神马文学网绝对实用!修复U盘1
来源:百度文库 编辑:神马文学网 时间:2024/04/28 06:19:54
U 盘病毒的传播主要借助于Autorun.inf
文件,病毒先将自身复制到U 盘,然后再创建
一个Autorun.inf 文件。当双击U 盘时,它会
根据Autorun.inf 中的设置运行U 盘中的病
毒,然后将其复制到硬盘的各个盘符下而无
法删除。重装或一键恢复XP 系统,双击其他
分区,比如D 盘,都打不开,只能用右键打开。
这就是中了Autorun.inf 类病毒的表现。对付
Autorun.inf 类病毒的方法和预防的手段有几
种:
①中了病毒后,各个分区的根目录下都
会生成一个隐藏属性的Autorun.inf 文件,双
击打开“我的电脑”,点击“工具”,再点击“查
看”,去掉“隐藏受保护的操作系统文件”的选
择,选中“显示所有文件和文件夹”,再点“确
定”把所有的隐藏属性打开。右键打开任一分
区,如D 盘,就可以看见Autorun.inf 这个文
件,再右键打开Autorun.inf 会看到open =
xxx.exe(xxx 就是病毒的名称)。如果病毒没
进程保护的话,删掉各个分区的Autorun.inf
和xxx.exe 就可以把病毒删除了。
删除病毒后,还要把病毒的磁盘关联改
回来。运行regedit.exe 来到HKEY_CLASS
ES_ROOT\Driveshell 下,把“默认”改成
none,再到HKEY_CURRENT_USER\Software
\Microsoft \Windows \CurrentVersion \
Explorer 下删掉ountPoints2 这一项(如果有
这一项的话),到此,就能双击打开任意盘符
了。
②如果电脑已经中毒,并且重装或一键
恢复XP 系统,双击其他分区都打不开,这时
可以借助于费尔木马强力清除助手(http://dl.
filseclab.com/down/powerrmv.zip),它可以
抑制病毒的再生。
打开费尔木马强力清除助手,在文件名
后面输入D:\Autorun.inf,把抑制文件再次生
成选上,点击清除即可。其他盘符同理,C 盘
除外。
重做系统便可恢复正常,如果有Ghost
直接恢复就可以了。重做系统后可能每个盘
符下都会有残留,只要将电脑设置成显示所
有文件就可看到,将其手动删除即可。
③要避免中Autorun.inf 的招,只要阻止
Autorun.inf 文件的创建,这种病毒就无法在
U 盘上传播了。
在U 盘的根目录下建立一个文件夹,名
字就叫Autorun.inf,因为在同一目录下,同名
的文件和文件夹是不能共存的。这样病毒就
无法再创建Autorun.inf 文件。移动硬盘也是
如此,只要在每个分区上创建一个Autorun.
inf 文件夹就可以了。
如果隐藏的文件都看不到了,不管是在“文件
夹选项”,还是在注册表中修改都没有效果。或系
统、隐藏文件无法显示,或双击盘符无反应(如果
没有被清除,双击盘符就又执行恶意程序一次),
或“任务管理器”中有sxs.exe 或者svohost.exe
进程(冒充系统进程svchost.exe),或杀毒软件实
时监控自动关闭无法打开。这是因为sxs.exe 在搞
鬼,我们可以手工清除这个恶意程序。
①用Ctrl+Alt+Del 打开“任务管理器”,在进程
列表中查找sxs.exe 或SVOHOST.exe,如果有,
就强制结束进程。
②运行regedit.exe 打开“注册表编辑器”,展
开分支[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\explorer\Advan
ced\Folder\Hidden\SHOWALL],在右侧窗格中将
CheckedValue 键值修改为“1”。注意此处正确的CheckedValue 键值应该是“DWORD
值”,恶意程序有可能将它删除并新建一个无效的“字符串值”的CheckedValue,因此直
接修改键值不一定有效,还要检查键值类型是否正确。
③删除假冒的CheckedValue 键值,在右侧窗格空白处右击,选择“新建→DWORD
值”,并将它命名为CheckedValue,键值修改为“1”。重启之后,就可以在文件夹选项中选
择“显示所有隐藏文件”和“显示系统文件”了。
④右击盘符打开各个盘符的根目录,将各根目录下的autorun.inf 和sxs.exe 文件删
除。再次打开“注册表编辑器”, 展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run],在右侧窗格中找到SoundMam 键值,确认其键值
为C:\Windows\system32\SVOHOST.exe 后删除此键值。最后到C:\Windows\system32
目录下删除SVOHOST.exe 或sxs.exe。重启后,虽然杀毒软件可以正常打开了,但是自
动运行可能会有问题,建议用“添加删除程序”中的修复项恢复杀毒软件的组件。
小提示:在清除所有文件操作的过程中,打开盘符都应右击盘符选择“打开”,避免恶
意程序再次执行。
绝对实用:解救中病毒的U 盘
文:福康
“扫除”技巧之清除恶意程序
文:道道
55
Perfec t Sk ill 锦囊妙计
文件,病毒先将自身复制到U 盘,然后再创建
一个Autorun.inf 文件。当双击U 盘时,它会
根据Autorun.inf 中的设置运行U 盘中的病
毒,然后将其复制到硬盘的各个盘符下而无
法删除。重装或一键恢复XP 系统,双击其他
分区,比如D 盘,都打不开,只能用右键打开。
这就是中了Autorun.inf 类病毒的表现。对付
Autorun.inf 类病毒的方法和预防的手段有几
种:
①中了病毒后,各个分区的根目录下都
会生成一个隐藏属性的Autorun.inf 文件,双
击打开“我的电脑”,点击“工具”,再点击“查
看”,去掉“隐藏受保护的操作系统文件”的选
择,选中“显示所有文件和文件夹”,再点“确
定”把所有的隐藏属性打开。右键打开任一分
区,如D 盘,就可以看见Autorun.inf 这个文
件,再右键打开Autorun.inf 会看到open =
xxx.exe(xxx 就是病毒的名称)。如果病毒没
进程保护的话,删掉各个分区的Autorun.inf
和xxx.exe 就可以把病毒删除了。
删除病毒后,还要把病毒的磁盘关联改
回来。运行regedit.exe 来到HKEY_CLASS
ES_ROOT\Driveshell 下,把“默认”改成
none,再到HKEY_CURRENT_USER\Software
\Microsoft \Windows \CurrentVersion \
Explorer 下删掉ountPoints2 这一项(如果有
这一项的话),到此,就能双击打开任意盘符
了。
②如果电脑已经中毒,并且重装或一键
恢复XP 系统,双击其他分区都打不开,这时
可以借助于费尔木马强力清除助手(http://dl.
filseclab.com/down/powerrmv.zip),它可以
抑制病毒的再生。
打开费尔木马强力清除助手,在文件名
后面输入D:\Autorun.inf,把抑制文件再次生
成选上,点击清除即可。其他盘符同理,C 盘
除外。
重做系统便可恢复正常,如果有Ghost
直接恢复就可以了。重做系统后可能每个盘
符下都会有残留,只要将电脑设置成显示所
有文件就可看到,将其手动删除即可。
③要避免中Autorun.inf 的招,只要阻止
Autorun.inf 文件的创建,这种病毒就无法在
U 盘上传播了。
在U 盘的根目录下建立一个文件夹,名
字就叫Autorun.inf,因为在同一目录下,同名
的文件和文件夹是不能共存的。这样病毒就
无法再创建Autorun.inf 文件。移动硬盘也是
如此,只要在每个分区上创建一个Autorun.
inf 文件夹就可以了。
如果隐藏的文件都看不到了,不管是在“文件
夹选项”,还是在注册表中修改都没有效果。或系
统、隐藏文件无法显示,或双击盘符无反应(如果
没有被清除,双击盘符就又执行恶意程序一次),
或“任务管理器”中有sxs.exe 或者svohost.exe
进程(冒充系统进程svchost.exe),或杀毒软件实
时监控自动关闭无法打开。这是因为sxs.exe 在搞
鬼,我们可以手工清除这个恶意程序。
①用Ctrl+Alt+Del 打开“任务管理器”,在进程
列表中查找sxs.exe 或SVOHOST.exe,如果有,
就强制结束进程。
②运行regedit.exe 打开“注册表编辑器”,展
开分支[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\explorer\Advan
ced\Folder\Hidden\SHOWALL],在右侧窗格中将
CheckedValue 键值修改为“1”。注意此处正确的CheckedValue 键值应该是“DWORD
值”,恶意程序有可能将它删除并新建一个无效的“字符串值”的CheckedValue,因此直
接修改键值不一定有效,还要检查键值类型是否正确。
③删除假冒的CheckedValue 键值,在右侧窗格空白处右击,选择“新建→DWORD
值”,并将它命名为CheckedValue,键值修改为“1”。重启之后,就可以在文件夹选项中选
择“显示所有隐藏文件”和“显示系统文件”了。
④右击盘符打开各个盘符的根目录,将各根目录下的autorun.inf 和sxs.exe 文件删
除。再次打开“注册表编辑器”, 展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run],在右侧窗格中找到SoundMam 键值,确认其键值
为C:\Windows\system32\SVOHOST.exe 后删除此键值。最后到C:\Windows\system32
目录下删除SVOHOST.exe 或sxs.exe。重启后,虽然杀毒软件可以正常打开了,但是自
动运行可能会有问题,建议用“添加删除程序”中的修复项恢复杀毒软件的组件。
小提示:在清除所有文件操作的过程中,打开盘符都应右击盘符选择“打开”,避免恶
意程序再次执行。
绝对实用:解救中病毒的U 盘
文:福康
“扫除”技巧之清除恶意程序
文:道道
55
Perfec t Sk ill 锦囊妙计