瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中sxs.exe后,杀软删除病毒D盘无法双击打开(又有新发现!)
山民88 - 2007-3-10 22:16:00
前段时间,中了sxs.exe病毒,杀毒软件删除了病毒,之后D盘无法双击打开,右键菜单里出现了原来没有的“AUTO”选项,用右键“打开”可以打开D盘。

    进注册表编辑器,搜索sxs.exe,发现HKEY_USERS\S_1_5_21_1801674531_1060284298_1708537768_1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\MOUNTPOINTS2\{C0C03374_B87A_11DB_8899_806D6172696F}\SHELL下的Auto和Autorun两个主键里有sxs.exe的键值。

    删除SHELL主键后,D盘就可双击打开了,而且右键菜单里也没“Auto”的选项了,以为万事大吉,但过一会,SHELL及其下的Auto和Autorun(里有sxs.exe的键值)等又自动生成了,真是气煞人!

    请教各位大侠怎么办呀?
一心一意反病毒 - 2007-3-10 23:15:00
你可以把auto.inf,autorun.inf的内容发上来么?(右击打开分区,然后右键打开“auto&autorun”)
其实我就想把它和它所调动的程序删除掉。
你可以用冰刃删除注册表相应值,再删除auto.inf,autorun.inf及其里面所调动的程序。(右击打开分区)
提示:我是新手。
看来楼下的高人方法更加成熟,可靠,我服了你,谢谢你!
newcenturymoon - 2007-3-10 23:17:00
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。

右击打开有问题的分区  删除autorun.inf
山民88 - 2007-3-10 23:47:00
谢谢楼上两位,我的是XP sp2系统,我已经把1.reg导入了注册表,设置了显示所有文件和文件夹,D盘里没有autorun.inf和auto.inf,在C、D盘里搜索也没有。望继续赐教。谢谢。
山民88 - 2007-3-10 23:48:00
请教:1.reg导入注册表是什么作用?谢谢。
山民88 - 2007-3-10 23:56:00
其中:注册表autorun\command里的键值是:D:\windows\system32\rundll32.exe sheu32.dll shellexec_rundll sxs.exe
hzeagle - 2007-3-11 0:14:00
在工具--文件夹选项-查看,把"隐藏操作系统文件"勾去掉,再把显示所有文件和文件夹点上,在D盘你可以看到auto.inf或autorun.inf文件,用记事本打开,可以看到病毒的地址,把病毒名称在注册表里搜索并删除,再删除病毒,很简单的
山民88 - 2007-3-11 22:34:00
引用:
【hzeagle的贴子】在工具--文件夹选项-查看,把"隐藏操作系统文件"勾去掉,再把显示所有文件和文件夹点上,在D盘你可以看到auto.inf或autorun.inf文件,用记事本打开,可以看到病毒的地址,把病毒名称在注册表里搜索并删除,再删除病毒,很简单的
………………


哥们,我已经设置了“显示所有文件和文件夹”,没找到auto.inf或autorun.inf
山民88 - 2007-3-11 22:43:00
我是双系统,C盘是Win ME,D盘是XP sp2
hzeagle - 2007-3-12 1:09:00
引用:
【山民88的贴子】我是双系统,C盘是Win ME,D盘是XP sp2
………………

引用:
【山民88的贴子】我是双系统,C盘是Win ME,D盘是XP sp2
………………

复杂了,你在98和XP下,分别按我操作查看下.
1.既然你在REGEDIT里能够找到键名,而且你在删除后又重新产生,那也不是坏事,即可以通过观察"数据",知道病毒的路径.
2.U盘病毒并不神奇,它的代码一般是
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
你可以把这些代码复制在记事本,并改名为autorun.inf,随便找个小游戏(要可执行文件,即EXE文件),把这小游戏改名为OSO.exe.把小游戏和autorun.inf放在C盘或者D盘E盘,随便哪个盘都可以,点击这个盘,这时候这小游戏就自动跳出来了,用右键点你可以看到"AUTO"字样.
或句话说,如果这小游戏是木马的话,那么点击这盘时,跳出来的就是运行的就是木马了.
3.如果你手头没小游戏,我提供一个给你
地址是:http://user.free.77169.net/hzeagle/load/te.exe
把te.exe改为OSO.exe ,U盘病毒原理就很直观了
4.知道原理要比单纯杀毒更能学到东西:))
山民88 - 2007-3-12 17:44:00
引用:
【hzeagle的贴子】

复杂了,你在98和XP下,分别按我操作查看下.
1.既然你在REGEDIT里能够找到键名,而且你在删除后又重新产生,那也不是坏事,即可以通过观察"数据",知道病毒的路径.

  fon在C盘的操作系统Win ME里没问题,在D盘的XP sp2系统下才双击打不开D盘,其他盘正常。用卡巴斯基5.0和KIS6.0扫描全盘,都没病毒了。[/t]
山民88 - 2007-3-12 22:26:00
设置了“显示所有文件和文件夹”,没找到auto.inf或autorun.inf
山民88 - 2007-3-13 0:13:00
在D:\windows\system32文件夹里搜索到一个SXS.DLL的病毒文件,删除不了,转到win ME系统下删除了,但重启进不了XP系统,在出现“欢迎使用windows xp”前停住了,只有一个鼠标图标,进xp的安全模式也不正常,只有一个鼠标,没其他图标。
将SXS.DLL重新复制到D:\windows\system32文件夹里,又可以正常启动了,真是讨厌死了,望大侠们继续赐教。
1
查看完整版本: 中sxs.exe后,杀软删除病毒D盘无法双击打开(又有新发现!)
© 2000 - 2026 Rising Corp. Ltd.