近日机器中了病毒,症状为在磁盘根目录下生成autorun.inf和setup.exe两个文件,并且在磁盘的右键菜单中添加了一个Auto项并设置为默认操作,这样每次双击磁盘盘符的时候病毒都会自动运行。此病毒还修改了注册表,使得“显示所有文件”这个项不能修改,在文件管理器中无法显示隐藏文件。
解决方法:
首先,在任务管理器中杀死病毒进程。
然后,编写一个bat文件,内容如下:
attrib -h -r -s \autorun.inf
del autorun.inf
attrib -h -r -s \setup.exe
del setup.exe
del autorun.inf
attrib -h -r -s \setup.exe
del setup.exe
该批处理文件自动删除当前磁盘根目录下的病毒文件,在每个磁盘上运行一下即可清除病毒。
最后,编写一个reg文件,内容如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden]
"Text"="隐藏文件"
"Type"="group"
"Bitmap"="C:\\WINDOWS\\SYSTEM\\SHDOC401.DLL,4"
"HelpID"="update.hlp#51131"
"Text"="隐藏文件"
"Type"="group"
"Bitmap"="C:\\WINDOWS\\SYSTEM\\SHDOC401.DLL,4"
"HelpID"="update.hlp#51131"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
ed"
"Text"="显示所有文件"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51105"
"Text"="显示所有文件"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51105"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
ed"
"Text"="不显示隐藏文件"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51104"
"Text"="不显示隐藏文件"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51104"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden\NOHIDORSYS]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
ed"
"Text"="不显示隐藏文件或系统文件"
"Type"="radio"
"CheckedValue"=dword:00000000
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51103"
"Text"="不显示隐藏文件或系统文件"
"Type"="radio"
"CheckedValue"=dword:00000000
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51103"
将以上文本导入到注册表,就可以修复病毒的破坏,到“文件夹选项”中修改成喜欢的配置即可。
这个病毒威力不是很大,未见其有什么破坏行为,主要通过u盘传播,较容易对付。
【盟】冰刃(325*) 提供方法:
删除双击无法打开的病毒方法:
1:运行regedit,进入注册表,查找pagefile.pif(有些机没有),将文件所在的shell全部删除。
2:下载TC654a,查找每一个盘下的aoturnu,注意C盘下的aoturun日期,别删错了。
注意:在做这些的时候千万别双击任何文件。
1:运行regedit,进入注册表,查找pagefile.pif(有些机没有),将文件所在的shell全部删除。
2:下载TC654a,查找每一个盘下的aoturnu,注意C盘下的aoturun日期,别删错了。
注意:在做这些的时候千万别双击任何文件。
本文转自starger51CTO博客,原文链接: http://blog.51cto.com/starger/19281,如需转载请自行联系原作者
