|
| | 首页 | 新闻频道 | 学校概况 | 教师频道 | 德育 | 下载中心 | 图片中心 | 雁过留声 | 金色童年 | 电脑之窗 | |
 |
您现在的位置: 重庆江津区吴滩小学 >> 电脑之窗 >> 系统 >> 正文 |  用户登录 新用户注册 |
|
|||||||||
| 关于硬盘自动播放的病毒 | |||||||||
| 作者:admin 文章来源:本站原创 点击数: 更新时间:2007-06-06 | |||||||||
|
先确认杀毒成功,然后打开要播放的盘符,,找根目录下面的隐含文件,Autorun.ini,用记事本打开,看看关联那个文件,找到那文件,看看时间/用时间搜索漏网之鱼. 最后删除这Autorun.ini文件, 然后用下面软件修复一下 注册表关键值修复工具 1.21 正式版 http://kv2005.spymac.net/download/software/RegFix.com 修复所有文件关联 网友:Antivirus 提供 自动播放惹的祸 最近朋友机子中毒,台式、手提……都遇到一个问题,就是病毒利用系统的自动播放进行加载和躲藏。具体症状表现为:在硬盘各分区上都出现autorun.inf文件和另外指向启动的病毒文件。只要双击硬盘盘符就等于启动病毒,将autorun.inf和病毒文件从硬盘中删除后双击硬盘无法打开,双击其他硬盘盘符病毒又再次感染原先已删除病毒的分区。 从网上搜索资料,得到两个办法比较好,一个是修改注册表,另一个是组策略。通过禁用系统的自动播放功能切断病毒的中键过程。运行->gpedit.msc->计算机配置->管理模板->系统->右侧中“关闭自动播放”,启动它。重启计算机。这样硬盘就不会自动播放病毒删除也水到渠成。关闭自动播放并不会关闭歌曲cd的自动播放,没有问题的。 注册表的方法是运行->regedit,定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer键下,修改右边“NoDriveTypeAutoRun”键值为十六进制的9D,重启计算机。和组策略一样效果。 之后就是杀掉病毒进程,删除病毒文件,去除注册表中病毒的残留信息。 http://www.ecjtu.org/forum/htm_data/47/0605/5578.html http://www.ecjtu.org/forum/htm_data/47/0606/5918.html 两则上海交大计算机系的文章,大家研究 我新弄好的系统就中毒,**! 下面是我在网上找的文章,希望能帮到遇到一样问题的人。 首先应该是更新的杀毒软件到最新的版本,如果软件提示有病毒的话,那就不用你操心了,直接点杀毒就可以了。声明一下啊,IE进程是iexplore.exe,不是iexplorers.exe。这确实是病毒。 偶告诉你一个方法啊,如果碰见了一些自己拿不准的病毒,你可以把进程的名字放在GOOGLE上搜索一下,这就是我搜出来的东东,你好好看看吧,应该就是你说的那个病毒了 最近网上流行一种后门病毒:Iexplores.exe.这个后可使后门种植者通过该 后门秘密控制受感染机器,这个病毒工作于Windows 32平台。 病毒会在硬盘的 根目录生成Iexplores.exe文件,这个文件的作用是:当你双击硬盘的盘符时, 系统会调用Iexplores.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。 另外病毒可以通过移动存储介质进行传播(U盘,移动硬盘).大多的杀毒软件可以 对其进行查杀!但是感染症状依然存在; 感染症状:windows无法找到Iexplores.exe或者双击活动硬盘无法直接打开, 而是出现一对话框,只能通过右键---打开才能浏览分区内容. 解决方法:右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下, 选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在 你的盘符下多了一antorun.inf 的文件,打开我们可以看到如下的内容: [AUTORUN] open=Iexplorers.exe 这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件, 即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因, 知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中 输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入Iexplorers.exe, 点查找,接下来会在注册表中找到此键值.一般在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\下. For example:如果是你的移动硬盘的盘符f盘打不开,那么你将会在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.f3查找 下一个,重复操作,直到所有的都清除.f5刷新,除盘符下的antorun.inf文件. 问题即可解决! 建议:希望所有的上网用户都安装杀毒软件和防火墙,并及时升级, 及时对移动存储设备进行查杀,如感染,可以参照上面的方法恢复!另外, 对注册表不熟悉的用户在操作前请先备份注册表!!!! 最强的杀木马广告免费手工升级软件ewido4.0 anti-spyware不影响杀毒软件运行 http://www.grisoft.cz/softw/70/filedir/ins..._4.0.0.172b.exe 汉化补丁http://www.newhua.com/soft/41516.htm 最好是进入安全模式下面,显示所有隐藏文件(包括系统隐藏文件),用右键打开任意驱动器,找到autorun.inf 。打开看,看里面的[autorun]=什么东西。。然后关闭auturun.inf 文件。再将auturun.inf 和[autorun]=后面的文件 一起删了。好像还有一个文件。是.htt为后缀的。也可以删除。 用上面的方法。把所有的盘里面的都清除。 清除完后。然后再开始--运行 里面输入 msconfig 里面启动项中有没有。上面提到的[autorun]=后面的文件 ,有则看它所存在的位置,删除它。然后把前面的勾给消除。点应用。。重启就OK》 1、在文件类型中重新设置打开方式(以XP为例) 打开 我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(具体选哪个根据你所遇问题,若属于双击打不开驱动器则选择“驱动器”,打不开文件夹则选择“文件夹”)。点下方的“高级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可随意填写,如果有“open”且指向的是其他陌生的.exe文件则有可能指向的是木马,则选择“编辑”),用于执行操作的应用程序里填写explorer.exe,确定。随后返回到“编辑文件类型”窗口,选中“open”,设为默认值,确定。现在再打开分区或文件夹看下,是不是已恢复正常? 2、注册表法: a、对于分区不能双击打开者 开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。 b、对于文件夹不能双击打开者 开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Directory\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。 关于U盘等存储设备感染病毒的解决方法 (本文所讲的是ROSE病毒的 其他相类似的病毒的解决方法类同) 你是不是有过U盘双击打不开的情况?(点右键会有"AUTO"和"自动播放"选项) 如果有,你可能中了ROSE病毒(还有ravmone等)了。这种病毒会在所有的根目录下建立ROSE.EXE和AUTORUN.INF文件,双击时就自动运行该病毒文件。 关于rose.exe病毒 此病毒作用机理是在各个盘符复制rose.exe病毒体,同时创建autorun.inf自运行文件(均为系统隐藏文件,需要在文件夹选项中做相应设置才可以见)。autorun.inf的作用是当你双击盘符时自动运行只定程序。此次病毒autorun.inf里 [autorun] Shellexecute=rose.exe 就是指定rose.exe这个病毒程序的运行。 rose.exe病毒主要表现在: 1、在系统中占用大量cpu资源。 2、在每个分区下建立rose.exeautorun.inf2个文件,双击该盘符时显示自动运行,但无法打开该分区。 3、大部分通过U盘、移动硬盘等存储设备传播。 4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。 手动杀毒方式,具体如下: 第一种 1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 2、在开始--运行中输入“regedit”打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。 3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。 4、对每个盘符点右键-打开进入(切记不能双击,用右键的打开选项),删掉所有的rose.exe和autorun.inf文件。 5、在c:windows下查找有没有rose相关文件,如果存在就直接删掉 第二种 首先,在进程管理中终止rose.exe进程。 其次,打开文件搜索(按win键+F),在搜索栏中填入“rose.exe”,把所有搜索到的rose.exe文件全部删除。再在搜索栏中填入“autorun.inf”,只需搜索根目录即可,把搜索到的文件再删除掉。 再次,在运行栏输入“msconfig”,在启动中去掉rose.exe的选项。 最后重启你的电脑! 第三种 1打开我的电脑——文件夹选项——查看——隐藏受保护的操作系统文件(把钩去掉)——显示所有的隐藏文件(选中它) 2CTRL+ALT+DEL三键齐按进到电脑进程,把进程中的所有是rose.exe文件进行“结束任务”(记清了,所有的,一般你有几个盘就会运行几个rose.exe文件) 3右击“我的电脑”——资源管理器——把各个盘根目录中的rose.exe 和 autorun.inf 两个文件进行手动删除(这两个文件一般都存在各个“本地磁盘”根目录下)。要注意非根目录下的autorun.inf有的不是病毒,看看它的内容就知道,不要删错了。 4清空回收站 5运行regedit,把rose.exe相关键值删除,重启,搞定。 rose.exe的发作原理 rose.exe,这个病毒工作于Windows 32平台。 病毒会在硬盘的 根目录生成rose.exe文件,这个文件的作用是:当你双击硬盘的盘符时, 系统会调用rose.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。 另外病毒可以通过移动存储介质进行传播(U盘,移动硬盘).有些杀毒软件可以 对其进行查杀!但是感染症状依然存在; 感染症状:"windows无法找到rose.exe"或者"双击活动硬盘无法直接打开", 而是出现一对话框,只能通过右键---打开才能浏览分区内容. 解决方法:右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下, 选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在 你的盘符下多了一antorun.inf 的文件,打开可以看到如下的内容: [AUTORUN] open=rose.exe 这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件, 即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因, 知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中 输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入rose.exe, 点查找,接下来会在注册表中找到此键值.一般在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\下. 如果是你的移动硬盘的盘符f盘打不开,那么你将会在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.F3查找下一个,重复操作,直到所有的都清除.F5刷新,除盘符下的antorun.inf文件. 问题即可解决! 假设你的活动硬盘是F盘,则将注册表中 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 项删除 rose.exe作用是:当你双击活动硬盘的盘符时,系统会调用rose.exe文件自动播放活动硬盘的内容,作为传播病毒的一种方式。 当你将活动硬盘接到某台电脑时,这台电脑的杀毒工具可以将活动硬盘根目录的病毒文件rose.exe直接删除掉。 但是,病毒在注册表中留下的信息没有被清除掉,所以当你再准备双击打开活动硬盘时,系统仍然会按照注册表的描述去调用rose.exe来播放活动硬盘的内容,由于这时文件已被删除,所以提示windows无法找到rose.exe。 如果你看不懂上面的文字说明的 此处有更为详尽的图示操作说明 http://me.flashlm.com/art_show.asp?id=93 还有大家可以到这里下载 ROSE病毒专杀工具 对于新手比较好用 http://www.phy.hbnu.edu.cn/soft/softdown.asp?softid=36 本文于2006-06-13 14:21:40.564被 遇见阿草 修改过。这是本帖的第23次修改。 发表于: 06-06-03 01:48:38 10[2楼]作者ID:遇见阿草 昵称: 遇见阿草 级别:会员 头衔:太平洋舰队中尉 发 帖 数:330 灌水积分:745 精华积分:0 技术积分:3 注册时间: 05-10-11 IP:已记录 查看作者文集 发短消息 为了把类似的病毒拒于门外我们可以取消系统的自动播放功能 在windows xp使用过程中,在默认情况下,一旦将可移动磁盘接入电脑(将光盘插入光驱,或者接插上U盘、移动硬盘时)Windows XP的自动播放功能就读取驱动器,完成后同时显示一个对话框,要求你选择是否打开其中的视频、音频、图片文件。这项自动功能可能是你不需要的。如果你想关闭的话,可以使用这样的办法: 一、为可移动设备设置属性。 关闭单个移动存储设备的“自动播放”功能,可以通过移动存储设备的属性页来直接关闭着项功能。(这要求该移动存储设备已经存在于计算机上。) 1、在我的电脑或者资源管理器中右键单击需要关闭自动播放功能的移动存储设备。选择属性。 2、在打开的窗口中单击“自动播放”选项卡,在操作框中,选定“选择一个操作来执行”前的单选框,然后选中“不执行操作”。最后“确定”。 这样该设备就不会再自动打开文件夹了。 二、使用组策略一次性全部关闭windows xp的自动播放功能: 如果你想一次全部禁用Windows XP的自动播放功能,可以使用组策略。 1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口; 2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”; 3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。 在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。 提醒:“关闭自动播放”设置是只能使系统不再列出光盘和移动存储的目录,并不能够阻止自动播放音乐CD盘。要阻止音乐CD的自动播放,你就只有更改移动设备的属性了。 本文于2006-06-05 11:46:27.368被 遇见阿草 修改过。这是本帖的第4次修改。 发表于: 06-06-04 23:24:26 10[3楼]作者ID:遇见阿草 昵称: 遇见阿草 级别:会员 头衔:太平洋舰队中尉 发 帖 数:330 灌水积分:745 精华积分:0 技术积分:3 注册时间: 05-10-11 IP:已记录 查看作者文集 发短消息 关于ravmone病毒的解决方法 中毒表现: RavMonE.exe 中毒后,①优盘不能正常退出;②读取优盘内容速度变慢;③查看所有文件,发现多了RavMonE.exe,RavMonLog,msvcr71.dll等几个文件。 重要文件.exe 中毒后,①优盘不能正常退出;②读取优盘内容速度变慢;③优盘上产生“重要文件.exe” 以上文件手工删除后,刷新几次均会再次出现。用刚升级的瑞星和诺顿均不能检测到有病毒。(最新版本可以删除主文件,注册表已被改,还是需要手动) 删除办法: 1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程 2、进入c:\windows,搜索ravmone,删除所搜相关项. 3、开始菜单-“运行”中输入“regedit”,在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是c:\windows\ravmone.exe的,把它删除掉 按Ctrl+F后,输入“RavmonE”,查找,若有与“RavmonE”相关键值,直接删除即可。 4、完成后,病毒就被清除了。 对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。 [注] 打开U盘时,一定不要双击打开,点右键,选择“打开”。如果右键中有“Auto”一项,则表明U盘已经中毒咯  !,删除根目录下的RavMonE.exe,RavMonLog,msvcr71.dll还有那个autorun.inf 即可,无论如何,一定不要双击打开U盘!(因为那样默认是运行Autorun定义的程序) |
|||||||||
 |
 |
 |
| 没有相关文章 |
 |
(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
 |
当前模板样式:[ 古色古香 ] |
 |
|
 |
 |
 |
