急~我中了很厉害的病毒~解决了愿意送上所有分

我中了很厉害的病毒啊，症状如下：
1.电脑容易死机。
2.无法运行所有杀毒软件：如瑞星，360，卡巴等（反正我所知道的杀软都试过了，一运行就被自动关闭，而且被御载。）
3.一切关于杀毒的网页都无法打开。（如橙色八月专杀工具的下载地址等，一点就被转到雅虎搜索页）
4.百度上无法搜索关于病毒，木马等字样的网站。
5.电脑无法进入安全模式，点了F8后就蓝屏。
6.我用还原精灵还原到我电脑刚安装的时候，但病毒仍然存在。
1."317226777"你说的方法我试过了，杀软还是装不上啊；
2.“游魂掌” 大哥你讲的很好，但是你给的那个网址我一点就被转为假冒的百度页了啊~~~
3.我不想重装系统呢啊~~帮忙啊大家
4.我想我的病毒是Javqhc木马，我的症状就是“游魂掌”说的一样，QQ安装目录有wsock32.dll 存在，而且我发现我QQ被盗了！
5.大家都帮帮我啊，还是没有一个方法能解决的。

举报该问题

推荐答案 2008-02-14

这是被镜像劫持了。病毒通过修改注册表来屏蔽对手的软件及网站。只要相关杀软的网络IP被列入注册表被禁止项就无法打开该网站。（一打开就自动关闭）把相关的注册表项删掉后杀毒就好了。具体如Image File Execution Options (IFEO in short)劫持

一、典型症状：双击某些可执行程序无法正常执行（或者说执行了没看到预期的结果）但改一个名字就可以。

二、典型案例：OSO.exe新变种60{.exe 美女游戏.pif （转载如下）

============================= 转载Start================================
OSO.exe 新变种
这是OSO.exe,美女游戏.pif,重要资料.exe的又一个新变种，以前截获的样本名为Worm.Pabug.ck ,这次由用户上报的病毒瑞星，金山均没有命名，但在病毒行为上大同小异。以下是具体分析：
此样本于2007年02月01日截获，跟上次的变种一样是采用记事本的图标，是一类IFEO映象劫持病毒。（变种不同这处用红色加粗标识）

病毒行为分析：病毒运行后，会不断打开run time error的消息提示，直到系统资源耗尽，当然用任务管理器，结束error窗口可暂时减少提示的生成。生成文件如下：（以系统盘为C盘，XP SP2为例）oso.exe的分析：生成文件：C:\WINDOWS\system32\drivers\60{.exe 38,510
C:\WINDOWS\system32\drivers\conime.exe 38,510
C:\WINDOWS\system32\severe.exe 38510
C:\WINDOWS\system32\.exe 38510
C:\WINDOWS\system32\.dll 38400C:\WINDOWS\system32\hx1.dat 生成运行后自删除 C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节修改HOSTS文件，屏避对手的网站：127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
X:\autorun.inf (X在此指非系统盘，不包括移动设备)
X:\oso.exe (X在此指非系统盘，不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif 注册表修改情况：添加自启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
60{
C:\WINDOWS\system32\.exe－－－－－－－－－－－－－－－－－－－－－HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
@ －－－默认项
C:\WINDOWS\system32\severe.exe被映象劫持的软件名列表（这次被劫持和软件名多了NOD32杀毒软件和EGHOST） HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\WINDOWS\system32\drivers\60{.exe 都是指向此项，以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
用一个批处理hx1.dat修改系统时间为2004-1-22 使防病毒软件失效由于此病毒修改的内容较多手动修复相当麻烦，U盘病毒专杀工具USBCleaner可彻底清除此病毒。此版本已在之官方网站发布，欢迎下载使用！ http://nick429.135.hezu1.com/永久转向域名：http://nick429.126.com友情提示：U盘病毒专杀工具USBCleaner 为免费绿色的查杀U盘类病毒木马的小工具
============================= 转载End================================

三、解决方法：

可以手动删除添加的非法 IFEO 劫持项目，重启后即可。

具体方法：

1、进入系统目录。例如 C:\windows

2、找到 regedit.exe ，复制，粘贴，运行“附件 regedit.exe”

3、按上面说的方法删除相应的被劫持项目即可。

四、提示：

防止Image File Execution Options hijack(映象劫持)的方法是通过在SSM等行为防火墙中添加一条注册表的监控规则（如下图）来防御，具体可google ，或点此此处链接。

下：

温馨提示：答案为网友推荐，仅供参考

当前网址：http://99.wendadaohang.com/zd/eBOXBXWW.html

其他回答

第1个回答 2008-02-15

AV终结者

“AV终结者”即”帕虫”是一系列反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(An-ti-virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是，用户即使重装操作系统也无法解决问题：格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁，安全性几乎为零。它还自动连接到某网站，下载数百种木马病毒及各类盗号木马、广告木马、风险程序，在用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。

传播途径

“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播，建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全，不要在可疑电脑上使用U盘，以免自己的电脑受到传染。

病毒特征

这种病毒主要特征有：禁用所有杀毒软件以及相关安全工具，让用户电脑失去安全保障；致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入‘病毒’相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法。

病毒现象

·1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

·2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

·3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

·4. 禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。

·5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。

·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

防范措施

对于病毒而言，良好的防范措施，好过中毒之后再绞尽脑汁去寻找查杀方法，而且一旦感染该病毒，清除过程相当复杂，因此，在采访中，金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施：

1.保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。

2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。

4.安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。

5.关闭windows的自动播放功能。

病毒解决方案

方法一：
因为这个病毒会攻击杀毒软件，已经中毒的电脑杀毒软件没法正常启动，双击没反应，因而这时无法用杀毒软件来清除;利用手动解决也相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。推荐的清除步骤如下：

1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。

2. 在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件：
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。

3. 执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。

（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。）

4. 不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。

方法二：
去黑联盟或黑客动画吧，下载一个AV生成器，运行后（注意别单击生成），选“卸载本地服务端”。

手动清除办法

1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。
2.利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能，展开注册表项到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，删除里面的IFEO劫持项。
当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒

第2个回答 2008-02-13

如果主页、论坛的域名，均被劫持IP为222.73.126.115的主机，画面为假冒百度网，域名显示为cn.yahoo.com。

就是中 Javqhc木马了、

360安全卫士、 Javqhc专杀工具 V1.4 版、最后更新：2008-01-09专杀工具
http://360safe.qihoo.com/killer/k-javqhc.html
用中毒的电脑上不了专杀网下载、可找朋友代下专杀工具、

1、专杀工具要改扩展名不能含有------killer_javqhc-----字眼才能在中毒机器里打得开使用、可改成 NIHAO。EXE 或其它、要保留EXE后缀、、此病毒会监控并阻止破坏“killer_javqhc专杀工具”运行的、

2、解决Javqhc木马专杀没用：有时用专杀软件说未找到被感染文件，没关系，重启电脑、再杀、可反复数次、

3、用中毒的电脑专杀网上不了、可找朋友代下专杀工具、

javqhc木马简介：

如果你有一下现象，就可能中了此木马：
1、安全软件硬盘文件被删除
无法打开360、诊断工具等安全软件，运行后被立刻删除。
2、常用域名被劫持到其它域名
该木马会修改 hosts 表，奇虎360、卡巴斯基、金山、江民、瑞星、赛门铁克等安全厂商的升级服务器、主页、论坛的域名，均被劫持IP为222.73.126.115的主机，画面为假冒百度网，域名显示为cn.yahoo.com。
3、病毒文件写入常用软件安装目录
发现系统中 qq 安装目录下有 wsock32.dll 存在本回答被提问者采纳

第3个回答 2008-02-13

有可能是auto之类的病毒。
从“工具”-“文件夹选项”-打开“显示所有文件及隐藏受保护的操作系统文件”，打开各个盘，发看有没有autorun.inf，有的话，新建个文本文档，用文本打开autorun.inf，如内容显示如下：
[AutoRun]
open=***.exe[注：可执行文件名]
shell\open=打开(&O)
shell\open\Command=***.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=***.exe

如果出现以上文字，那么肯定就是auto了。

注册表能打开吗？点“开始”-“运行”-输入“regedit”进入注册表。

先禁用自动播放：方法一：运行注册表编辑器Regedit，展开注册表到HKEY_CURRENT_USER\Software\ Microsoft\Windows\ CurrentVersion\Policies\Explroer主键下，在右边窗口中将二进制值“NoDriveTypeAutoRun”的键值改为 95 00 00 00

注销

方法二：单击“开始→运行”，键入“gpedit.msc”，确定后运行“组策略”，在左边找到“本地计算机策略→计算机配置（或用户配置）→管理模板→系统”，然后在右边双击“关闭自动播放”，选择“未配置”后点击确定退出。

再找到HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce,找到可疑的启动项目及其路径、名称，记下来。

下个Icesword，下不了或从别的地方下拷过来。

有时优化大师进程管理、Icesword、360安全卫士、金山病毒专杀工具等也都打不开了，而且当窗口开到上面两个可疑文件的目录时都立即自动关闭了，同时还对关键字为“木马”“杀”“专杀”的文件或文件夹很敏感，一旦打开，立刻就自动关闭了，其他目录能正常打开；但改个名，去掉关键字后就能打开了。（^^我就有这种情况，不过搞定了）。

清除过程：

{[删除文件时在Icewword里删除，不要打开windows。]}
如果打不开Icewword,就把Icesword减几个字母，改成Ice或者别的什么可能就能打开了。打开后寻找可疑进程，如果结束可疑进程它们又马上生成，记住文件名；那就在“文件”-“设置”中选择“禁止创建进程”，结束可疑进程；再到“查看”下面找“监视进程创建”，看刚才结束可疑进程时是什么文件再创建的，记住文件名。

开始-搜索，把刚才记下来的文件全找出来记下位置。
{[删除文件时在Icewword里删除]}删除各盘根目录下的***.exe和autorun.inf；再删除搜索出来的文件。

重起。

但如果以上操作还清除不了的话请进行下面的操作（可能不必要）：前面操作一样，但搜索时使用高级选项，选取系统文件夹、隐藏文件夹和隐藏文件、子文件夹（里面有很可能有正常文件），记住位置，再全部删除。

打开注册表，分别搜索可疑文件（不要后缀.exe）,并一一删除。

这时程序都打不开了，把Icesword里“文件”-“设置"中“禁止创建进程”去掉,再打开或装上（打不开就再装）杀毒杀木马的软件杀一遍。

杀过之后，很可能有些程序运行不了了，但如果没有毒木马了，重装一下就是了。

第4个回答 2008-02-25

是AV终结者，忆林子专杀工具如下，存在记事本中，另存为文件名.bat，双击运行即可

@echo off
title 忆林子
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 该病毒资料
echo 瑞星将该病毒定义为：Worm.Win32.DownLoad.b
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径大小(字节)
echo c:\autorun.inf 159
echo c:\niu.exe 30,625
echo c:\WINDOWS\system32\Autorun.inf 159
echo c:\WINDOWS\system32\crsss.exe 30,625
echo 其它所有分区:\autorun.inf 159
echo 其它所有分区:\niu.exe 30,625
echo.
echo autorun.inf文件里的内容
echo.
echo [AutoRun]
echo.
echo open=niu.exe
echo shell\open=打开(^&O)
echo shell\open\Command=niu.exe
echo shell\open\Default=1
echo shell\explore=资源管理器(^&X)
echo shell\explore\Command=niu.EXE
echo.
echo 该病毒的后果:
echo 你的杀毒软件会无法打开,另外你的系统时间会被修改成2000年,无法显示隐藏文件
echo 另外，该病毒会把注册表项删除，导致你进入安全模式就蓝屏。
echo 可能还有其它的情况,我这里就不详细说明了.
echo.
ECHO 注意：该病毒会将你的系统时间修改为2000年，而这个杀毒程序的会将你的时间
echo 修改为2008年，你如果是在2008年使用这个的话，系统时间就不用修改了，否则
echo 杀毒后请自己重新设置系统时间。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是该病毒的信息，如果要清除该病毒，请回车键开始杀毒...

rem 结束病毒进程
for %%d in (niu.exe,crsss.exe,reg.exe) do (
taskkill /im %%d /f
cls
)

rem 把时间改成2008年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ('date /t') do (
date 2008-%%j-%%k
)

rem 去除病毒源文件的系统、隐藏、只读属性,然后删除它们。
for %%d in (Autorun.inf,crsss.exe) do if exist "%systemroot%\system32\%%d" (
attrib -s -h -r "%systemroot%\system32\%%d"
del "%systemroot%\system32\%%d" /q
)
rem 添加进入安全模式的注册表项
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
cls

rem 解除对任务管理器的禁用
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f

rem 解除禁用Windows更新程序
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate" /v DisableWindowsUpdateAccess /f

rem 添加显示隐藏文件的注册表项
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v RegPath /d "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Type /d "radio" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v ValueName /d "Hidden" /f

rem 删除病毒添加的启动项
for %%f in (crsss) do (
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%f /f
)

rem 删除其它盘根目录下的病毒文件
for %%f in (autorun.inf,niu.exe) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\%%f (
attrib -s -h -r %%d:\%%f
del %%d:\%%f /q
)
)
)

rem 删除病毒在注册表中添加的关联
if exist test.忆林子 del test.忆林子
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.忆林子
for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do (
reg delete "%%j" /v debugger /f
cls
if exist test.忆林子 del test.忆林子
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注册表项,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.忆林子 del test.忆林子
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls

color a0
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完毕，按回车键开始解决分区无法双击打开的问题.
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
cls
@echo off
title 忆林子--解决分区无法打开
color a0
rem 删除引起磁盘无法双击打开的autorun.inf文件
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:\autorun.inf (
cacls %%i:\autorun.inf /c /e /p everyone:f
attrib -s -h -r %%i:\autorun.inf
del %%i:\autorun.inf /q
)
rem 进行磁盘检查，恢复双击打开功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 操作结束,按回车键退出该程序...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p temp=
:exit
exit

1 2 3 4 5 6 7 8 9 10 下一页

相似回答

大家正在搜