标题:
[
病毒查杀
]
rose.exe 病毒
[打印本页]
作者:
shillan
时间:
2006-6-21 10:20
标题:
rose.exe 病毒
(本文所讲的是rose病毒的 其他相类似的病毒的解决方法类同)
你是不是有过u盘双击打不开的情况?(点右键会有"auto"和"自动播放"选项) 如果有,你可能中了rose病毒(还有ravmone等)了。这种病毒会在所有的根目录下建立rose.exe和autorun.inf文件,双击时就自动运行该病毒文件。
关于rose.exe病毒
此病毒作用机理是在各个盘符复制rose.exe病毒体,同时创建autorun.inf自运行文件(均为系统隐藏文件,需要在文件夹选项中做相应设置才可以见)。autorun.inf的作用是当你双击盘符时自动运行只定程序。此次病毒autorun.inf里
[autorun]
shellexecute=rose.exe
就是指定rose.exe这个病毒程序的运行。
rose.exe病毒主要表现在:
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exeautorun.inf2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过u盘、移动硬盘等存储设备传播。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
手动杀毒方式,具体如下:
第一种
1、调出任务管理器,在进程页面中结束掉所有名称为rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击,用右键的打开选项),删掉所有的rose.exe和autorun.inf文件。
5、在c:windows下查找有没有rose相关文件,如果存在就直接删掉
第二种
首先,在进程管理中终止rose.exe进程。
其次,打开文件搜索(按win键+f),在搜索栏中填入“rose.exe”,把所有搜索到的rose.exe文件全部删除。再在搜索栏中填入“autorun.inf”,只需搜索根目录即可,把搜索到的文件再删除掉。
再次,在运行栏输入“msconfig”,在启动中去掉rose.exe的选项。
最后重启你的电脑!
第三种
1打开我的电脑——文件夹选项——查看——隐藏受保护的操作系统文件(把钩去掉)——显示所有的隐藏文件(选中它)
2ctrl+alt+del三键齐按进到电脑进程,把进程中的所有是rose.exe文件进行“结束任务”(记清了,所有的,一般你有几个盘就会运行几个rose.exe文件)
3右击“我的电脑”——资源管理器——把各个盘根目录中的rose.exe 和 autorun.inf 两个文件进行手动删除(这两个文件一般都存在各个“本地磁盘”根目录下)。要注意非根目录下的autorun.inf有的不是病毒,看看它的内容就知道,不要删错了。
4清空回收站
5运行regedit,把rose.exe相关键值删除,重启,搞定。
rose.exe的发作原理
rose.exe,这个病毒工作于windows 32平台。 病毒会在硬盘的
根目录生成rose.exe文件,这个文件的作用是:当你双击硬盘的盘符时,
系统会调用rose.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。
另外病毒可以通过移动存储介质进行传播(u盘,移动硬盘).有些杀毒软件可以
对其进行查杀!但是感染症状依然存在;
感染症状:"windows无法找到rose.exe"或者"双击活动硬盘无法直接打开",
而是出现一对话框,只能通过右键---打开才能浏览分区内容.
解决方法:右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下,
选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在
你的盘符下多了一antorun.inf 的文件,打开可以看到如下的内容:
[autorun]
open=rose.exe
这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件,
即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因,
知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中
输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入rose.exe,
点查找,接下来会在注册表中找到此键值.一般在
hkey_current_user\software\microsoft\windows\currentversion\explorer
\mountpoints\下.
如果是你的移动硬盘的盘符f盘打不开,那么你将会在
hkey_current_user\software\microsoft\windows\currentversion\explorer
\mountpoints\f\shell\command\下发现此键值,把shell子键删除即可.f3查找下一个,重复操作,直到所有的都清除.f5刷新,除盘符下的antorun.inf文件.
问题即可解决!
假设你的活动硬盘是f盘,则将注册表中
hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\f\shell 项删除
rose.exe作用是:当你双击活动硬盘的盘符时,系统会调用rose.exe文件自动播放活动硬盘的内容,作为传播病毒的一种方式。
当你将活动硬盘接到某台电脑时,这台电脑的杀毒工具可以将活动硬盘根目录的病毒文件rose.exe直接删除掉。
但是,病毒在注册表中留下的信息没有被清除掉,所以当你再准备双击打开活动硬盘时,系统仍然会按照注册表的描述去调用rose.exe来播放活动硬盘的内容,由于这时文件已被删除,所以提示windows无法找到rose.exe。
如果你看不懂上面的文字说明的 此处有更为详尽的图示操作说明
http://me.flashlm.com/art_show.asp?id=93
欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/)
Powered by Discuz! 7.2