常用的命令
上周末好好的电脑突然中超多病毒,究其原因竟然是为了下载一个Perl解释器而导致。正版的瑞星此时也是无能为力,只好修复硬盘/还原/重装系统,可是还有问题:双击E盘却不能打开。如何解决呢,经过多方求解终于把问题搞定啦。
一、首先学习几个常用的命令
1、del d:\_desktop.ini /f/s/q/a,强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除。
/f 强制删除只读文件
/q 指定静音状态
本句话的意思是:用Dos命令批量删除欢乐时光的病毒留下的尸体文件_desktop.ini。当然假设_desktop.ini是欢乐时光的病毒留下的尸体文件了。
2、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、隐藏、只读属性。
3、D: dir /a,a是显示所有的意思。
二、解决办法
由于我的E盘中病毒,这里就以E盘为例。
1、一般情况
由于病毒在驱动器下面写入了一个AutoRun.inf文件,故有可能是"Windows无法找到setup.exe"或显示"控制面版"什么的。
解决方法:
开始---运行---cmd,输入命令E: dir /a,此时会发现一个autorun.inf文件。
attrib autorun.inf -s -h -r,去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除 autorun.inf。
一般情况下还需要定位DESKTOP.exe。
开始——运行——regedit ——编辑——查找 DESKTOP.exe 或是查找"autorun"。
找到的第一个就是E盘的自动运行,删除整个shell子键(注意:删的时候一定要是shell这个子健,如果查找的是别的项或子键,一定不要乱删!)。
不过本次操作注册表并无发现shell子键;但是E: dir /a,发现了ntldr.exe和FOUND.000文件,故删除这两个文件,重新启动机器,问题解决。
附:
del e:\ ntldr.exe /f/s/q/a
del e:\ FOUND.000 /f/s/q/a
不同病毒的解决方法
2、另一种办法
(1)如果各分区根目录下带autorun.inf一类的隐藏文件,将它删除(删除方法同1用Del命令),重新启动电脑。
(2)在文件类型中重新设置打开方式(以Windows XP为例)
打开我的电脑-〉工具-〉文件夹选项-〉文件类型,找到“驱动器”,点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”, 用于执行操作的应用程序里填写explorer.exe 确定随后返回到“编辑文件类型”窗口,选中open 设为默认值,点确定。现在再打开分区或文件夹看下,是不是已恢复正常?
(3)开始——运行——输入regedit 找到[HKEY_CLASSES_ROOTDirectoryshell] 将shell下的全部删除,然后关闭注册表,按键盘F5刷新。
3、不同病毒的解决方法
后门病毒Iexplores.exe
请注意可不是Iexplore.exe噢,当心弄错了。
该病毒工作于Windows 32平台,会在硬盘的根目录生成Iexplores.exe。Iexplores.exe文件作用是:当你双击硬盘的盘符时,系统会调用Iexplores.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。另外病毒可以通过移动存储介质进行传播(如移动硬盘)。很多杀毒软件可以对其进行查杀,但是感染症状却依然存在。
感染症状:Windows无法找到Iexplores.exe或者双击活动硬盘无法直接打开,而是出现一对话框,只能通过右键的选项“打开”或者“资源管理器”才能浏览分区内容(1,2双击不能打开驱动盘亦如此)。
解决方法:右键打开受感染的盘符,在工具栏-〉文件夹选项-〉查看下选显示所有文件和文件夹,同时去除隐藏受保护的系统文件的选择,你会发现在你的盘符下多了一个autorun.inf 的文件,打开我们可以看到如下的内容:
[AUTORUN]
open=Iexplorers.exe
该意思就是当双击盘符时自动打开写入注册表中的病毒程序文件,即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因。那么就来删除病毒在注册表中的残留信息:通过regedit 打开注册表编辑程序,查找Iexplorers.exe。一般在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints下。
如:如果是你的移动硬盘的盘符f盘打不开,那么你将会在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\FShellcommand下发现此键值,把shell子键删除即可,F3查找下一个,重复操作,直到所有的都清除,F5刷新,删除盘符下的antorun.inf文件。问题即可解决!
sxs.exe病毒
病毒会导致分区盘双击不能打开,瑞星自动关闭无法打开。
在任务管理器发现 sxs.exe 或者svohost.exe (与系统进程 svchost.exe 一字之差噢,当心呀)。
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开!
删除病毒
解决方法
A、关闭病毒进程
B、显示出被隐藏的系统文件
在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL,将CheckedValue键值修改为1。
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示。
C、删除病毒
删除 autorun.inf 和 sxs.exe 两个文件。
D、删除病毒的自动运行项
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值。
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe。重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
如果瑞星计算机监控无法打开,或者打开后是收着的小红伞,并且所有的监控开启都失败,在系统的“服务”中把“Rising Process Communication Center”改为“自动”以启用该服务便可。
网友评论