瑞星卡卡安全论坛

这个碰到过，呵呵`````

引用:

【xiaoyueIQ的贴子】好烈害啊..可以改日期... 我的移动盘上就有auto这个字样...又击盘符打不开.. 只能用右键打开..难道我也中毒了! ………………

这个好象是Auto 病毒 熟称“游戏大盗”
中毒后不能显示隐藏文件 在一段时间后电脑不能开机
就算重装C盘后病毒还是会保留在其他磁盘分区 双击会再次中标
可以在网上找相应的专杀工具
这病毒其实很容易发现 一般都隐藏起来了 手动杀就可以了

附件: 8328902007129233900.jpg

哎呀,我同学昨天去学校电脑那用U盘考东西,回家说用卡把杀出毒,第2天做了个小型杀毒包,正是此病毒.我们学校WINDOWS2000,我们最低权限,竟还能中毒~~~~

应该说是革命时代：一九三八年！

我试过楼主的方子了，系统日期改过来了，但是还是自动弹出网页
怎 么办啊？？？

路过

第一次来这里

看看传说中的民间杀毒高手

``

mopery:刚在百度上看到了关于对你的采访，我很想学习关于电脑方面的知识。因为我觉得那东西太神秘了。我的QQ303545665。希望你受到的点拨

3Q

真有这种病毒啊!我今天遇到这个问题,想了半天了!早知道该早上来看看~~~

在安全模式下打开注册表并未发现[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]Userinit 这个两个选项
但发现注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun" 键值..删除了.同时查到dfe三盘中的Autorun文件发现c盘中的两个exe文件.一并删除.同时还删除了所有与1980有关的文件.电脑恢复正常.

我也中招了.把我的日期改到2080年.

谁有好的办法，按照上面办法，配合金山，依然没杀干净

对于不是很明白如何手杀的朋友可以去http://nick429.135.hezu1.com/update.htm下载usbcleaner．这是个专杀u盘病毒的软件．有不错的效果．

你们说的 我一点也不明白- -  ！  看来只有等专杀出来了

  郁闷死了  NND来出黄色小广告  弄的我 只玩单机游戏了……

谢谢楼上的USB专杀工具，浙大的软件不错，配合楼主的方法加金山杀毒软件，病毒基本被控制住，除一个盘还是不能直接打开外，没有其他任何问题，病毒已查不到，并不能复制。
请大家三管齐下，特别注意要手动删除每个根目录下的AUTORUN.INF否着毒是杀不完的！
期待专杀工具出现，另外问各位大大，杀完毒后有一个盘还是不能直接打开，提示找不到病毒文件如何恢复？

【回复“lcddada”的帖子】请问那个不能直接打开的盘右击弹出对话框最上方仍然是auto吗?

请问那个不能直接打开的盘右击弹出对话框最上方仍然是auto吗?

有意思~~

sxs2.exe病毒把系统时间改为1980.4.1,卡巴斯基马上停止工作,用autorun连接sxs2.exe程序,电脑就种上了.
把以下文字复制进文本文档,另存为"清理sxs2.bat"双击运行.

@echo off
color 1a
echo .
echo 欢迎使用
echo .
echo 本程序主要应对sxs2.exe病毒,症状主要表现为“时间被改成1980.4.1，开机提示时间错误
echo 无法查看隐藏文件，卡巴斯基提示激活错误，磁盘需要右键打开”等
echo.
echo 时间错误请在本程序运行结束后手动进行修改，本程序不负责此事
echo .
echo .
echo ----------------------------by 电脑门诊 -----------------
echo .
echo .
echo 同时按 Ctrl C 组合键可退出本程序
pause
echo .
echo -------------------------------现在开始 ------------------
echo .
@echo off
echo 准备终止 sxs2.exe 进程
echo 同时按 Ctrl C 组合键可退出本程序
echo .
echo 如本程序出现提示“错误: 没有找到进程 "sxs2.exe"”则表示此病毒已停止运行
echo .
pause
taskkill /f /im sxs2.exe
taskkill /f /im sxs2.exe
echo .
echo 开始删除 C 到 K 盘根目录下的sxs2.exe组件
echo .
echo 中间可能会出现桌面消失、打开的文件夹被关闭情况，不必太担心
echo .
echo 同时按 Ctrl C 组合键可退出本程序
echo .
pause
md c:\hold
echo .
copy %SYSTEMROOT%\system32\autorun.exe c:\hold
taskkill /f /im EXPLORER.EXE
echo .
del /f /a %SYSTEMROOT%\system32\autorun.*
del /f /a c:\autorun.*
del /f /a c:\desktop.ini
del /f /a c:\folder.htt
del /f /a c:\sxs2.exe
echo .
copy c:\hold\autorun.exe %SYSTEMROOT%\system32\autorun.exe
echo .
rd /s /q c:\hold
echo .
del /f /a D:\autorun.*
del /f /a D:\desktop.ini
del /f /a D:\folder.htt
del /f /a D:\sxs2.exe
echo .
del /f /a E:\autorun.*
del /f /a E:\desktop.ini
del /f /a E:\folder.htt
del /f /a E:\sxs2.exe
echo .
del /f /a F:\autorun.*
del /f /a F:\desktop.ini
del /f /a F:\folder.htt
del /f /a F:\sxs2.exe
echo .
del /f /a G:\autorun.*
del /f /a G:\desktop.ini
del /f /a G:\folder.htt
del /f /a G:\sxs2.exe
echo .
del /f /a H:\autorun.*
del /f /a H:\desktop.ini
del /f /a H:\folder.htt
del /f /a H:\sxs2.exe
echo .
del /f /a I:\autorun.*
del /f /a I:\desktop.ini
del /f /a I:\folder.htt
del /f /a I:\sxs2.exe
echo .
del /f /a J:\autorun.*
del /f /a J:\desktop.ini
del /f /a J:\folder.htt
del /f /a J:\sxs2.exe
echo .
del /f /a K:\autorun.*
del /f /a K:\desktop.ini
del /f /a K:\folder.htt
del /f /a K:\sxs2.exe
echo .
start C:\WINDOWS\EXPLORER.EXE
echo C 到 K 盘根目录下的组件删除完毕
echo .
echo 现在准备解决无法打开“显示所有文件和文件夹”选项和双击盘符在新窗口打开等的问题
echo 同时按 Ctrl C 组合键可退出本程序
echo .
pause
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /t REG_DWORD /d 00000001
reg delete HKCR\Drive\shell /ve /f
reg add HKCR\Drive\shell /ve /t REG_SZ /d none
echo .
echo 开始删除注册表中的启动项
echo .
echo 如果本程序出现“错误: 系统找不到指定的注册表项或值”表示此病毒开机启动项已删除
echo 或是出现了新变种，请在“系统配置实用程序”自行去除
echo .
echo 同时按 Ctrl C 组合键可退出本程序
echo .
pause
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2.exe /f
echo .
echo 现在打开"系统配置实用程序",请自己再检查一下是否还有它的启动项，如有请自行去掉
echo .
echo 同时按 Ctrl C 组合键可退出本程序
pause
start msconfig
echo .
echo .
echo 清理结束，为保证杀除成功，请注销一下机器
echo .
echo 如还有其他情况请来五色土"电脑门诊"询问，感谢使用
echo .
pause

引用:

【金属茶道的贴子】在安全模式下打开注册表并未发现[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]Userinit 这个两个选项 但发现注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun" 键值..删除了.同时查到dfe三盘中的Autorun文件发现c盘中的两个exe文件.一并删除.同时还删除了所有与1980有关的文件.电脑恢复正常. ………………

我用了这个办法了。搞定。

时间改为1980年,不知是不是偶然?
偶认为这是病毒作者出生的年份.呵呵

【回复“david4587”的帖子】
不知道说什么了.........

我是80年生,但是不是我干的,恩~~~~~~~~~~~~~

【回复“x-q”的帖子】
N B

我也想反毒，但技术不行!

谢谢啊```今天刚用这个帖子帮同学解决了问题````

我每次开机大多数都用影子模式,应该没问题吧!汗~

修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1
--------------------------有时候------------------------
需要自己建个CheckedValue 设值为1

我也中了这种病毒