svchost.exe
本来是系统文件,不过是在c盘windows下,是在c盘windows下的system32下;这是病毒伪装的系统文件,通过注册表开机加载,源程序已被删除,不过注册表中的内容未被删除,所以开机才显示那个提示,这样解决;
开始菜单-运行-输入
regedit,就打开了注册表,然后依次打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;,找到右边窗口显示有c:\windows\svchost.exe这个路径的启动项,右键点击删除那个键,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce;这几个位置也是启动项放置的地方,如果上面那个找不到,可以在下面几个看看,不过一般都是在上面那个位置的;删除后开机就不会显示那个提示了
你没杀干净吧,如果你没杀干净,双击盘符会使得病毒重生,你现在用右键打开盘符,菜单上的工具-文件夹选项-查看-选择显示所有文件这个选项,以及去掉隐藏操作系统文件这个选项;确定,看到每个盘的根目录下是不是都有autorun.inf以及另外一个病毒程序,打开autorun.inf,看看里面的命令,一般就是open=*什么的,=号后面就是病毒程序,看看是不是就是每个盘根目录下的程序,如果不是,就按照他给的路径,将那个程序删除;不能直接删除,可以到安全模式下删除,开机按住f8,选择安全模式,就进入了;切记不要在杀完毒之前双击盘符;每个盘符下的病毒都这样处理;1
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
最简单的办法就是进入DOS或用其它文件删除软件把每个分区根目录下的autorun.inf 和 sxs.exe文件删除,然后再把系统盘格式化恢复系统或重新安装。sxs.exe用江民的未知病毒查杀工具可以删除;autorun.inf 用智能杀毒伴侣可以在windows下删除
记得要结束SVOHOST进程
svohost进程与系统的svchost进程只用一个字母只差,要仔细一点看,不要看错啦.
U盘病毒的总结
第一:U盘里单有一个名为Autorun.inf的文件夹,无论文件名字是大小写,文件属性是隐藏还是未隐藏,均不是病毒。
是在某种情况下系统对U盘的免役。
第二:U盘出现
.exe的文件,原有的文件看不到了。那么别格式化U盘,删除这些.EXE的文件就可以了。它是个假象,
隐藏了原文件。
第三:U盘每个文件夹下生成相同文件名的.exe的文件夹,已经中招了。用USBKILL杀下毒或者360
安全模式下杀毒是解决比较顽固的U盘毒。
第四:已知U盘中招了,那么写个批处理(在桌面新建一个.TXT的文本,复制以下代码在里面,然后改为.BAT的可执行文件
《文件扩展名在“工具”“文件夹”选项里调出》)
@echo
on
taskkill
im
explorer.exe
f
taskkill
im
wscript.exe
f
taskkill
im
algsrvs.exe
f
start
reg
DELETE
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
v
IMJPMIG8.2
f
start
reg
DELETE
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
v
MsServer
f
start
reg
DELETE
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden
SHOWALL
v
CheckedValue
f
start
reg
add
HKCUSOFTWAREMicrosoftWindowsCurrentVersionEXplorerAdvanced
v
ShowSuperHidden
t
REG_DWORD
d
1
f
start
reg
add
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden
SHOWALL
v
CheckedValue
t
REG_DWORD
d
1
f
start
reg
import
kill.reg
del
cautorun.
fun.xls.exe
f
q
as
del
%SYSTEMROOT%system32autorun.
msime82.exe
algsrvs.exe
fun.xls.exe
msfun80.exe
f
q
as
del
%temp%~DF8785.tmp
~DFD1D6.tmp
~DFA4C3
~DFC86B.tmp
f
q
as
del
%systemroot%ufdata2000.log
del
dautorun.
fun.xls.exe
f
q
as
del
eautorun.
fun.xls.exe
f
q
as
del
fautorun.
fun.xls.exe
f
q
as
del
gautorun.
fun.xls.exe
f
q
as
del
hautorun.
fun.xls.exe
f
q
as
del
iautorun.
fun.xls.exe
f
q
as
del
jautorun.
fun.xls.exe
f
q
as
del
kautorun.
fun.xls.exe
f
q
as
del
lautorun.
fun.xls.exe
f
q
as
start
explorer.exe
建议以后用这个批处理打开硬盘U盘
第五:有些U盘病毒是依附.exe的文件运行的,所以记住别直接双击打开U盘,用右键的打开或者资源管理器去打开U盘(或者硬盘分区)
第六:在U盘里新建一个.txt
的文本,然后将它重命名为Autorun.inf,并修改其属性为隐藏只读(也就是右键属性里修改)可以防止U盘病毒的写入
解决方法如下,请按步骤执行:
先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹,去掉“隐藏受保护的系统文件”的选中,让所有的文件都显示出来
然后右击D盘→打开的方法打开D盘,你会看到auotrun.inf文件,先不要删除它,双击它,会自动用记事本打开这个文件,里面有open="一个有exe文件",到这里你要记信这个open后的这个exe文件,然后关闭记事本。
接下来,右击任务栏→任务管理器→进程→找到你刚才看到的open后的那个exe文件的进程→右击→结束进程树。再到D盘下面,你应该可以顺序删除里面的autorun.inf和open指向的exe文件了。
一般它还会感染其他盘,并且会在注册表里面有启动项,只要你重启就会重新发作,所以你还要把其它的盘检查一次。然后删掉注册表里的启动项,方法如下:
开始→运行→regedit,进入注册表,打下如下的子键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边找open=指定的那个exe文件的启动项。一般会是c:\windiws\*****.exe之类!!
如果有,右击→删除即可!!这样就不会再发作了!
到此应该可以解决了!!!
用DOS命令是最好的,也是最干净的!
方法如下:
假设autorun.inf文件夹是在D盘,操作如下:
打开“开始”,选择“运行”,输入“CMD”,打开命令行窗口,在命令行窗口中输入一下命令:
第一步:输入D:
然后回车
第二步:输入rmdir
/s
autorun.inf
然后回车
第三步:当出现提示时,按“Y”,并回车
其他盘照此方法执行即可!!
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024