若格式化都无效如何清除”不可杀“病毒？

来源： 作者： 时间：2008-04-15 Tag：病毒分析清理 点击：

　　有时当杀毒软件处理完病毒程序后，会造成双击硬盘盘符打不开、右击出现等AUTO字样等，殊不知此类情况的发生跟系统主录下的配置文件autorun.inf有关。

　　解读autorun.inf

　　由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件，并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件，用户可以用文本编辑软件进行编辑(注：该文件只能位于驱动器的根目录下时，才能实现启动加载)，该文件包含了需要自动运行的命令，如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。

　　病情描述

　　当用户在选择：工具-文件夹选项-查看-显示所有文件和文件夹时，计算机无法显视出autorun.inf文件，任意点击C、D、E盘符时会另外打开窗口，而U盘、MP3等第三方存储盘更是如此，插入计算机后，画面文件一闪即过，想查看主目录下的autorun.inf文件，却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件，盘符右击，目录中出现AUTO或两个打开字样(粗字体，细字体)信息等情况，利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。

　　解决方法

　　面对以上的情况，有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多，这里提供一种方法让用户尝试。

　　一、让文件不再隐藏

　　打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值，单击右键新建—Dword值—;命名为CheckedValue，然后修改它的键值为1，此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体，在盘符下输入命令attrib，此时便可查看是否有一个名为SH autorun.inf的文件，完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏，用户只要打开相应的盘符即可看到此文件，将其删除即可。(小提示：attrib 命令是用来设置文件属性，attrib +s或-s [文件名] 设置文件属性是否为系统文件，attrib +h或-h [文件名] 设置文件属性是否隐藏 )。

　　二、删除病毒

　　在分区盘上单击鼠标右键;打开，看到每个盘跟目录下有autorun.inf和tel.xls.exe 两个文件，将其删除，U盘同样。并在依次打开开始菜单中的：运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目，或者运行regedit调出注册表，在其内找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run删除类似C:\WINDOWS\system32\SVOHOST.exe 键值项即可。

　　三、清除病毒遗留

　　打开我的电脑C盘，在WINDOWS\与WINDOWS\System32\目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示：每个文件夹都有两个，因为病毒原因导致系统产生两个一样的文件，其中有一个类似文件，用户在删除时一定要注意不要误删除)，重新启动电脑后系统将一切正常。

　　后记：隐藏病毒文件并不可怕，可怕是不知其原理而盲目下手，困此而导致系统文件损坏，系统崩溃无法启动，当用户重新对C盘格式化，利用ghost软件恢复系统后，如果其他盘符不进行格式化，那么病毒与隐藏文件将依然存在。用户只有在明白了病毒原理的情况下，才能彻底解决所带来的困惑!

[收藏] [推荐] [评论] [打印] [关闭]

顶一下

上一篇：mdm.exe病毒的解决方法
下一篇：U盘病毒（autorun 系列病毒）之有效免疫方法

最新评论共有 0 位网友发表了评论

查看所有评论

发表评论

栏目列表

若格式化都无效 如何清除”不可杀“病毒？

若格式化都无效如何清除”不可杀“病毒？