昨天同学在我的电脑上乱搞一气,结果机器中招,导致卡巴失效。GHOST系统,情况依旧。BAIDU到很多类似情况的解决方案,弄了一晚上,未果…若不是电脑里面有好多资料,早就全盘格式化了-_-! 耐心多次尝试后将病毒成功清除(需要恢复系统盘,不必全盘恢复),分享一下经验。
问题不是已往遇到过的autorun.inf U盘病毒,但整合了其破坏功能,各分区根目录下有rising.exe,autorun.inf文件(隐藏),在安全模式下删除和注册表清除后都会重新生成。但可以查看隐藏文件(U盘病毒不能查看,能通过更改checkedvalue值来查看),双击盘符可打开(U盘病毒不可以,只能通过右键打开,且右键菜单有auto项)。中招后的征兆是:系统时间被自动修改为2005年,在BIOS重新设置后又被改回2005年;卡巴授权文件失效,卡巴所有功能均不能使用;只能打开一次网页,第二次便不能打开。
网上有人说是番茄花园病毒,有人说是威金,症状都是类似,而且system32下被修改的文件名称也不一样。下面说一下我的处理办法:这里autorun.inf只是配置文件,rising.exe是启动文件。多次删除rising.exe文件但仍重新生成。这里是有删除顺序的,首先将所有非系统盘根目录下的两个文件删除,系统盘下的不要删,否则非系统盘下会重新生成两个文件。然后GHO掉系统盘,解决!此方法仍要重新恢复系统,但可保证其他盘下的数据不丢失,个人感觉是最快速的解决办法。
以下两种方法未尝试
还可以进入DOS,在每个盘的根目录输入
attrib -h -s -r;
del autorun.inf;
del rising.exe;
PS:attrib指令用于修改文件的属性.文件的常见属性有:只读.存档.隐藏和系统.
attrib指令的格式和常用参数为
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
[drive:][path][filename]
指定要处理的文件属性。
/S 处理当前文件夹及其子文件夹中的匹配文件。
/D 也处理文件夹。
搜集来的处理办法:
这个病毒运行后在各个分区根目录下创建autorun.inf和rising.exe这两个文件,并且添加一项服务,该服务以随机8位字母和数字组合命名,启动后修改系统时间为2005年,月日不变,可以导致卡巴斯基时间问题而失效。
点“开始”——运行——输入“msconfig”——回车,此时打开了系统配置实用程序,然后按照下图所示操作:首先点“服务”——勾选“隐藏所有microsoft服务”——勾选病毒服务(随机8位字母和数字组合的)——全部禁用——确定。
重启电脑,此时不加载病毒服务,运行autorun专杀及免疫工具
全盘杀毒,解决
问题不是已往遇到过的autorun.inf U盘病毒,但整合了其破坏功能,各分区根目录下有rising.exe,autorun.inf文件(隐藏),在安全模式下删除和注册表清除后都会重新生成。但可以查看隐藏文件(U盘病毒不能查看,能通过更改checkedvalue值来查看),双击盘符可打开(U盘病毒不可以,只能通过右键打开,且右键菜单有auto项)。中招后的征兆是:系统时间被自动修改为2005年,在BIOS重新设置后又被改回2005年;卡巴授权文件失效,卡巴所有功能均不能使用;只能打开一次网页,第二次便不能打开。
网上有人说是番茄花园病毒,有人说是威金,症状都是类似,而且system32下被修改的文件名称也不一样。下面说一下我的处理办法:这里autorun.inf只是配置文件,rising.exe是启动文件。多次删除rising.exe文件但仍重新生成。这里是有删除顺序的,首先将所有非系统盘根目录下的两个文件删除,系统盘下的不要删,否则非系统盘下会重新生成两个文件。然后GHO掉系统盘,解决!此方法仍要重新恢复系统,但可保证其他盘下的数据不丢失,个人感觉是最快速的解决办法。
以下两种方法未尝试
还可以进入DOS,在每个盘的根目录输入
attrib -h -s -r;
del autorun.inf;
del rising.exe;
PS:attrib指令用于修改文件的属性.文件的常见属性有:只读.存档.隐藏和系统.
attrib指令的格式和常用参数为
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
[drive:][path][filename]
指定要处理的文件属性。
/S 处理当前文件夹及其子文件夹中的匹配文件。
/D 也处理文件夹。
搜集来的处理办法:
这个病毒运行后在各个分区根目录下创建autorun.inf和rising.exe这两个文件,并且添加一项服务,该服务以随机8位字母和数字组合命名,启动后修改系统时间为2005年,月日不变,可以导致卡巴斯基时间问题而失效。
点“开始”——运行——输入“msconfig”——回车,此时打开了系统配置实用程序,然后按照下图所示操作:首先点“服务”——勾选“隐藏所有microsoft服务”——勾选病毒服务(随机8位字母和数字组合的)——全部禁用——确定。
重启电脑,此时不加载病毒服务,运行autorun专杀及免疫工具
全盘杀毒,解决
475003427