珞珈山水BBS电脑网络系统安全 → 单文区文章阅读

单文区文章阅读 [返回]
发信人: DarkTemplar (黑暗圣堂武士◎偶像Party军委主席), 信区: Security
标  题: 无法双击打开除C盘外其他分区的解决办法
发信站: 珞珈山水BBS站 (Mon Aug 21 14:07:10 2006), 站内

目前流行的sxs.exe病毒,通过移动存储设备传播,类似rose病毒变种,虽然暂时不会导
致系统崩溃,但是会盗取你的QQ信息,十分烦人。

病毒表现是:

1、在 %windows% (即windows系统目录,一般默认是c:\windows)\system32下多出一个
隐藏的svohost.exe文件,同时系统进程中也多出一个大写的SVOHOST进程。

2、除了系统盘之外的每个磁盘分区下,多出隐藏的autorun.ini和sxs.exe文件,使得除
了系统盘之外的分区都无法直接双击打开。

3、修改注册表,使得无论如何都无法显示隐藏文件,从而达到隐藏自身的目的。

4、限制杀毒软件运行。

5、盗取QQ信息。


手动解决办法:

1、在任务管理器中中止SVOHOST进程。

2、在命令行模式(“开始”-“运行”,输入cmd)下输入以下命令:

del /F/A:s c:\windows\system32\svohost.exe
del /F/A:s d:\AUTORUN.INF
del /F/A:s d:\sxs.exe
del /F/A:s e:\AUTORUN.INF
del /F/A:s e:\sxs.exe
del /F/A:s f:\AUTORUN.INF
del /F/A:s f:\sxs.exe
del /F/A:s g:\AUTORUN.INF
del /F/A:s g:\sxs.exe
……(根据各人盘符多少而定)
也可以把上述命令copy到记事本中,另存为.bat批处理文件,直接双击执行即可。

以上两步清除病毒

3、在注册表编辑器中(“开始”-“运行”,输入regedit)把HKEY_LOCAL_MACHINE\S
oftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO
WALL 下被篡改为REG_SZ类型的CheckedValue键删除,重新建立一个类型为REG_DWORD的
键,名称为CheckedValue,数值为1。这样就可以显示所有文件了。

4、将可能被感染的移动设备接上,不要选择自动打开设备,用资源管理器的树状目录打
开,然后在文件夹选项中选择显示所有文件和文件夹,去掉隐藏被保护的操作系统文件
,看看是否存在隐藏的autorun.ini和sxs.exe,如有,删除之。今后使用移动设备时也
应当先这样检查一下。


--
伟大领袖毛主席教导我们说:帝国主义亡我之心不死
一切反动派都是
纸老虎
革命不是请客吃饭,不是做文章,不是绘画绣花,不能那样雅致,那样从容不迫,
文质彬彬,那样温良恭俭让。
革命是
暴动,是一个阶级推翻另一个阶级的暴烈的行动。


※ 来源:·珞珈山水BBS站 bbs.whu.edu.cn·[FROM: 202.127.158.*]
[返回单文区目录]

武汉大学BBS 珞珈山水站 All rights reserved.
wForum , 页面执行时间:12.246毫秒