扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
今天研究了一上午,基本手动解决了。
★★★方法如下:
一、AUTORUN.inf文件内容
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
从以上内容可以看到:
1、病毒文件为2个:autorun.inf及setup.exe(setup.exe因变种原因,也许有不同文件名)
2、该病毒运行时,同时在注册表的“shellexecute=setup.exe和shell\Auto\command=setup.exe”中添加
二、解决方法
方法——
开机按F8键,选“安全模式”
2、修改注册表,使可显示系统隐藏文件。
方法——
开始-运行,输入“regedit”打开注册表,进入:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
看其中的“CheckedValue”的键值是否为0,如果是,改为1,或者删除后重新建一个"CheckedValue",并将DWORD的值设为1,退出注册表。
3、显示系统隐藏文件
方法——
4、打开各分区
方法——
用鼠标右键点击盘符-打开,!!切记用此方法打开各分区
5、删除各分区中的病毒文件
方法——
依次打开各分区的根目录,并删除其中的“autorun.inf及setup.exe”文件
6、查找注册表中的残留信息
方法——
(1)同“2”打开注册表
(2)点击“编辑-查找”,输入“setup.exe”,然后从注册表的最上面开始查找,发现,
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="command"
"001"="shellexecute"
"002"="setup.exe"
"003"="autorun.inf"
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="autorun.inf"
将“5603”和“5604”下的全部删除
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。