autorun病毒的解决方法（不能显示隐藏文件的要注意了）

绚丽的蓝

今天同学的机子发现了病毒程序，重装也没用，我就知道肯定又是autorun了，通常在每个盘都会有一个autorun.exe,而病毒可能会修改注册表键值实现其隐藏的目的，用户无法用常规方法显示出隐藏文件。要清除病毒，首先要在安全模式下删除所有被隐藏的autorun.exe文件，然后再用正版杀毒软件杀一次病毒。具体方法是： 一、先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，去掉“隐藏受保护的系统文件”的选中，让所有的文件都显示出来. (若仍无法显示全部文件HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1。若还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0（如图）！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入看能否解决问题） 二、然后右击硬盘→打开的方法打开硬盘，你会看到auotrun.inf文件，先不要删除它，双击它,会自动用记事本打开这个文件，里面有open="一个有exe文件"，到这里你要记信这个open后的这个exe文件，然后关闭记事本。 接下来，右击任务栏→任务管理器→进程→找到你刚才看到的open后的那个exe文件的进程→右击→结束进程树。再到该硬盘下面，你应该可以顺序删除里面的autorun.inf和open指向的exe文件了。 一般它还会感染其他盘，并且会在注册表里面有启动项，只要你重启就会重新发作，所以你还要把其它的盘检查一次。然后删掉注册表里的启动项，方法如下： 开始→运行→regedit，进入注册表，打下如下的子键： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 在右边找open＝指定的那个exe文件的启动项。一般会是c:\windiws\*****.exe之类！！ 如果有，右击→删除即可！！这样就不会再发作了！ 原因二：rose病毒： 症状：双击盘符无法打开，只能通过右键打开；几天之后删除系统NTDETECT.COM文件，系统无法启动。 传播途径：U盘、MP3、移动硬盘 检查方法：将文件夹选项--查看中的"隐藏受保护的操作系统文件（推荐）"前的勾去掉，并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符，如果发现有“rose.exe”和“AUTORUN.INF”文件，则已中毒。 解决方法： 手动： 结束rose.exe进程，然后删掉以下文件：各个盘符下的autorun.inf和rose.exe文件（包括自己的U盘等），c:\windows\system 32\run.reg，c:\windows\system 32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间)，d:\systemfile.com文件；最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉，然后重启即可 [ 本帖最后由 绚丽的蓝 于 2008-3-3 22:12 编辑 ]

累赘

我也中过这个毒，重装了，编病毒的绝对是些变态，tmd

Parn

最近特烦HIJACKER.AGENT.AI这个鸟病毒，重装无效，删除无效，安全模式无效……

这病毒真是大爷，服了。

绚丽的蓝

重装无效看看在别的盘有没有autorun,尤其是显示不了隐藏文件肯定有问题，我同学更搞笑，把系统盘格式化了重装，结果进去后居然还是；原来的系统。。。。。