|
|
auto.exe病毒杀毒方法
该病毒是rose病毒的变种, rose病毒症状:双击盘符无法打开,只能通过右键打开;几天之后删除系统
NTDETECT.COM文件,导致系统无法启动AUTO病毒又称“落雪病毒”。病毒还会下载许多盗号木马,且
这些盗号木马也是经常更新,导致杀毒软件经常不报毒,经常无法完全清理干净。
传染途径:主要通过U盘,移动硬盘
症状如下:每个盘符双击都打不开,点鼠标右键出现“AUTO”字样,c、d、e、f盘的根目录中都有名
为auto.exe、autorun.inf的隐藏文件.有的甚至连注册表编辑器都进不起,还有就是在文件工具里面
没有文件夹选项!杀毒软件进程都被结束掉了,它还能“自动修改注册表,使系统“显示所有隐藏文件
”功能失效,从而达到隐藏自己病毒体文件的目的。”
在“进程”选项中有SXS.EXE或SVOHOST.EXE(请看清每个字母的拼写)进程,只与svchost.exe差一
个字母!
解决方案:1、使用auto.exe专杀工具进行查杀,然后再用杀毒软件进行全盘的病毒扫描!
2、手动杀掉的方法:
关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相
差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Fold
er\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串
值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这
个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它
的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf auto.exe 和sxs.exe 三个文件,将
其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了
最彻底的删除办法是:单击开始--运行--cmd 确定后在dos状态下写如下命令
attrib -h -r -s c:\sxs.exe
del c:\sxs.exe
attrib -h -r -s c:\auto.exe
del c:\auto.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\sxs.exe
del d:\sxs.exe
attrib -h -r -s d:\auto.exe
del d:\auto.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
attrib -h -r -s e:\sxs.exe
del e:\sxs.exe
attrib -h -r -s e:\auto.exe
del e:\auto.exe
attrib -h -s -r e:\autorun.inf
del e:\autorun.inf
attrib -h -r -s f:\sxs.exe
del f:\sxs.exe
attrib -h -r -s f:\auto.exe
del f:\auto.exe
attrib -h -s -r f:\autorun.inf
del f:\autorun.inf |
|
IP卡
狗仔卡
发表于 2008-7-24 20:59:25
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡