点查找,接下来会在注册表中找到此键值.一般在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\下.
如果是你的移动硬碟的磁碟代号f盘打不开,那么你将会在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.F3查找下一个,重复操作,直到所有的都清除.F5重新整理,除磁碟代号下的antorun.inf文件.
问题即可解决!
假设你的活动硬碟是F盘,则将注册表中
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 项删除
rose.exe作用是:当你双击活动硬碟的磁碟代号时,系统会呼叫rose.exe文件自动播放活动硬碟的内容,作为传播病毒的一种方式。
当你将活动硬碟接到某台电脑时,这台电脑的杀毒工具可以将活动硬碟根目录的病毒文件rose.exe直接删除掉。
但是,病毒在注册表中留下的讯息没有被清除掉,所以当你再准备双击打开活动硬碟时,系统仍然会按照注册表的描述去呼叫rose.exe来播放活动硬碟的内容,由于这时文件已被删除,所以提示windows无法找到rose.exe。

如果你看不懂上面的文字说明的 此处有更为详尽的图示操作说明
http://me.flashlm.com/...asp?id=93
还有大家可以到这里下载 ROSE病毒专杀工具 对于新手比较好用
http://www.phy.hbnu.edu.cn/so...sp?softid=36



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-18 03:07 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.096822 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言