autorun.inf文件找到了,但是删不掉,怎么办?
开始--运行--输入regedit之后,注册表也打不开,怎么办
这个是你的机器曾经中毒,后来杀掉后有些后遗症。用右键选打开就可以进入了。
具体处理方法如下:
现在的病毒,除了熊猫烧香以外,就数这种让磁盘双击变为自动运行的病毒最为猖狂了,我自己的公司里有好几台电脑中过此毒,另外还有几位同事也中过此毒.我们先来分析一下:
先看病毒的症状:
一般中此毒者第一症状就是双击磁盘无法打开(包括U盘),而是变为自动运行,右击能发现每个磁盘第一项不是打开,而是自动运行或者是OPEN,有时电脑运行会很慢,U盘中毒后不能正常移除,需强行拔掉.很是令人讨厌,虽然它一般不会对系统造成致命的伤害,但是总让人的心里不舒服,绝大多数的朋友都选择了格盘,重做系统,但是做完系统之后会发现此毒仍在,到了这个时候一般人都会怒火朝天,暴跳如雷了;还有的朋友舍不得自己的数据,便将资料软件等等再 COPY至U盘或者移动硬盘保存,等装好系统之后再COPY回来,却不知插上U盘的时候,U盘也已经中毒,等分完区再插上U盘的时候,那破烂的玩意又回来了,这下好了,大哥也不火了,也不气了,拿一把剪刀面对房顶,上帝啊,让我去死吧!我受不了了!
再对它的特性进行分析:
所谓的自动运行功能其实是指Windows系统一种方便特性,使当光盘、U盘插入到机器自动运行,而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。
常见的Autorun.inf文件格式大致如下:[可以随手找个Autorun.inf文件看看!对照着理解!]
[AutoRun] //表示AutoRun部分开始,必须输入
icon=C:\C.ico //指定给C盘一个个性化的盘符图标C.ico
open=C:\sxs.exe //指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行;
在Windows系统有允许和阻止自动运行的键值的方法:
在注册表中找到如下键:
键路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:
设备名称 第几位 值 设备用如下数值表示 设备名称含义
DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
DRIVE_REMOVABLE 2 1 04h 可移动驱动器
DRIVE_FIXED 3 0 08h 固定的驱动器
DRIVE_REMOTE 4 1 10h 网络驱动器
DRIVE_CDROM 5 0 20h 光驱
DRIVE_RAMDISK 6 0 40h RAM磁盘
其中: 保留 7 1 80h 未指定的驱动器类型
以上值"0"表示设备运行,"1"表示设备不运行。
从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将 “NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。
该病毒就是利用这种系统特性,一般在感染后会修改系统的注册表,将显示所有文件的选项设置为禁止。甚至修改磁盘关联,杀毒软件一般会只把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净,或者清除后双击无法打开磁盘的原因。
不需要明白道理的,只想清除病毒的就请看下面吧!
好了,前面讲了那么多废话不知道有几位仁兄会仔细去看,下面就直接讲清除方法吧:
第一步:打开文件夹选项,将里面"隐藏受保护的操作系统文件"前面的勾去掉,然后再选择显示所有的文件和文件夹,最后将"隐藏已知文件的扩展名" 前面的勾也去掉,确定以后,即可看到被隐藏起来的系统文件和病毒了.(注:有的电脑注册表被锁定,即使执行了上面的动作以后也不能正常显示,在本帖的最后我会发个注册表解锁的文件,大家下载后双击运行即可!)
第二步:打开每一个本地磁盘(或者是U盘),你会发现里面多了一些隐藏起来的文件,这里有系统文件,也有病毒,这就靠你去识别,先找到 autorun.inf这个文件,将其删除,然后再找扩展名为.exe的隐藏文件,这个就是病毒了,我见过的几种(sxs.exe; sss.exe.ctfmon.exe),其中ctfmon.exe在正常情况下是OS的文字服务进程,存放在system32这个文件夹中,如果在磁盘根目录下发现这个文件,那多数是病毒,放心大胆地删吧!
第三步:打开注册表,开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除; 这是主要的一个地方,然后点编辑--查找,在里输入AUTOREN.INF,将找到的键值全部删除,重复查找直接按下F3,找完之后再点编辑--查找,在里面输入删除掉的可执行文件名,例如:sxs.exe,其实这一步做不做都不重要了,但为了清楚的更彻底些,还是执行一下为好,将找到的键值也完全删除, 这里要注意一下的是,如果病毒名是ctfmon.exe的文件,查找的时候,发现目录路径指向windowns\system32\ctfmon.exe 的文件不要删除,那是正常的系统文件,其实删除掉也没事,系统会自动重建.
第四步,检查下注册表启动项里面有没有可疑的启动项,也将其删除; 点击开始菜单----启动,查看里面有没有病毒文件,有的话也删掉;打开控制面板里面的任务计划,如果里面有可疑的任务,请将其删除.
好了,到这里就全部做完了,重启电脑.OK!
具体处理方法如下:
现在的病毒,除了熊猫烧香以外,就数这种让磁盘双击变为自动运行的病毒最为猖狂了,我自己的公司里有好几台电脑中过此毒,另外还有几位同事也中过此毒.我们先来分析一下:
先看病毒的症状:
一般中此毒者第一症状就是双击磁盘无法打开(包括U盘),而是变为自动运行,右击能发现每个磁盘第一项不是打开,而是自动运行或者是OPEN,有时电脑运行会很慢,U盘中毒后不能正常移除,需强行拔掉.很是令人讨厌,虽然它一般不会对系统造成致命的伤害,但是总让人的心里不舒服,绝大多数的朋友都选择了格盘,重做系统,但是做完系统之后会发现此毒仍在,到了这个时候一般人都会怒火朝天,暴跳如雷了;还有的朋友舍不得自己的数据,便将资料软件等等再 COPY至U盘或者移动硬盘保存,等装好系统之后再COPY回来,却不知插上U盘的时候,U盘也已经中毒,等分完区再插上U盘的时候,那破烂的玩意又回来了,这下好了,大哥也不火了,也不气了,拿一把剪刀面对房顶,上帝啊,让我去死吧!我受不了了!
再对它的特性进行分析:
所谓的自动运行功能其实是指Windows系统一种方便特性,使当光盘、U盘插入到机器自动运行,而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。
常见的Autorun.inf文件格式大致如下:[可以随手找个Autorun.inf文件看看!对照着理解!]
[AutoRun] //表示AutoRun部分开始,必须输入
icon=C:\C.ico //指定给C盘一个个性化的盘符图标C.ico
open=C:\sxs.exe //指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行;
在Windows系统有允许和阻止自动运行的键值的方法:
在注册表中找到如下键:
键路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:
设备名称 第几位 值 设备用如下数值表示 设备名称含义
DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
DRIVE_REMOVABLE 2 1 04h 可移动驱动器
DRIVE_FIXED 3 0 08h 固定的驱动器
DRIVE_REMOTE 4 1 10h 网络驱动器
DRIVE_CDROM 5 0 20h 光驱
DRIVE_RAMDISK 6 0 40h RAM磁盘
其中: 保留 7 1 80h 未指定的驱动器类型
以上值"0"表示设备运行,"1"表示设备不运行。
从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将 “NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。
该病毒就是利用这种系统特性,一般在感染后会修改系统的注册表,将显示所有文件的选项设置为禁止。甚至修改磁盘关联,杀毒软件一般会只把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净,或者清除后双击无法打开磁盘的原因。
不需要明白道理的,只想清除病毒的就请看下面吧!
好了,前面讲了那么多废话不知道有几位仁兄会仔细去看,下面就直接讲清除方法吧:
第一步:打开文件夹选项,将里面"隐藏受保护的操作系统文件"前面的勾去掉,然后再选择显示所有的文件和文件夹,最后将"隐藏已知文件的扩展名" 前面的勾也去掉,确定以后,即可看到被隐藏起来的系统文件和病毒了.(注:有的电脑注册表被锁定,即使执行了上面的动作以后也不能正常显示,在本帖的最后我会发个注册表解锁的文件,大家下载后双击运行即可!)
第二步:打开每一个本地磁盘(或者是U盘),你会发现里面多了一些隐藏起来的文件,这里有系统文件,也有病毒,这就靠你去识别,先找到 autorun.inf这个文件,将其删除,然后再找扩展名为.exe的隐藏文件,这个就是病毒了,我见过的几种(sxs.exe; sss.exe.ctfmon.exe),其中ctfmon.exe在正常情况下是OS的文字服务进程,存放在system32这个文件夹中,如果在磁盘根目录下发现这个文件,那多数是病毒,放心大胆地删吧!
第三步:打开注册表,开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除; 这是主要的一个地方,然后点编辑--查找,在里输入AUTOREN.INF,将找到的键值全部删除,重复查找直接按下F3,找完之后再点编辑--查找,在里面输入删除掉的可执行文件名,例如:sxs.exe,其实这一步做不做都不重要了,但为了清楚的更彻底些,还是执行一下为好,将找到的键值也完全删除, 这里要注意一下的是,如果病毒名是ctfmon.exe的文件,查找的时候,发现目录路径指向windowns\system32\ctfmon.exe 的文件不要删除,那是正常的系统文件,其实删除掉也没事,系统会自动重建.
第四步,检查下注册表启动项里面有没有可疑的启动项,也将其删除; 点击开始菜单----启动,查看里面有没有病毒文件,有的话也删掉;打开控制面板里面的任务计划,如果里面有可疑的任务,请将其删除.
好了,到这里就全部做完了,重启电脑.OK!
参考资料:百度知道
温馨提示:答案为网友推荐,仅供参考
第1个回答 2007-04-11
真服了,复制这么多废话。
瑞星就能杀这个病毒 还有AUTO 专杀。网上多的是。
你查毒没啊。不杀病毒 全靠手删 还用什么杀毒软件啊。
瑞星就能杀这个病毒 还有AUTO 专杀。网上多的是。
你查毒没啊。不杀病毒 全靠手删 还用什么杀毒软件啊。
