一:一 哥們U盤給感染了���,表現癥狀是所有文件夾有后綴exe,大小依照不同的變種不一樣�,都是幾百kb的��。病毒的作者用的是偽裝術,你所看到的文件夾并不是真正 的文件夾�����,而是病毒文件�����,只是把圖標改成了文件夾的樣式���,剛開始我也給中招了��。而真正的文件夾是被隱藏了,所以雙擊的時候實際是執行了病毒文件���,然后病毒 會隱藏所有的文件夾�����。病毒的進程是什么����,粗略的看了下好像是偽裝成issas.exe�,可以結束掉該進程后再殺毒。
1.運行→輸入“cmd”,回車�,進入cmd.
2.cd x:(x是U盤盤符)��。
3.attrib -s -h -r /s /d
之后就會發現被隱藏的文件夾,然后刪除掉所有同名的但是有后綴的文件夾。同時還生成一個recycle的文件夾����,也直接刪掉����。如果清楚之后發現又生成了��,說明病毒還在運行��,繼續查找可疑進程,結束之后再按照上述步驟清楚。最后拿殺毒軟件殺下毒����,以防止病毒是文件感染的���。
二:第 二拷回文件后���,發現我的u盤上文件的名稱后綴都變成了exe����,我的盤中毒了��,由于這種事對于我來說是第一次發生�����,感到比較緊張,馬上用瑞星殺了毒,令我不 解的是�,殺完毒后��,u盤上所剩文件無幾,但所占空間并沒有改變,我想可能是文件被隱藏了���,于是我通過工具中的文件夾選項把文件顯示了出來,但是文件屬性中 的隱藏為灰色,總不能每次都要通過這種方法來顯示隱藏文件吧����,怎么解決這個問題呢�����?我找到了以下解決途徑:1,運用u盤病毒專殺工具���,如 它可以修改被病毒隱藏的文件屬性,并能殺掉u盤病毒。USBCleaner是一種純 綠色的輔助殺毒工具,具有檢測查殺70余種U盤病毒,U盤病毒廣譜掃描,U盤病毒免疫,修復顯示隱藏文件及系統文件,安全卸載移動盤盤符等功能,全方位一 體化修復殺除U盤病毒.同時USBCleaner能迅速對新出現的U盤病毒進行處理.USBCleaner是你學習,工作,娛樂的好幫手�。
2�����,先要用殺毒軟件把病毒給殺了。在“開始——運行”在里面輸入cmd,打開系統的命令提示符,在里面輸入盤符����,進入需要修改的優盤���,相關設置如下:
C:Documents and SettingsAdministrator>J: //進入J盤(優盤)目錄
j:>dir/a //這個指令是查看當前目錄全部的文件.包括有隱藏屬性的
J:>attrib 文件夾的名字 -r -h -s /s /d
就可以顯示了�����,“文件夾的名字”就是當 前優盤下的隱藏的文件夾的名字,沒有后綴名,如果是多個文件夾要恢復顯示狀態的話,在命令提示符可以通過小鍵盤那的上下箭頭健來選擇
J:>attrib 文件夾的名字 -r -h -s /s /d 把文件夾名字該了就行了
如果不是文件夾��,而是其他的程序��,可以輸入這樣的命令:
j:>attrib *.* -r -h -s /s /d
3,打開“記事本”�,復制如下內容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
保存文件名:“顯示被隱藏的文件.REG”����,(確保在“文件夾選項”中去掉“隱藏已知文件類型的擴展名”)�����,雙擊運行此文件����,再重新到“文件夾選項”中設置顯示隱藏文件���。
4����,把下面一行代碼復制到記事本,保存為 取消隱藏文件.bat �����, 然后雙擊運行它即可��。
for /f "delims=" %%i in ('dir /ah /s/b') do attrib "%%i" -s -h
命令的意思解釋:
for /f "delims=" %%i in 循環
dir /s顯示當前目錄及子目錄中所有文件
參數 /ah具有隱藏屬性的文件
參數 /b用短文件名的方式顯示
do attrib "%%i" -s -h 取消這個文件/文件夾的 系統屬性 隱藏屬性
5��,通過注冊表修改隱藏屬性
6��,把隱藏文件夾通過工具中的文件夾選項顯示出來���,然后將文件夾中的內容復制���,放到在重新建的文件夾中去�����,再把原來的文件夾刪掉�,就ok了���,首先要把U盤中的毒殺掉哦�。
三:下面的方法有點煩,我都懶得看的��。你們覺得喜歡哪個就用那個吧!
1.打開任務管理器��,把用戶進程(進程分為:用戶,system,local service,network service)下除ctfmon.exe,exploer.exe���,
其他全部結束進程���,如果任務管理器打不開:開始--運行--CMD(如果CMD再無法使用�,那只有重新安裝系統)--tasklist把除了上面所說的���,
還有 smss.exe,csrss.exe,svchost.exe,alg.exe,services.exe,winlogon.exe,tasklist.exe,system,system idle process,lsass.exe,
conime.exe,其他進程都嘗試結束掉(比如結束QQ.exe:tskill qq)
2.開始--運行--msconfig
把CTFMON和殺毒軟件項��,其他都禁用掉�����。
3.開始--運行--regedit,打開到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
把CheckedValue項的數值改為1,要注意���,該項是藍色的��,如果是紅色的���,就刪除CheckedValue項��,然后新建DWORD值,
名為CheckedValue ,里面的數值該為1。(該操作是修復病毒修改過的注冊表數值��,不然下面的操作無法顯示隱藏文件)
4.打開文件夾選項--查看--·顯示隱藏的操作系統文件和文件夾·��,顯示所有文件和文件夾�,然后確定��,右擊硬盤�����,
選下面的·打開·,千萬不要雙擊,否則病毒自動運行�����。此時你就能看到你原來的文件了���,
然后刪除autorun.inf以及一個.exe的病毒文件�����,每個硬盤根目錄下面都有����。
5.修改注冊表:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
把NoDriveTypeAutoRun的值改為ff
這樣操作是關閉所有驅動器的自動運行��,也就是不讓病毒auto
6.重新啟動電腦
