9,505
社区成员
发帖
与我相关
我的任务
分享双击盘符打不开
我的计算机出了点小问题想请教一下!
我的计算机中了个病毒,没个盘符都不能双击打开。只能点右键打开!
我在命令提示符中发现了一个autorun.inf的文件,是一个隐藏的只读文件,我就用attrib autorun.inf -s -h -r 命令将它改了!
但是我在用del autorun.inf 删除时,计算机提示还是找不到,
这是为什么呢?
病毒依然存在,并且每个盘中都有都那个文件。
先谢谢老师了,虽是个小病毒,但感觉挺烦人的
杀毒软件都没用
(对了,我开始用以上方法删除过,删掉了autorun.inf文件,但由于我找不到那个注册表中的shell子键,没过多久autorun.inf又出来了。然后就怎么都删不掉了)
我的计算机中了个病毒,没个盘符都不能双击打开。只能点右键打开!
我在命令提示符中发现了一个autorun.inf的文件,是一个隐藏的只读文件,我就用attrib autorun.inf -s -h -r 命令将它改了!
但是我在用del autorun.inf 删除时,计算机提示还是找不到,
这是为什么呢?
病毒依然存在,并且每个盘中都有都那个文件。
先谢谢老师了,虽是个小病毒,但感觉挺烦人的
杀毒软件都没用
(对了,我开始用以上方法删除过,删掉了autorun.inf文件,但由于我找不到那个注册表中的shell子键,没过多久autorun.inf又出来了。然后就怎么都删不掉了)
...全文
请发表友善的回复…
发表回复
wei_xiao0125 2006-05-16
- 打赏
- 举报
你中的病毒是Rose.exe 这个病毒主要表现在:
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
由于某些原因,各种杀毒软件均没有提供相应的病毒库,导致无法通过杀毒软件查杀该病毒。现网络中心提供手动杀毒方式,具体如下:
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
方法二:
1、开机的时候按F8选择安全模式
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容,把能删除都删掉。另外system Volume Information目录(文件夹)下(WinXP),请关闭系统还原。
System Volume Information目录(文件夹)(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件,如果存在就直接删掉
转自版主虫子的帖子
方法三:
若有以下文件删除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
注册表项
rose.exe
Shellexecute=rose.exe
想请问大家是否被改注册表后就被强制关机?因为有此代码。。。。。。
心得:
rose病毒除了上面说的
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
之外,还可以自行复制执行文件并修改文件名,并在可能的每个注册信息里保存自己的注册信息,而且有可能引起浏览器错误
解决方法:
一:参考http://www.hzsdyfz.com.cn/new.php?id=2566 网站的方法手工操作
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操 作,(以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
然后 参考版主 zcp08765的帖子删除
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
这样手工删除之后,使用江民扫描所有盘符 会发现
C:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
D:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
E:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
中删掉所有的rose.exe和autorun.inf文件和修改过文件名的rose.exe和autorun.inf文件
修改后的文件名可能为A0053***.exe A0053***.inf 病毒文件可能不止一个
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
由于某些原因,各种杀毒软件均没有提供相应的病毒库,导致无法通过杀毒软件查杀该病毒。现网络中心提供手动杀毒方式,具体如下:
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
方法二:
1、开机的时候按F8选择安全模式
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容,把能删除都删掉。另外system Volume Information目录(文件夹)下(WinXP),请关闭系统还原。
System Volume Information目录(文件夹)(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件,如果存在就直接删掉
转自版主虫子的帖子
方法三:
若有以下文件删除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
注册表项
rose.exe
Shellexecute=rose.exe
想请问大家是否被改注册表后就被强制关机?因为有此代码。。。。。。
心得:
rose病毒除了上面说的
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
之外,还可以自行复制执行文件并修改文件名,并在可能的每个注册信息里保存自己的注册信息,而且有可能引起浏览器错误
解决方法:
一:参考http://www.hzsdyfz.com.cn/new.php?id=2566 网站的方法手工操作
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操 作,(以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
然后 参考版主 zcp08765的帖子删除
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
这样手工删除之后,使用江民扫描所有盘符 会发现
C:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
D:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
E:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
中删掉所有的rose.exe和autorun.inf文件和修改过文件名的rose.exe和autorun.inf文件
修改后的文件名可能为A0053***.exe A0053***.inf 病毒文件可能不止一个
flash_mob 2006-05-16
- 打赏
- 举报
我也有这样的问题,不过我的开始是这样的。双击出现让我选择打开方式。
现在又出现了,搜索。我在文件夹选项里面驱动的打开方式是“find”也是正常的。
盘里面也有autorun。inf里面好像写着 recycle。exe。
不知道这个是不是中了什么病毒
现在又出现了,搜索。我在文件夹选项里面驱动的打开方式是“find”也是正常的。
盘里面也有autorun。inf里面好像写着 recycle。exe。
不知道这个是不是中了什么病毒
tyrian 2006-04-28
- 打赏
- 举报
楼主中招是肯定的了,至于是否需要用楼上所提到的那么麻烦的方法,得看情况。
我这里提供一个简单的方法,只是对付一般简单病毒,不能保证100%可以成功:
将文件夹浏览模式设成可以浏览系统保护文件及隐藏文件,重新启动机子,进入C盘(注意不要双击进入,而是用右键选择“打开”),打开autorun.ini文件查看其运行的文件,将那个文件及autorun.ini文件一起删除。同理清除其他盘。
我这里提供一个简单的方法,只是对付一般简单病毒,不能保证100%可以成功:
将文件夹浏览模式设成可以浏览系统保护文件及隐藏文件,重新启动机子,进入C盘(注意不要双击进入,而是用右键选择“打开”),打开autorun.ini文件查看其运行的文件,将那个文件及autorun.ini文件一起删除。同理清除其他盘。
jay_lishijie 2006-04-26
- 打赏
- 举报
爱情后门(LOVEGATE)病毒杀毒指南
提 醒:重要资料及时备份,防比杀更有效
简介:lovgate集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码,通过远程疯狂传播局域网,最终导致所有计算机用户受到病毒控制,网络瘫痪、信息泄露等严重后果。
一、病毒资料
名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小:97,280字节
传播途径:EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径:Lovgate病毒新的变种,通过445端口搜索邻近IP共享目录,对密码进行弱
口令破解,成功后共享media目录,启动NETMANAGER.EXE远程管理程序,并做为服务器,继续搜索邻近IP,快速传播。
二、病毒被执行时,产生下列文件:
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\WinHelp.exe
%System%\NetMeeting.exe (61,440 bytes)
%System%\spollsv.exe (61,440 bytes)
%SysDir%\IEXPLORE.EXE
%SysDir%\kernel66.dll
%SysDir%\RAVMOND.exe
%WinDir%\SYSTRA.EXE
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\LMMIB20.DLL
C:\COMMAND.EXE (被加入autorun.inf文件,双击磁盘时自动转行)
三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下:
pass
bak
password
email
book
letter
important
四、更改注册表,机器启动时自动加载运行病毒程序
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In
Windows" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
"SystemTra" = %WinDir%\SysTra.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行,为病毒的后门服务。
五、自动生成和加载三个服务
1、Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
描述:提供后门服务
2、Display name: Windows Management Protocol v.0 (experimental)
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器,执行计划性扫描局域网。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows
3、Display name: Windows Management Network Service Extensions
ImagePath: NetManager.exe -exe_start
Startup: Automatic
描述:为远程管理程序,提供后门服务。
六、由于病毒会自动检测进程,如果发现被关闭,就会继续产生病毒进程。而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中,几乎没有办法手动完全关闭病毒进程。
七、病毒在每个磁盘分区会创建文件AUTORUN.INF,以COMMAND.COM或者COMMAND.EXE病毒文件。双击磁盘时,系统会根据AUTORUN.INF文件的指示,调用COMMAND.COM/EXE病毒文件,结果是无法打开磁盘分区。右键可以打开。
八、病毒检测移动磁盘,网络映射磁盘,以及盘符超过E的磁盘。如果发现有EXE文件,病毒会把它改名,后缀为.ZMX,并且隐藏文件。病毒会创造同名的EXE文件,125K,为病毒体。
九、自动删除一些杀毒软件的进程。病毒会检测一些进程的文件名,如果发现相关文件,会一概删除。主要的判断文件名包括:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
常见的杀毒软件和防火墙都有。。。。。。
所以大家不要以为计算机安装上杀毒软件和防火墙后,就绝对安全了!!!还是要谨慎!!!
十、lovegate病毒查杀方法
1、安全模式下查杀或用启动盘DOS下查杀,至少查杀二遍。
SYMANTEC的专杀工具下载网址为:
http://securityresponse.symantec.com/avcenter/FixLGate.com
瑞星的专杀工具下载网址为:
http://download.rising.com.cn/zsgj/RavLovGate.com
这个是.com,不会被改名,伪装。。。。
2、 EXE会被病毒改名,重新进入文件目录,显示所有文件,包括显示后缀,把隐藏的.ZMX文件改成.EXE文件。
3、 硬盘分区无法双击打开,显示所有文件,删除AUTORUN.INF。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
在注册表的这个项中寻找带有子项的数字{}项(不同机器数字不同),目标是子项中有shell/autorun这样子项的romReg键,键值为对应驱动器的名称,将shell子项删除, 对应驱动器就可以通过我的电脑双击进入
4、 杀毒后如果注册表修复不完整,可能会提示启动缺少什么DLL文件,可以手动查找注册表,删除相关注册表。
5、关闭磁盘共享,设置系统用户强悍密码。
6、打全系统补丁。不要再问我都打哪个,每个安全补丁都有其存在的价值。不想再中招就done all :)
7、小建议:打开电子邮件要小心。怕怕~~~~~
如果信件非常频繁,推荐www.hotmail.com 信箱自动查杀病毒功能
=============================
d、e、f、g盘(如果有的话)双击不能直接打开,说Windows无法找到COMMAND.EXE文件,要求定位该文件,定位C:\windows\explorer之后每次打开会提示“/StartExplorer”出错,然后依然能打开驱动器文件夹。 病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:
open="X:\command.exe" /StartExplorer (注:X为驱动器盘符)
所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒
瑞星比较笨不会帮你搞定这个问题(就算升级到最新版也没有用,瑞星网站上专杀也无法解决,且无相关说明),需要自己手工解决。
解决方法如下(以D盘为例):
===================
开始
运行
cmd(打开命令提示符)
D:
dir /a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除
del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe,这个时候自动运行的信息已经加入注册表了。
下面清除注册表中相关信息:
开始
运行
regedit
编辑
查找
command.exe
找到的第一个就是D盘的自动运行,删除整个shell子键
完毕,双击D盘,是不是可以打开了?
提 醒:重要资料及时备份,防比杀更有效
简介:lovgate集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码,通过远程疯狂传播局域网,最终导致所有计算机用户受到病毒控制,网络瘫痪、信息泄露等严重后果。
一、病毒资料
名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小:97,280字节
传播途径:EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径:Lovgate病毒新的变种,通过445端口搜索邻近IP共享目录,对密码进行弱
口令破解,成功后共享media目录,启动NETMANAGER.EXE远程管理程序,并做为服务器,继续搜索邻近IP,快速传播。
二、病毒被执行时,产生下列文件:
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\WinHelp.exe
%System%\NetMeeting.exe (61,440 bytes)
%System%\spollsv.exe (61,440 bytes)
%SysDir%\IEXPLORE.EXE
%SysDir%\kernel66.dll
%SysDir%\RAVMOND.exe
%WinDir%\SYSTRA.EXE
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\LMMIB20.DLL
C:\COMMAND.EXE (被加入autorun.inf文件,双击磁盘时自动转行)
三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下:
pass
bak
password
book
letter
important
四、更改注册表,机器启动时自动加载运行病毒程序
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In
Windows" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
"SystemTra" = %WinDir%\SysTra.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行,为病毒的后门服务。
五、自动生成和加载三个服务
1、Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
描述:提供后门服务
2、Display name: Windows Management Protocol v.0 (experimental)
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器,执行计划性扫描局域网。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows
3、Display name: Windows Management Network Service Extensions
ImagePath: NetManager.exe -exe_start
Startup: Automatic
描述:为远程管理程序,提供后门服务。
六、由于病毒会自动检测进程,如果发现被关闭,就会继续产生病毒进程。而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中,几乎没有办法手动完全关闭病毒进程。
七、病毒在每个磁盘分区会创建文件AUTORUN.INF,以COMMAND.COM或者COMMAND.EXE病毒文件。双击磁盘时,系统会根据AUTORUN.INF文件的指示,调用COMMAND.COM/EXE病毒文件,结果是无法打开磁盘分区。右键可以打开。
八、病毒检测移动磁盘,网络映射磁盘,以及盘符超过E的磁盘。如果发现有EXE文件,病毒会把它改名,后缀为.ZMX,并且隐藏文件。病毒会创造同名的EXE文件,125K,为病毒体。
九、自动删除一些杀毒软件的进程。病毒会检测一些进程的文件名,如果发现相关文件,会一概删除。主要的判断文件名包括:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
常见的杀毒软件和防火墙都有。。。。。。
所以大家不要以为计算机安装上杀毒软件和防火墙后,就绝对安全了!!!还是要谨慎!!!
十、lovegate病毒查杀方法
1、安全模式下查杀或用启动盘DOS下查杀,至少查杀二遍。
SYMANTEC的专杀工具下载网址为:
http://securityresponse.symantec.com/avcenter/FixLGate.com
瑞星的专杀工具下载网址为:
http://download.rising.com.cn/zsgj/RavLovGate.com
这个是.com,不会被改名,伪装。。。。
2、 EXE会被病毒改名,重新进入文件目录,显示所有文件,包括显示后缀,把隐藏的.ZMX文件改成.EXE文件。
3、 硬盘分区无法双击打开,显示所有文件,删除AUTORUN.INF。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
在注册表的这个项中寻找带有子项的数字{}项(不同机器数字不同),目标是子项中有shell/autorun这样子项的romReg键,键值为对应驱动器的名称,将shell子项删除, 对应驱动器就可以通过我的电脑双击进入
4、 杀毒后如果注册表修复不完整,可能会提示启动缺少什么DLL文件,可以手动查找注册表,删除相关注册表。
5、关闭磁盘共享,设置系统用户强悍密码。
6、打全系统补丁。不要再问我都打哪个,每个安全补丁都有其存在的价值。不想再中招就done all :)
7、小建议:打开电子邮件要小心。怕怕~~~~~
如果信件非常频繁,推荐www.hotmail.com 信箱自动查杀病毒功能
=============================
d、e、f、g盘(如果有的话)双击不能直接打开,说Windows无法找到COMMAND.EXE文件,要求定位该文件,定位C:\windows\explorer之后每次打开会提示“/StartExplorer”出错,然后依然能打开驱动器文件夹。 病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:
open="X:\command.exe" /StartExplorer (注:X为驱动器盘符)
所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒
瑞星比较笨不会帮你搞定这个问题(就算升级到最新版也没有用,瑞星网站上专杀也无法解决,且无相关说明),需要自己手工解决。
解决方法如下(以D盘为例):
===================
开始
运行
cmd(打开命令提示符)
D:
dir /a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除
del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe,这个时候自动运行的信息已经加入注册表了。
下面清除注册表中相关信息:
开始
运行
regedit
编辑
查找
command.exe
找到的第一个就是D盘的自动运行,删除整个shell子键
完毕,双击D盘,是不是可以打开了?
jay_lishijie 2006-04-26
- 打赏
- 举报
你中毒了。这个我以前见过的
mmcl 2006-04-26
- 打赏
- 举报
搜索整个硬盘:autorun.inf这个文件,还有autorun.htt之类东西,同时全部删掉!
再删掉注册表及所有启动项中的autorun.inf
再删掉注册表及所有启动项中的autorun.inf
meteorfish 2006-04-25
- 打赏
- 举报
在windows下删,即然是自动出现在那就肯定毒还没有杀掉,看看可疑进程杀掉.
xiaobudian2006 2006-04-25
- 打赏
- 举报
你能告诉我该如何删除么?
我用杀毒软件无效
我用杀毒软件无效
moodboy1982 2006-04-25
- 打赏
- 举报
可能真正的文件名不是那个。还有,你要看看内存中有没有。如果内存中有,你也删除不了。
--------------------个性签名-----------------
http://www.esoftnow.com/bbs
--------------------个性签名-----------------
http://www.esoftnow.com/bbs
