清除那些使得隐藏文件无法显示的病毒
选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口!
总结:
I、病情描述:
1、无法显示隐藏文件;
2、点击C、D等盘符图标时会另外打开一个窗口;
3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件;
4、任务管理器中的应用进程一栏里有个莫明其妙的kill;
5、开机启动项中有莫明其妙的SocksA.exe。
II、解决办法:
用了一些专杀工具和DOS下的批处理文件,都不好使,只好DIY。注意在以下整个过程中不要双击硬盘分区,需要打开时用鼠标右键—>打开。
一、关闭病毒进程
在任务管理器应用程序里面查找类似kill等你不认识的进程,右键—>转到进程,找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键—>结束进程树。
二、显示出被隐藏的系统文件
开始—>运行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL
删除CheckedValue键值,单击右键 新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
三、删除病毒
在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件,将其删除,U盘同样。
四、删除病毒的自动运行项
开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项,或者打开注册表运行regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除类似C:\WINDOWS\system32\SVOHOST.exe 的项。
五、删除遗留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除SVOHOST.exe(注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,不要误删哦,自己注意。重启电脑后,基本可以了。
让隐藏文件现身 手工方法妙除QQ病毒
如何在无法打开驱动器情况下杀毒的方法
作者:lvvl 来源:赛迪网安全社区
昨天将U盘插到电脑后双击无法打开,紧接着双击所有驱动器盘符都没有办法打开,试验以后发现只有使用资源管理器可以。但终究不爽,鬼知道病毒在电脑里还干了些什么,决定彻底杀掉。
症状描述:
1.双击驱动器盘符无法打开,资源管理器可以使用。
2.在开始→运行里输入cmd进入命令行模式,输入C:回车,进入C盘根目录,输入dir/a查看所有文件,发现存在如下两个文件:Autorun.inf RavMon.exe。
3.在开始→运行里输入msconfig,进入系统配置程序,选择“启动”标签,里面有一个叫做“MDM”的项指向“C:\windows\mdm.exe”。
解决方法:
1.重新启动,开机时按F8,进入带命令行的安全模式,选择Administrator账号登陆。
2.在命令行下输入regedit进入注册表,查找"RavMon.exe",如果发现匹配项就删除(我没有发现,这样做是保险起见)。注意RsRavMon是瑞星杀毒软件,不用删除。
3.在命令行下输入msconfig,进入系统配置程序,选择“启动”标签,将所有“MDM”项前面的勾去掉(我删了一个还有一个,md),保存。
4.在命令行下输入以下指令:del C:\Autorun.inf /f /s /q /a del C:\RavMon.exe /f /s /q /a del D:\Autorun.inf /f /s /q /a del D:\RavMon.exe /f /s /q /a ……有多少盘符输多少个。注意这个指令会删除根目录往下所有目录的对应文件,所以大家看到删除了根目录下的以后马上按Ctrl+C中断。
5.重新启动,ok啦。
6.要彻底清楚,主要还是要把U盘里的毒源杀掉。我没有试别的办法,直接偷懒进Linux下用rm删了个干净。如果大家认识的人有装Linux的可以请他帮忙,个人认为这样做是最安全的。在Windows/Dos平台下怎么做还请高手出招。
说明:1.MDM是微软的Machine Debug Manager,系统进程;病毒伪装成了mdm.exe。2.本杀毒方法思想可用于清除类似病毒。
小心被敲诈 警惕恶意QiaoZhaz.d木马
作者:h24arj 来源:赛迪网安全社区
Trojan.Win32.QiaoZhaz.d属木马类,病毒运行后弹出对话框,内容为“发现您硬盘内曾使用过盗版了的我公司软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongs19670519@yahoo.com.cn 购买相应的软件”。在 2000 系统下点击确定后不自动注销。XP 系统下点击确定后系统会自动注销,由于病毒加载了启动项,所以开机病毒会自动运行,会继续弹出对话框,反复循环。病毒衍生文件到系统目录下,在启动文件夹内衍生病毒文件,并重命名为 svchost.exe 。创建服务,并以服务的方式达到随机启动的目的。去除“文件夹选项”,使用户无法选择“显示所有隐藏文件”和不能去掉“隐藏受保护的系统文件”“隐藏已知文件类型的扩展名”。去除开始菜单中的“搜索”、“运行”项和“关机”项,使用户不能使用搜索、 command 命令和关机、注销。修改 txt 文件关联,当用户试图运行 txt 文件时,则会激活病毒,同样的办法修改任务管理器关联,无论用户怎样打开任务管理器,都会激活病毒。病毒把屏保时间修改为60 秒,在 %system32% 文件夹下生成病毒屏保文件,当用户 60 秒不操作计算机时,系统会自动运行病毒。该病毒利用多种方法来保护自身。删除非系统盘外的所有文件,并在每个盘符下建立一个名为:警告 .h 的文件。该病毒的行为极其恶劣,不停的弹出对话框,对用户进行敲诈勒索。
清除方案:删除对应文件,恢复相关系统设置。
(1)首先关闭下列病毒进程:
win1ogon.exe
svchost.exe
(2)删除病毒文件:
%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\All Users\ 「开始」菜单 \ 程序 \ 启动 \svchost.com
%Documents and Settings%\All Users\ 桌面 \ 警告 .h
%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\commander\NTUSER.DAT.LOG
%WINDIR%\Debug\UserMode\userenv.log
%WINDIR%\setupapi.log
%system32%\CatRoot2\dberr.txt
%system32%\config\default.LOG
%system32%\config\software.LOG
%system32%\config\system.LOG
%system32%\taskmgr.exe
%system32%\wins.com
%system32%\ 飞越星球 .scr
(3)将下列内容导入注册表里,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL]
"CheckedValue"=dword:00000001
"DefaultValue"=dword:00000002
"HelpID"="shell.hlp#51105"
"HKeyRoot"=dword:800000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"ValueName"="Hidden"
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="900"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="C:\\WINDOWS\\notepad.exe %1"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
[HKEY_CURRENT_USER\Control Panel\Desktop]
"SCRNSAVE.EXE"="nothing"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost.exe"="nothing"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS ]
(4)在其他干净的系统拷贝一个taskmgr.exe文件,把它复制到C:\windows\system32目录下,覆盖原文件即可。
看电影永不中招 查杀RMVB中的病毒
清除视频中的木马
要防范夹带了网页木马的RMVB文件,在播放前,只要去掉视频剪辑信息中的网页资料就可以解决问题了,方法很简单。
1.利用Helix Producer Plus去除网页木马
如果电脑中安装有软件“Helix Producer Plus”,可利用该软件来清除视频中夹带木马的剪辑信息。
首先用记事本建立一个名为“1.txt”的空白文本文件,然后在命令提示符窗口中执行如下命令:
“"C:\Program Files\Real\Helix Producer Plus\RealMediaEditor\rmevents.exe" -i C:\龙虎门.rm -e 1.txt -o C:\龙虎门2.rmvb”
命令执行后,就可以将原有RM视频中的剪辑信息覆盖,也就间接的清除了木马。
2.自动过滤木马——Real媒体过滤器
“realfilter.exe”(Real媒体过滤器)是一个解决RMVB视频网页木马问题的小工具,无需安装Helix Producer Plus,使用非常的方便。运行程序后,点击“源文件”按钮,指定要清除网页木马的RMVB视频文件;然后在“另存为”中指定保存路径,最后点击“开始过滤”按钮,即可开始清除Real视频中的各种网页木马和广告信息了。
如果设置了“显示过滤进度”项,那么可以看到“realfilter.exe”实际上是调用了Helix Producer Plus的“rmevents.exe”插件程序进行过滤清除的,在弹出的命令窗口中可以看到清除过滤进度。清除完毕后,弹出完成提示对话框,并显示清除了视频中的多少信息及文件减小的体积,现在得到的就是一个去掉木马网页或广告的干净视频了。
下一篇:
注:本站资料源于作者发布或网友推荐收集而来,仅供学习,版权归原作者所有。
