老闆的電腦又中了毒
在工具- 資料夾-顯示所有檔案 功能失效
我不是已經在C. D. E 硬諜都建立了AUTORUN.INF 資料夾了嗎?
自動開啟任何磁諜也關閉了啊
就算使用者在插入USB MP3 數位相機記憶卡時
沒用檔案總管開啟而是直接點選2下
但也建立了AUTORUN.INF
何況還安裝了卡巴斯基防毒軟體
現在的病毒真厲害 還可把 一些BAT . COM 檔直接植入D槽 E槽
所以又上網找了相關資料
卡巴斯機掃毒後電腦重新開機 按F8 安全模式在 開始-執行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1 (被改成0), 它並沒改掉有效的DWORD值為REG_SZ , 所以我把將CheckedValue鍵值修改為1, 不用新建
CheckedValue鍵值
這樣隱藏的檔案及系統檔就一覽無遺 這解決了老闆電腦顯示隱藏檔案及系統檔失效的問題在打上regedit ,我用了搜尋 找到了inetsrv & driveinfo 無用的機碼也刪了sxs ,kavo , kb2006a, svohost, mdm ,usbmons 類型為REG_SZ登錄機碼在windows\system32 刪了inetsrv 資料夾是空的倒是刪之前在工作管理員裡並沒看到inetsrv.EXE 的服務及SVOHOST的運程我依樣畫葫蘆在NB 做了一次刪了一些無用的機碼就在重新開機後NB一閃即關閉,嚇了我一身冷汗(充電器是一直插著的啊),以為完蛋了,動錯了什登錄機碼老闆的電腦我可是還沒重新開機測試有無問題, 萬一開不了機就慘了ㄟㄟ,NB 我換了別的插座充電開機,看到了windows的畫面安心了,原來先一個插孔是有問題的老闆的電腦重新開機沒問題了我終於敢動登錄機碼了啊
(原文有關SVCHOST.EXE的刪除, 應是誤記, 刪的應該SVOHOST.EXE)
轉載如下:
檢查方法
把隨身碟插上
打開命令提示字元
鍵入x: (enter)(x為你的隨身碟的磁碟代號)
用dir /a (enter)檢查是否有一個叫autorun.inf的檔案
鍵入attrib -r -h -s autorun.inf (enter)
del autorun.inf (enter)
等待個5秒
再鍵入dir /a (enter)檢查autorun.inf是否又出現
又出現就是中了
解決方法
在工作列點右鍵啟動工作管理員
點處理程序
點檢視-欄位把pid打勾,確定
點pid欄位再點名稱,使列表以名稱和pid排序
把pid較大的使用者為local machine的svchost.exe強制結束
如果沒出現重開機就是有關掉蠕蟲
回到命令提示字元
鍵入attrib -r -h -s autorun.inf
del autorun.inf
cd recycled
attrib -r -h -s *
del *
c:
cd windows\\system\\
attrib -r -h -s svchost.exe
del svchost.exe (應該是 SVOHOST.EXE 吧)
cd _sv_CMD_
attrib -r -h -s *
del *
regedit
在登錄編輯程式中
切換到“\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows
NT\\CurrentVersion\\Winlogon”
把Userinit值後面添加的“C:\\WINDOWS\\SYSTEM\\svchost.exe”刪除(應該是SVOHOST.EXE吧)
再用編輯的尋找把有關recycler的值都刪掉
就可以了
如果您按了任意資料夾裏的 工具>資料夾選項>檢視>顯示所有檔案和資料夾 ,卻發現沒有作用,無法檢視隱藏檔的話,那可能中了毒,或是已經被改了機碼。
方法一:
在以下整個過程中不得雙擊分區盤,需要打開時用滑鼠右鍵——打開
一、關閉病毒進程
Ctrl + Alt + Del 任務管理器,在進程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一個字母),有的話就將它結束掉
二、顯示出被隱藏的系統檔
運行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1
這裏要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字串值CheckedValue,並且把鍵值改為0!我們將這個改為1是毫無作用的。(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新建一個就可以了)
方法:刪除此CheckedValue鍵值,單擊右鍵 新建——Dword值——命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏檔”和“顯示系統檔”。
在檔夾——工具——檔夾選項中將系統檔和隱藏檔設置為顯示
三、刪除病毒
在分區盤上單擊滑鼠右鍵——打開,看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個檔,將其刪除。
四、刪除病毒的自動運行項
打開註冊表 運行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 鍵值,可能有兩個,刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的
最後到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe
重啟電腦後,發現殺毒軟體可以打開,分區盤雙擊可以打開了。
五、後續
殺毒軟體即時監控可以打開,但開機無法自動運行
最簡單的辦法,執行殺毒軟體的添加刪除元件——修復,即可
方法二:
特徵:在每個槽根目錄下自動生成sxs.exe,autorun.inf文件,有的還在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件屬性為隱含屬性。自動禁用殺毒軟件。
傳染途徑:主要通過USB碟,移動硬碟
迷惑性:1、按ctrl+del+alt查看進程,可能多出svohost進程,他與系統自帶的svchost只差一字,大家要看清楚!
2、註冊表修改項隱蔽更強,如何修改我將在下面詳細說明。
3、自動修改註冊表,使系統「顯示所有隱藏文件」功能失效,從而達到隱藏自己病毒體文件的目的。
清除辦法:
建議到安全模式下,網上有許多網友說直接搜索sms.exe文件刪除是不可以的,因為一刪除後,只要你刷新就立刻出現。
1、關閉病毒進程
Ctrl + Alt + Del 任務管理器,在進程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一個字母),有的話就將它結束掉(並不是所有的系統都顯示有這個進程,沒有的就略過此步)。
2、恢復註冊表(有的系統可能病毒沒有修改註冊表,檢驗辦法是,如果您的系統能看到隱藏文件那麼這步可以省略,建議大家都看一下)
(刪除病毒自啟動項)打開註冊表 運行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
SVOHOST.exe 或 sxs.exe
下找到 SoundMam(注意不是soundman,只差一個字母) 鍵值,可能有兩個,刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的
(顯示出被隱藏的系統文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1
這裡要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,類型為REG_SZ,並且把鍵值改為0!我們將這個改為1是毫無作用的。後面的類型,正確的是「RED_DWORD」而不是「REG_SZ」(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新建一個就可以了)
方法:刪除此CheckedValue鍵值,單擊右鍵 新建——Dword值——命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇「顯示所有隱藏文件」和「顯示系統文件」。
在文件夾——工具——文件夾選項中將系統文件和隱藏文件設置為顯示
3、刪除病毒體文件
在分區槽上單擊鼠標右鍵——打開,看到每個槽跟目錄下有 autorun.inf 和 sxs.exe 兩個文件,將其刪除。
最後提醒大家的是:使用u槽或者是移動硬碟的時候要在插入後,立刻按住shift鍵,防止自動運行程序啟動,打開的時候要點右鍵--打開,這樣病毒就不會運行(如果存在病毒文件sxs.exe和autorun.inf直接刪除就ok了),否則如果你的u槽上有此病毒,你雙擊後,非但打不開u槽,還運行了病毒程序,呵呵上面做的一切都要重做了哦
無法開啟隨身碟的原因
您的隨身碟在接上電腦後,有開不起來的現象嗎?如果有,那您的隨身碟或是桌上型電腦有可能已經被植入木馬或是中毒了。
解決方法:
一、在電腦的部分
1.開啟工作管理員,將 inetsrv.exe 這個服務停止
2.搜尋系統所在磁碟(通常是C磁碟),將 inetsrv 有關的東西都找出來刪掉吧
3.執行 regedit,將所有有關 inetsrv 以及 driveinfo 的機碼全部刪除
二、在隨身碟的部分
driveinfo.exe比較特別的一點,
就是這個執行檔不會存在電腦中,
而是固定放在隨身碟的recycled 資料夾中
因此......
1.直接格式化隨身碟當然是可以把他刪除
2.若想保留其他資料,請以「檔案總管」方式開啟隨身碟
將根目錄的autorun.ini以及recycled資料夾中的driveinfo.exe刪除
關於 inetsrv.exe 可參考以下網址
http://www.bleepingcomputer.com/startups/inetsrv.exe-8423.html
根據該網站說明,inetsrv.exe是由木馬程式所植入,是一個討厭的檔案......
轉載之
163.32.161.7/bh/diary/07pic/0701/070115.txt
USB 隨身碟病毒免疫器本工具可對選取硬碟進行特別的免疫處理,使得它的自動執行(Autorun)功能完失效,
從而避免帶毒的 USB Flash Drive 插入本機後病毒立即自動執行。
超級巡警之USB 碟病毒免疫器 V1.2
軟體名稱:超級巡警之USB 碟病毒免疫器 V1.2軟體類別:防毒防駭軟體語言:繁體中文官方網站:http://www.usbav.cn/usb/作業系統:Win2000/WinXP檔案大小:144 KB
軟體下載 軟體介紹:
USB 隨身碟病毒免疫器本工具可對選取硬碟進行特別的免疫處理,使得它的自動執行(Autorun)功能完失效,
從而避免帶毒的 USB Flash Drive 插入本機後病毒立即自動執行。本工具還具備修復系統硬碟關聯和取消系統自動執行功能,徹底解決某些防毒軟體在移除病毒後無法按兩下執行硬碟的癥狀。 註:如果不選擇任何硬碟,將執行附加功能,即修復硬碟關聯和取消系統自動執行功能。
使用說明:1. 首先選擇免疫的目標,可以選擇 "全部磁碟",也可以選擇 "選擇磁碟機" 來指定要免疫的裝置,例如 USB flash drive。 2. 然後執行免疫即可。這將在磁碟上建立免疫的目錄,若 USB 隨身碟在本機執行,即使把自動執行的病毒拷入,也無法啟動執行。P.S.如果想刪除免疫的目錄,該目錄無法簡單刪除,請在工具中選擇取消免疫!3. "修復硬碟執行關聯" 是指在感染某些 AUTORUN.INF 病毒,用戶自行手動刪除後使得按兩下該磁碟無法開啟,選則該項目將進行修復。 4. 停用自動執行功能,將關機的自動執行功能。系統需求:MicrosoftR .NET Framework 2.0 可轉散發套件http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=10cc340b-f857-4a14-83f5-25634c3bf043
小秘技:要免疫,最簡單的手動方式:在分享的資料夾,或硬碟的 c 以外的地方,在根目錄建立一個子目錄名字設為 " autorun.inf "這樣就可以讓 Usb Virus 無法製作 autorun.inf 檔案.
