论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2464阅读
  • 1回复

针对硬盘不能双击打开右键出现autoruan类似问题总结 [复制链接]

上一主题 下一主题
离线深水易寒
 

发帖
2098
今日发帖
最后登录
2020-02-27
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-03-25 10:37:45
一、右键多了一个“自动播放”

1."开始-运行",键入cmd后回车,进入DOS状态,输入C:后回车.继尔输入dir/a后车(没有参数a是看不到隐藏文件的.执行a是显示所有文件)
2.此时你会发现一个autorun.inf文件,再输入attrib autorun.inf -s -h -r 后回车,此操作目的是去掉autorun.inf文件的"系统"、“只读”、“隐藏”属性,否则无法删除。随后输入del autorun.inf。
3.双击c盘试一下,如能打开,就OK.
4.如出现要求你定位某个命令,如ESKTOP.EXE或其它时,进入注册表,清除注册表中相关信息:"开始-运行",键入regedit,"编辑-查找-DEKTOP.EXE或其它,找到的第一个就是C盘的自动运行,删除整个shell子键,完毕.
双击C盘,应该可以打开了!
重复以上操作数次,解决其它驱动器的问题,为防止意外,请备份好注册表及其它要删除的文件.

二、硬盘盘符双击打不开的解决方法
一般是最近流行的rose病毒的问题,此病毒可手动清除,具体方法为:

1.打开我的电脑,点"工具"-->"文件夹选项"-->"查看",在"高级选项"里,把"隐藏受保护的操作系统文件(推荐)"一项前面的勾号去掉,并将"隐藏文件和文件夹"下属栏中选中"显示所有文件和文件夹". --------此操作为了打开隐藏文件显示,方便以下操作.

2.点击"开始"--->"运行",输入"regedit",进入注册表编辑,点"编辑"--->"查找",在"查找目标栏" 输入 "ROSE.EXE" 按回车搜索相关键值,查到后,直接删除该键值,然后继续按F3,继续查找剩下相关键值,只要查出即删,一般中毒的系统会产生2个键值,你删除后只管按F3,直到完成注册表搜索,确保你的注册表里没有相关键值为止.--------此操作为了截断ROSE.EXE文件的复制源.

3.进入你电脑的所有驱动器盘(千万注意:千万不要双击打开盘符,采用右键点取"打开"进入!),在每个磁盘的根目录你会看到2个文件:"rose.exe"及"autorun.inf",将你电脑所有盘中的"rose.exe"文件全部删除,切勿遗漏.(每个盘中该病毒仅存在与根目录下,且每个盘切莫双击直接点开!)-------此操作彻底断掉该病毒的可执行文件.

4.在完成第三步操作后,你会发现 "rose.exe"文件已经不复存在,但是"autorun.inf"仍在,且无法删除,刷新后仍然出现,不要紧,重新启动电脑,进入系统,依旧按右键"打开"进入电脑各盘,再删除所有的"autorun.inf" 文件,你会发现此次删除成功,--------此步操作扔需注意切莫双击进入电脑各盘,否则前功尽弃!

5.重启电脑(务必)重复第2步搜索删除,大功告成!

三、网友实践解决方案
今天一个朋友打电话问我他的电脑又击打不开硬盘了,其实双击打不开硬盘是广大网友经常碰到的问题,怎么解决呢?回答:建议首先用杀毒软件扫描系统,排除病毒影响。这个问题主要是因为该光盘在你的电脑的最后一个分区里放置了一个名为“Autorun”的INF文件以及一个“.ico”或“.bmp”的小图标所导致的。你可以在该分区里找到Autorun.inf文件,用记事本将它打开,查看“icon=图标名称”这一行,找到那个图标将它和Autorun.inf文件一起删除并重新启动系统就可以解决问题。如果你喜欢该分区的图标,但又想恢复分区原来的打开形式,只要把Autorun.inf文件里的“open=程序名称.exe”这一行删除,保存并退出即可。

  支招:有的朋友可能会认为Autorun.inf文件本身是病毒,要不它怎么会改变磁盘的打开形式和图标而造成很大的麻烦呢?
  其实,Autorun.inf不是病毒,它原本应用在光盘上。很多朋友用过那种会自动运行的光盘吧?比如电脑报合订本光盘,该光盘会自动运行全是Autorun.inf文件的功劳。
  Autorun.inf是一个文本形式的配置文件,我们可以用文本编辑软件(如记事本)进行编辑,然后将它放置到驱动器的根目录下。这个文件包含了需要自动运行的命令,如改变的驱动器图标、运行的程序文件、可选快捷菜单等内容。Autorun.inf里的“open=程序名称.exe”这一行就是要自动运行的程序名称,比如你放进光盘后,光盘就会运行指定的程序;而“icon=图标名称.ico”则是盘符图标的内容。
  一般来说,如果碰上磁盘分区双击打不开时,只能使用右键菜单的“打开”命令来打开,多数是磁盘根目录下有一个Autorun.inf文件在“捣鬼”,你可以将该文件删除;也可以编辑该文件,将“open=程序名称.exe”这一行删除。如果连磁盘分区的图标也改变了,则可以肯定是Autorun.inf文件在捣鬼。
  要注意的是,如果分区的打开形式没有改变,只是单纯的图标改变了,但磁盘分区下没有Autorun.inf文件,则问题出在注册表。单击“开始→运行”,在“运行”对话框中输入“Regedit”并回车启动注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer,查看Explorer下面有没有 “DriveIcons”子项,如果有,则将它删除。

四、D盘双击打不开,原来是爱情后门作祟
近日互联网内lovgate病毒r/s变种猖獗,易查难杀常有格盘无效的尴尬。常有网友问我该怎么办?正好我也遇到此情况,在网上搜索了很多方法,均不见效,经过自己摸索,此方法查杀效果极佳,特写下此文,以飨读者。

=============================
d、e、f、g盘(如果有的话)双击不能直接打开,说Windows无法找到COMMAND.EXE文件,要求定位该文件,定位C:\windows\explorer之后每次打开会提示“/StartExplorer”出错,然后依然能打开驱动器文件夹。 病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:

open="X:\command.exe" /StartExplorer (注:X为驱动器盘符)



[请注意]记住command的后缀,因为每个机子可能不同,有的是exe,有的是com.


所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒
瑞星比较笨不会帮你搞定这个问题(就算升级到最新版也没有用,瑞星网站上专杀也无法解决,且无相关说明),需要自己手工解决。


解决方法如下(以D盘为例):
===================
开始
运行
cmd(打开命令提示符)
D:
dir /a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除
del autorun.inf

到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe,这个时候自动运行的信息已经加入注册表了。

下面清除注册表中相关信息:
开始
运行
regedit
编辑
查找
command.exe (视具体后缀而定,有的是command.com)
找到的第一个就是D盘的自动运行,删除整个shell子键
完毕,双击D盘,是不是可以打开了?


===================
提 醒:重要资料及时备份,防比杀更有效

简介:lovgate集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码,通过远程疯狂传播局域网,最终导致所有计算机用户受到病毒控制,网络瘫痪、信息泄露等严重后果。


类似问题一些病毒相关资料
名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小:97,280字节
传播途径:EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径:Lovgate病毒新的变种,通过445端口搜索邻近IP共享目录,对密码进行弱
口令破解,成功后共享media目录,启动NETMANAGER.EXE远程管理程序,并做为服务器,继续搜索邻近IP,快速传播。

一、病毒被执行时,产生下列文件:

%System%\Hxdef.exe
%System%\iexplore.exe
%System%\WinHelp.exe
%System%\NetMeeting.exe (61,440 bytes)
%System%\spollsv.exe (61,440 bytes)
%SysDir%\IEXPLORE.EXE
%SysDir%\kernel66.dll
%SysDir%\RAVMOND.exe
%WinDir%\SYSTRA.EXE
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\LMMIB20.DLL

C:\COMMAND.EXE (被加入autorun.inf文件,双击磁盘时自动转行)

二、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下:
pass
bak
password
email
book
letter
important

三、更改注册表,机器启动时自动加载运行病毒程序

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In
Windows" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
"SystemTra" = %WinDir%\SysTra.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行,为病毒的后门服务。

四、自动生成和加载三个服务

1、Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
描述:提供后门服务

2、Display name: Windows Management Protocol v.0 (experimental)
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器,执行计划性扫描局域网。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows

3、Display name: Windows Management Network Service Extensions
ImagePath: NetManager.exe -exe_start
Startup: Automatic
描述:为远程管理程序,提供后门服务。

五、由于病毒会自动检测进程,如果发现被关闭,就会继续产生病毒进程。而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中,几乎没有办法手动完全关闭病毒进程。

六、病毒在每个磁盘分区会创建文件AUTORUN.INF,以COMMAND.COM或者COMMAND.EXE病毒文件。双击磁盘时,系统会根据AUTORUN.INF文件的指示,调用COMMAND.COM/EXE病毒文件,结果是无法打开磁盘分区。右键可以打开。

七、病毒检测移动磁盘,网络映射磁盘,以及盘符超过E的磁盘。如果发现有EXE文件,病毒会把它改名,后缀为.ZMX,并且隐藏文件。病毒会创造同名的EXE文件,125K,为病毒体。

八、自动删除一些杀毒软件的进程。病毒会检测一些进程的文件名,如果发现相关文件,会一概删除。主要的判断文件名包括:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
常见的杀毒软件和防火墙都有。。。。。。
所以大家不要以为计算机安装上杀毒软件和防火墙后,就绝对安全了!!!还是要谨慎!!!


lovegate病毒查杀方法

1、安全模式下查杀或用启动盘DOS下查杀,至少查杀二遍。

2、 EXE会被病毒改名,重新进入文件目录,显示所有文件,包括显示后缀,把隐藏的.ZMX文件改成.EXE文件。

3、 硬盘分区无法双击打开,显示所有文件,删除AUTORUN.INF。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
在注册表的这个项中寻找带有子项的{数字}项(不同机器数字不同),目标是子项中有shell/autorun这样子项的romReg键,键值为对应驱动器的名称,将shell子项删除, 对应驱动器就可以通过我的电脑双击进入

4、 杀毒后如果注册表修复不完整,可能会提示启动缺少什么DLL文件,可以手动查找注册表,删除相关注册表。

5、关闭磁盘共享,设置系统用户强悍密码。

6、打全系统补丁。不要再问我都打哪个,每个安全补丁都有其存在的价值。不想再中招就done all :)

7、小建议:打开电子邮件要小心。怕怕~~~~~



sxs.exe病毒清理办法
一,可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件?如果是的话 那么中的是修改过的ROSE病毒
解决方法是这样的:
在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe、svohost、autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了````呵呵


手工处理如下:
任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘

同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
选择里面的“进程”标签
在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程
打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消
并选择下面的“显示所有文件和文件夹”选项
单击“确定”
用鼠标右键点C盘(不能双击!) 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
关闭注册表编辑器
然后重新启动计算机

删除硬盘上是ROSE:
按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑
这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
删除 SXS.exe和autorun.inf文件 病毒就没有了

二,1、断开网络连接

2、打开“任务管理器”,应该有个SVOHOST.EXE进程,把它结束掉。到C:\WINDOWS\system32里找到SOVHOST.EXE把它删除。

3、执行“开始”-“运行”-输入“regedit”打开注册表

4、找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\ CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1。(不做这一步,第6、7步将无法查看到隐藏的系统文件)

5、打开各硬盘(“我的电脑”里右键“打开”或“资源管理器”右侧选择),

6、“文件夹选项”-“查看”-选择“显示所有文件和文件夹”,并把“隐藏受保护的系统文件”复选框去除选择。

7、可以看到各个硬盘根目录下都有autorun.inf和sxs.exe文件,把它们都删掉。如果U盘上也有,也删掉。U盘上的可能删了又会出现,那就再检查一下“任务管理器”里有没有SOVHOST.EXE进程,把它结束掉(见2)。

8、这样就该差不多了。

9、如果安装的是瑞星,防火墙和杀毒软件应该可以打开了,其他杀毒软件应该也可以打开了。

10、如果瑞星计算机监控无法打开,或者打开后是收着的小红伞,并且所有的监控开启都失败,那么到“控制面板”-“管理工具”-“服务”,找到“Rising Process Communication Center”,应该是被禁用了,右键“属性”,启动类型一项改为“自动”,然后启用该服务。

11、至此,计算机恢复正常。


ps:最后再补充几点
1,因为比较匆忙的整理,可能文章会出现一些问题,希望各位网友指正~~加以修改,谢谢`~~
2,如果各位网友还有什么好方法的话~~不妨分享下~~呵呵`~~谢谢~~
3,自己实践过一种方法`~问题也是双击打不开出现要使用右键或者通过浏览器打开~~现在把步骤写下来~~希望多网友有帮助~~
方法:
a,打开文件夹选项~~把隐藏文件选上并且系统隐藏文件受保护项的勾去掉~~否则可能导致看不到~~
发现与问题相关的2个可疑文件,autoruan文本文件 和disk.exe应用文件~~
b,进行删除autoruan文本文件 和disk.exe应用文件~~~这里特别要提醒下~~删除autoruan文本文件 和disk.exe应用文件有2个前提~~首先是不能把autoruan文本文件 和disk.exe应用文件删除到回收站~~其次是需要把每个盘全部独立打开~~然后进行删除~~删除之后可能出现一个问题~~可能autoruan文本文件 和disk.exe应用文件没有了,但是还是不能直接打开~~本人就遇见了`~采用打开方式~~选择ie 就可以解决~~
c,至此问题解决`~
相关说明:为什么需要把每个盘全部独立打开?原因是本人先打开一个盘删除后~~然后关闭之后又出现autoruan文本文件 和disk.exe应用文件,个人觉的是因为其他盘还有autoruan文本文件 和disk.exe应用文件,所以删除了又自动恢复了`~
还有这种病毒一般是通过u盘或者移动硬盘传播的~~
离线spritewzj
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2008-03-25 16:50:18
谢谢楼主
慢慢来理解