瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中sxs.exe后,杀软删除病毒D盘无法双击打开(又有新发现!)

12   1  /  2  页   跳转

中sxs.exe后,杀软删除病毒D盘无法双击打开(又有新发现!)

收藏
山民88
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-03-10 22:16 | 只看楼主 短消息 资料
字号: 1楼

中sxs.exe后,杀软删除病毒D盘无法双击打开(又有新发现!)

前段时间,中了sxs.exe病毒,杀毒软件删除了病毒,之后D盘无法双击打开,右键菜单里出现了原来没有的“AUTO”选项,用右键“打开”可以打开D盘。

    进注册表编辑器,搜索sxs.exe,发现HKEY_USERS\S_1_5_21_1801674531_1060284298_1708537768_1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\MOUNTPOINTS2\{C0C03374_B87A_11DB_8899_806D6172696F}\SHELL下的Auto和Autorun两个主键里有sxs.exe的键值。

    删除SHELL主键后,D盘就可双击打开了,而且右键菜单里也没“Auto”的选项了,以为万事大吉,但过一会,SHELL及其下的Auto和Autorun(里有sxs.exe的键值)等又自动生成了,真是气煞人!

    请教各位大侠怎么办呀?
最后编辑2007-03-13 00:04:12
分享到:
gototop
 
一心一意反病毒
头像
快乐黄口狮
  • 帖子:178
  • 注册: 2007-02-10
  • 来自:
发表于: 2007-03-10 23:15 | 短消息 资料
字号: 2楼

你可以把auto.inf,autorun.inf的内容发上来么?(右击打开分区,然后右键打开“auto&autorun”)
其实我就想把它和它所调动的程序删除掉。
你可以用冰刃删除注册表相应值,再删除auto.inf,autorun.inf及其里面所调动的程序。(右击打开分区)
提示:我是新手。
看来楼下的高人方法更加成熟,可靠,我服了你,谢谢你!
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-03-10 23:17 | 短消息 资料
字号: 3楼

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。

右击打开有问题的分区  删除autorun.inf
gototop
 
山民88
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-03-10 23:47 | 只看楼主 短消息 资料
字号: 4楼

谢谢楼上两位,我的是XP sp2系统,我已经把1.reg导入了注册表,设置了显示所有文件和文件夹,D盘里没有autorun.inf和auto.inf,在C、D盘里搜索也没有。望继续赐教。谢谢。
gototop
 
山民88
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-03-10 23:48 | 只看楼主 短消息 资料
字号: 5楼

请教:1.reg导入注册表是什么作用?谢谢。
gototop
 
山民88
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-03-10 23:56 | 只看楼主 短消息 资料
字号: 6楼

其中:注册表autorun\command里的键值是:D:\windows\system32\rundll32.exe sheu32.dll shellexec_rundll sxs.exe
gototop
 
hzeagle
头像
初生襁褓狮
  • 帖子:83
  • 注册: 2007-03-05
  • 来自:
发表于: 2007-03-11 00:14 | 短消息 资料
字号: 7楼

在工具--文件夹选项-查看,把"隐藏操作系统文件"勾去掉,再把显示所有文件和文件夹点上,在D盘你可以看到auto.inf或autorun.inf文件,用记事本打开,可以看到病毒的地址,把病毒名称在注册表里搜索并删除,再删除病毒,很简单的
gototop
 
山民88
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-03-11 22:34 | 只看楼主 短消息 资料
字号: 8楼

引用:
【hzeagle的贴子】在工具--文件夹选项-查看,把"隐藏操作系统文件"勾去掉,再把显示所有文件和文件夹点上,在D盘你可以看到auto.inf或autorun.inf文件,用记事本打开,可以看到病毒的地址,把病毒名称在注册表里搜索并删除,再删除病毒,很简单的
………………


哥们,我已经设置了“显示所有文件和文件夹”,没找到auto.inf或autorun.inf
gototop
 
山民88
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-03-11 22:43 | 只看楼主 短消息 资料
字号: 9楼

我是双系统,C盘是Win ME,D盘是XP sp2
gototop
 
hzeagle
头像
初生襁褓狮
  • 帖子:83
  • 注册: 2007-03-05
  • 来自:
发表于: 2007-03-12 01:09 | 短消息 资料
字号: 10楼

引用:
【山民88的贴子】我是双系统,C盘是Win ME,D盘是XP sp2
………………

引用:
【山民88的贴子】我是双系统,C盘是Win ME,D盘是XP sp2
………………

复杂了,你在98和XP下,分别按我操作查看下.
1.既然你在REGEDIT里能够找到键名,而且你在删除后又重新产生,那也不是坏事,即可以通过观察"数据",知道病毒的路径.
2.U盘病毒并不神奇,它的代码一般是
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
你可以把这些代码复制在记事本,并改名为autorun.inf,随便找个小游戏(要可执行文件,即EXE文件),把这小游戏改名为OSO.exe.把小游戏和autorun.inf放在C盘或者D盘E盘,随便哪个盘都可以,点击这个盘,这时候这小游戏就自动跳出来了,用右键点你可以看到"AUTO"字样.
或句话说,如果这小游戏是木马的话,那么点击这盘时,跳出来的就是运行的就是木马了.
3.如果你手头没小游戏,我提供一个给你
地址是:http://user.free.77169.net/hzeagle/load/te.exe
把te.exe改为OSO.exe ,U盘病毒原理就很直观了
4.知道原理要比单纯杀毒更能学到东西:))
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT