篇一:电脑中病毒后处理方法大全
中病毒后,盘符内文件夹都成了快捷方式的解决方法
前些天一客户的电脑拿过来,说电脑坏了,里面的文件夹都成了快捷方式了,
网上找了下教程,摸索了一下,总结出两种方法,希望对大家有帮助。
两种处理方法。
第一种解决方式如下:
1、在安全模式下启动,删除有关“smss”及“vba”的启动项!
2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试),
将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到wiar中删除即可!
3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)
4、有的变种修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件,
最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。
5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹,见附件!
6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!
第二种,其实就是中了WSCRIPT.EXE这样伪病毒。
WSCRIPT.EXE本身并不是病毒
一些.VBS病毒、autorun.inf利用WSCRIPT.EXE传播。看你的情况像是.VBS的。 方法1:
1、重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)
2、关闭所有驱动器的自动运行功能,这步非常重要,如果不会,百度一下吧。
3、显示出所有系统文件(不会的朋友先百度下),用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些可以全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了) 方法2
1 运行→gpedit.msc→计算机配置→windows设置→安全设置→软件限制策略→其他规则→点“操作”→新路径规则→点“浏览”找到在
c:\windows\system32\WSCRIPT.EXE→“安全级别”设为不允许的
2 用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3 然后设置把隐藏文件放出来,把所有盘(C:D:E:F:......)下的.vbs文件和快捷方式、autorun.inf都删掉
4 修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
5 删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows
删除load键值项的数据。
6 如果我的电脑还不能双击打开,需要还原下系统我的电脑上的DEF盘上的文件夹全变成快捷方式了,而且都变得很小还打不开,有什么办法能彻底删除那个病毒,而且不要重装系统啊??
20
[ 标签:,, ]
文件全变成了快捷方式,而且打不开,有什么除了重装系统之外的方法能去掉病毒啊。
还有是不是和一个叫 AUTORUN.inf 的东西有关、、
﹎.海児^:^ 回答:4 人气:36 解决时间:2009-12-02 14:27
满意答案
AutoRun.inf为自动播放病毒:重装系统,格式化系统盘也清除不掉此病毒; 确定不是AutoRun.inf防疫程序的话用下面的方法来进入清除此病毒。。。。
电脑左下角开始运行然后输入cmd,分别进入每个盘的根目录,dir /a
看有没有autorun,然后删掉.
建议安装NOD32升级后进入安全模式全盘杀毒!!!
如果上面的两方法不能解决下面是具体的清除办法
一 、杀毒工具清除:
1:下载Autorun删除工具1.0,
下载地址: /Soft/jbh123Soft/200703/Autorun.rar 2:费尔木马强力清除助手( http://dl.filseclab.com/down/powerrmv.zip),它可以抑制病毒的在生。方法如下:
第一步:打开费尔木马强力清除助手。
第二步:在文件名后面输入“D:\Autorun.inf”(不包括“”),在把抑制文件再次生成选上(见图3),点击清除即可。其它盘符同理,C盘除外。
第三步:重新做下系统便可恢复正常,如果有GHOST的朋友直接恢复就OK了。 第四步:重做系统后可能每个盘符下都会有残留,只要将电脑现设置成显示所有文件就可看到。将其手动删除就可以了。
二、手动清除办法:
建议到安全模式下,网上有许多网友说直接搜索sms.exe文件删除是不可以的,因为一删除后,只要你刷新就立刻出现。
1、关闭病毒进程
Ctrl Alt Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
2、恢复注册表(有的系统可能病毒没有修改注册表,检验办法是,如果您的系统能看到隐藏文件那么这步可以省略,建议大家都看一下)
(删除病毒自启动项)打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run SVOHOST.exe 或 sxs.exe
下找到 SoundMam(注意不是soundman,只差一个字母) 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!将这个改为1是毫无作用的。CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒体文件
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
最彻底的删除办法是:单击开始--运行--cmd 确定后在dos状态下写如下命令(一般系统盘跟目录下可能没有病毒体文件,但是其他盘应该都存在)
三、重装法
解决方法如下:先格c盘重装系统,然后只在c盘操作,千万不可打开其他盘,否则前功尽弃!!!!但可以用“文件打开方式”选择其他盘的程序,如重装后
用 wiar解压缩东西。 把你的杀软也装C盘也(下载、拷 都可),升级,杀其他盘。 卡巴瑞星都可以用。建议确认无毒、常用软件装好后做个GHOST镜像,一劳永逸了。
。
注意:三种方法操作时都不要双击盘符点开硬盘,最好只在C盘桌面进行操作。因为一双击病毒就重新感染,刚重装也没用。不得不打开其他硬就右键打开吧,或者用资源管理器。 若需用U盘拷东西(杀毒软件),要确保其无毒(可去他人机子上查杀下)
四.带不开硬盘分区的解决方法
多种方法解决分区无法双击打开的故障。
在“我的电脑”中,有时候你会遇到这样的情况,双击硬盘分区的盘符,根本无法打开,而只能先运行“资源管理器”再去打开硬盘分区。其实,这是因为你中了Autorun病毒造成的。有些杀毒软件即使查杀了Autorun病毒,也会引起双击分区打不开的“后遗症”。如何治疗这个顽症呢?试试下面的方法吧。
1.删除文件
打开“我的电脑”,依次单击“工具→文件夹选项→查看”,选中“显示所有文件和文件夹”后“确定”,然后用“资源管理器”打开各个分区,若发现各分区根目录下有autorun.inf隐藏文件,删除它们并重启电脑。
2.重新设置打开方式
同样打开“我的电脑”,依次单击“工具→文件夹选项→文件类型”,找到“驱动器”并选中,然后单击“高级”按钮,弹出“编辑文件类型”窗口,再单击“新建”,如图,在操作里输入“open”,在“用于执行操作的应用程序”里输入“explorer.exe”,点“确定”后返回到“编辑文件类型”窗口,选中“open”且单击“设为默认值”,最后单击“确定”,重新启动电脑试试看。
3.修改注册表法
打开注册表编辑器,定位至“HKEY_CLASSES_ROOT\Drive\shell”分支,将其下的键值全部删除,保存后退出注册表编辑器。
如何避免中Autorun.inf的招呢?
只要在U盘的根目下建立一个文件夹,名字就叫Autorun.inf,因为在同一目录下,同名的文件和文件夹是不能共存的。这样病毒就无法再创建Autorun.inf文件了...
篇二:全球十大计算机病毒排名
损失过亿.全球十大计算机病毒排名
周雷雷的转帖┊周雷雷的首页
定义:什是计算机病毒?其实计算机病毒就是一个程序,一段可执行码 ,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。它有独特的复制能力,可以很快地蔓延,又常常难以根除。
从第一例计算机病毒至今,这一串串的代码带给了人们无数次的崩溃,其破坏力也得到了逐年的认识和增长。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。
最初“计算机病毒”这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书,而世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。
从第一例计算机病毒至今,这一串串的代码带给了人们无数次的崩溃,其破坏力也得到了逐年的认识和增长。遥远的病毒早已经成为了计算机史上的历史,国人对于计算机病毒印象最深的,恐怕还是从1998年开始爆发的“CIH”病毒,它被认为是有史以来第一种在全球范围内造成巨大破坏的计算机病毒,导致无数台计算机的数据遭到破坏。在全球范围内造成了2000万至8000万美元的损失。
NO.1 “CIH病毒”爆发年限:1998年6月
CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.
3、v1.4总共5个版本。
损失估计:全球约5亿美元
NO.2 “梅利莎(Melissa)” 爆发年限:1999年3月
梅利莎(1999年)是通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件,就会使病毒感染主机并且重复自我复制。
1999年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,防止损害,他们被迫关闭整个电子邮件系统。
损失估计:全球约3亿——6亿美元
NO.3 “爱虫(Iloveyou)” 爆发年限:2000年
爱虫(2000年)是通过Outlook电子邮件系统传播,邮件主题为“I Love You”,包含附件“Love-Letter-for-you.txt.vbs”。打开病毒附件后,该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本,阻塞邮件服务器,同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。
新“爱虫”(Vbs.Newlove)病毒同爱虫(Vbs.loveletter)病毒一样,通过outlook传播,打开病毒邮件附件您会观察到计算机的硬盘灯狂闪,系统速度显著变慢,计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下w script .exe建立关联,进一步消耗系统资源,造成系统崩溃。
损失估计:全球超过100亿美元
NO.4 “红色代码(CodeRed)” 爆发年限:2001年7月
红色代码(2001年)是一种计算机蠕虫病毒,能够通过网络服务器和互联网进行传播。2001年7月13日,红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是,在此之前的六月中旬,微软曾经发布了一个补丁,来修补这个漏洞。
被它感染后,遭受攻击的主机所控制的网络站点上会显示这样的信息:“你好!欢迎光临!”。随后病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。不到一周感染了近40万台服务器,100万台计算机受到感染。
损失估计:全球约26亿美元
NO.5 “冲击波(Blaster)” 爆发年限:2003年夏季
篇三:常见病毒解决方案大全
常见病毒解决方案大全!
1)Funlove病毒
病毒的全称是:Win32.Funlove.4608(4099),属于文件型病毒。
病毒特征:会在Windows的system(NT系统中为System32)目录下建立flcss.exe,长度为4068字节.搜索所有本地驱动器以及局域网上的共享文件夹,在其中搜索带有EXE,Scrocx扩展名的文件,验证后进行感染。
预防与清除:
1、 网络用户在清除该病毒时,首先要将网络断开。
2、 然后用软盘引导系统,用单机版杀毒软件对每一台工作站分别进行病毒的清除工作。
3、 对于单机用户直接从第二步开始。
4、 若服务器端染毒funlove病毒的,且使用NTFS格式,用DOS系统盘启动后,找不到硬盘,则需将染毒的硬盘拆下,放到另外一个干净的Windows NT/2000系统下作为从盘,然后用无毒的主盘引导机器后,使用主盘中安装的杀毒软件再对从盘进行病毒检测、清除工作。
5、 确认各个系统全部清除病毒后,在服务器和个工作站安装防病毒软件,同时启动实时监控系统,恢复正常工作。
2)冲击波病毒
以下操作除非指定,一律在无活动网络连接的环境下进行
1、 在任务管理器中,结束"msblast.exe"进程。
2、 进入windows文件夹system目录,删除msblaster.exe
3、 通过在任务栏运行中输入msconfig,删除一个windows update的启动程序
4、进入“管理工具”文件夹(在开始菜单或控制面板),运行组件服务,在左边侧栏点击“服务(本地)”,找到Remote Procedure Call (RPC),其描述为“提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。”。双击它,进入恢复标签页,把第一二三次操作都设为“不操作”
5、还在组件服务中,在左边侧栏点击“组件服务”,双击右边的计算机,在出现的我的电脑上右键点击,进入属性,点击“默认属性”,关闭分布式COM。
6、在防火墙设置中关闭135,4444,66端口。(如果没有安装防火墙,用XP自带的也行)
7、重启后,打开防火墙!下载微软补丁并安装。再重启,搞定!
3)震荡波
1、“震荡波”利用WINDOWS平台的Lsass漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的.
2、如何判别感染"震荡波"
①、莫名其妙地死机或重新启动计算机。
②任务管理器里有"avserve.exe"或者“avserve2.exe”、*_up.exe(*为随即数字)的进程在运行。
③、在windows目录下,产生一个名为avserve.exe或者avserve2.exe的病毒文件;
在windows\system32下产生几个*_up.exe文件。
④最系统速度极慢,cpu占用100% 。
2、解决方法:
①、首先断开网。
②、手动删除windows目录下名为avserve.exe或者avserve2.exe的病毒文件;删除windows\system32下*_up.exe文件。
删除注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有关avserve.exe或者avserve2.exe的键值。
WIN2000补丁:
WINXP补丁:
WIN2003补丁:
4)“新欢乐时光”病毒的主要表现是:
一、每个检查到的文件夹下生成“desktop.ini”和“folder.htt”文件;
二、在注册表
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\下生成“Kernel32”键值,并指向“Kernel.dll”或者“Kernel32.dll”文件;
三、在system目录下生成“kjwall.gif”文件。
手工清除的方法如下:
1)打开注册表,删除
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32键值;
2) 对照其它没中毒的电脑,恢复 HKEY_CLASSES_ROOT\\dllFile\\下的键值;
3)对照其它电脑,恢复 HKEY_CURRENT_USER\\Identities\\" &UserID& "\\Software\\Microsoft\\Outlook Express\\" &OEVersion&"\\Mail\\下的相关键值;
4)对照其它电脑,恢复
HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail\\下的相关键值;
5)对照其它电脑,恢复
HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Outlook\\Options\\Mail\\下的相关键值;
删除带毒文件(建议在 DOS 状态下进行)
1)对照其它电脑,恢复Windows\\web目录下“folder.htt”文件;
2)删除“Kernel32.dll”或“Kernel.dll”文件;
3)删除“kjwall.gif”;
4)查找所有带有“KJ_start”字符串的文件,并删除文件尾部的病毒代码。
5)灰鸽子病毒的主要表现
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理:
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载??
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和
G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的手工检测:
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面
的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1) 由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”―》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2)打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3)打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
4)根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有