一:一 哥們U盤給感染了,表現(xiàn)癥狀是所有文件夾有后綴exe�����,大小依照不同的變種不一樣�,都是幾百kb的。病毒的作者用的是偽裝術(shù),你所看到的文件夾并不是真正 的文件夾�,而是病毒文件����,只是把圖標(biāo)改成了文件夾的樣式,剛開始我也給中招了����。而真正的文件夾是被隱藏了,所以雙擊的時(shí)候?qū)嶋H是執(zhí)行了病毒文件�,然后病毒 會(huì)隱藏所有的文件夾。病毒的進(jìn)程是什么�����,粗略的看了下好像是偽裝成issas.exe�����,可以結(jié)束掉該進(jìn)程后再殺毒�����。
1.運(yùn)行→輸入“cmd”�����,回車,進(jìn)入cmd.
2.cd x:(x是U盤盤符)��。
3.attrib -s -h -r /s /d
之后就會(huì)發(fā)現(xiàn)被隱藏的文件夾��,然后刪除掉所有同名的但是有后綴的文件夾���。同時(shí)還生成一個(gè)recycle的文件夾����,也直接刪掉����。如果清楚之后發(fā)現(xiàn)又生成了,說明病毒還在運(yùn)行��,繼續(xù)查找可疑進(jìn)程�,結(jié)束之后再按照上述步驟清楚。最后拿殺毒軟件殺下毒���,以防止病毒是文件感染的��。
二:第 二拷回文件后�,發(fā)現(xiàn)我的u盤上文件的名稱后綴都變成了exe,我的盤中毒了��,由于這種事對(duì)于我來說是第一次發(fā)生�����,感到比較緊張����,馬上用瑞星殺了毒�����,令我不 解的是�����,殺完毒后�,u盤上所剩文件無幾,但所占空間并沒有改變��,我想可能是文件被隱藏了���,于是我通過工具中的文件夾選項(xiàng)把文件顯示了出來��,但是文件屬性中 的隱藏為灰色��,總不能每次都要通過這種方法來顯示隱藏文件吧����,怎么解決這個(gè)問題呢?我找到了以下解決途徑:1���,運(yùn)用u盤病毒專殺工具��,如 它可以修改被病毒隱藏的文件屬性�,并能殺掉u盤病毒�。USBCleaner是一種純 綠色的輔助殺毒工具,具有檢測(cè)查殺70余種U盤病毒,U盤病毒廣譜掃描,U盤病毒免疫,修復(fù)顯示隱藏文件及系統(tǒng)文件,安全卸載移動(dòng)盤盤符等功能,全方位一 體化修復(fù)殺除U盤病毒.同時(shí)USBCleaner能迅速對(duì)新出現(xiàn)的U盤病毒進(jìn)行處理.USBCleaner是你學(xué)習(xí),工作,娛樂的好幫手。
2�����,先要用殺毒軟件把病毒給殺了�����。在“開始——運(yùn)行”在里面輸入cmd���,打開系統(tǒng)的命令提示符��,在里面輸入盤符�,進(jìn)入需要修改的優(yōu)盤,相關(guān)設(shè)置如下:
C:Documents and SettingsAdministrator>J: //進(jìn)入J盤(優(yōu)盤)目錄
j:>dir/a //這個(gè)指令是查看當(dāng)前目錄全部的文件.包括有隱藏屬性的
J:>attrib 文件夾的名字 -r -h -s /s /d
就可以顯示了��,“文件夾的名字”就是當(dāng) 前優(yōu)盤下的隱藏的文件夾的名字,沒有后綴名,如果是多個(gè)文件夾要恢復(fù)顯示狀態(tài)的話,在命令提示符可以通過小鍵盤那的上下箭頭健來選擇
J:>attrib 文件夾的名字 -r -h -s /s /d 把文件夾名字該了就行了
如果不是文件夾���,而是其他的程序�,可以輸入這樣的命令:
j:>attrib *.* -r -h -s /s /d
3�����,打開“記事本”���,復(fù)制如下內(nèi)容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
保存文件名:“顯示被隱藏的文件.REG”,(確保在“文件夾選項(xiàng)”中去掉“隱藏已知文件類型的擴(kuò)展名”)��,雙擊運(yùn)行此文件��,再重新到“文件夾選項(xiàng)”中設(shè)置顯示隱藏文件�����。
4����,把下面一行代碼復(fù)制到記事本���,保存為 取消隱藏文件.bat , 然后雙擊運(yùn)行它即可���。
for /f "delims=" %%i in ('dir /ah /s/b') do attrib "%%i" -s -h
命令的意思解釋:
for /f "delims=" %%i in 循環(huán)
dir /s顯示當(dāng)前目錄及子目錄中所有文件
參數(shù) /ah具有隱藏屬性的文件
參數(shù) /b用短文件名的方式顯示
do attrib "%%i" -s -h 取消這個(gè)文件/文件夾的 系統(tǒng)屬性 隱藏屬性
5����,通過注冊(cè)表修改隱藏屬性
6�,把隱藏文件夾通過工具中的文件夾選項(xiàng)顯示出來,然后將文件夾中的內(nèi)容復(fù)制����,放到在重新建的文件夾中去,再把原來的文件夾刪掉�����,就ok了���,首先要把U盤中的毒殺掉哦���。
三:下面的方法有點(diǎn)煩���,我都懶得看的。你們覺得喜歡哪個(gè)就用那個(gè)吧!
1.打開任務(wù)管理器�����,把用戶進(jìn)程(進(jìn)程分為:用戶,system,local service,network service)下除ctfmon.exe,exploer.exe�����,
其他全部結(jié)束進(jìn)程�����,如果任務(wù)管理器打不開:開始--運(yùn)行--CMD(如果CMD再無法使用��,那只有重新安裝系統(tǒng))--tasklist把除了上面所說的����,
還有 smss.exe,csrss.exe,svchost.exe,alg.exe,services.exe,winlogon.exe,tasklist.exe,system,system idle process,lsass.exe,
conime.exe,其他進(jìn)程都嘗試結(jié)束掉(比如結(jié)束QQ.exe:tskill qq)
2.開始--運(yùn)行--msconfig
把CTFMON和殺毒軟件項(xiàng)���,其他都禁用掉����。
3.開始--運(yùn)行--regedit,打開到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
把CheckedValue項(xiàng)的數(shù)值改為1,要注意����,該項(xiàng)是藍(lán)色的,如果是紅色的��,就刪除CheckedValue項(xiàng)�����,然后新建DWORD值����,
名為CheckedValue ,里面的數(shù)值該為1��。(該操作是修復(fù)病毒修改過的注冊(cè)表數(shù)值�����,不然下面的操作無法顯示隱藏文件)
4.打開文件夾選項(xiàng)--查看--·顯示隱藏的操作系統(tǒng)文件和文件夾·���,顯示所有文件和文件夾��,然后確定��,右擊硬盤����,
選下面的·打開·,千萬不要雙擊����,否則病毒自動(dòng)運(yùn)行。此時(shí)你就能看到你原來的文件了��,
然后刪除autorun.inf以及一個(gè).exe的病毒文件����,每個(gè)硬盤根目錄下面都有。
5.修改注冊(cè)表:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
把NoDriveTypeAutoRun的值改為ff
這樣操作是關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)運(yùn)行��,也就是不讓病毒auto
6.重新啟動(dòng)電腦
