打开文件夹选项,在查看里取消“隐藏系统文件”,点击“显示所有文件”(如果无法显示隐藏文件,说明已经种了毒。处理办法下面会
讲到),在有毒的盘符的根目录下可以看到一个 f文件,还有一个可执行文件。先分析inf文件。
f文件是系统文件,不是真正的病毒。
放入光盘时会自动播放光盘上的文件,这就是这种文件的功劳。下面来看看这个文件内容
[AutoRun] 这是固定格式
open=RavMon。exe 这个链接指向病毒程序
shell\open=打开(&O)
shell\open\Command=RavMon。
exe 如果用右键打开同样指向病毒程序
shell\explore=资源管理器(&X)
shell\explore\Command=”RavMon。exe” 用资源管理器打开同样中毒。
系统默认的自动播放功能是开着的,所以很容易中毒。
正确的做法是点击 开始–运行,输入 c,打开组策略,计算机配置–管理模版–系统,双击“关闭自动播放”,选择“已启用”,确认退出。
所以,拿到u盘不能双击打开,也不能用右键。正确的做法是从地址栏的下拉菜单进入,这样就不会中毒了。然后显示所有文件(包括系统文件),如果有autorun文件,打开,看open指向那个程序,删了对应的可执行程序。
如果只删除病毒文件,一般会出现双击、右键打不开盘的情况。一些杀毒软件杀了病毒而没有删了autorun文件,同样出现这种情况,把此文件删了即可。
如果无法显示隐藏文件,说明病毒删除了注册表对应的键值。可以把下面内容存储成 g文件,双击该文件导入注册表即可
具体操作方法: 1)通过记事本新建一个文件 2)将以上内容复制到新建的记事本文件中 3)通过记事本文件菜单另存为 g 4)双击存储的 g文件,点击弹出的对话框是按钮即可。
Windows Registry Editor Version 5。00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32。
dll,-30500″
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell。
hlp#51105″ 。
