哪位大虾来帮帮忙~~问题很严重,后果不堪设想~
版本一:
Rose.exe病毒主要表现在:
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
由于某些原因,各种杀毒软件均没有提供相应的病毒库,导致无法通过杀毒软件查杀该病毒。现网络中心提供手动杀毒方式,具体如下:
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
方法二:
1、开机的时候按F8选择安全模式
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容,把能删除都删掉。另外system Volume Information目录(文件夹)下(WinXP),请关闭系统还原。
System Volume Information目录(文件夹)(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件,如果存在就直接删掉
转自版主虫子的帖子
方法三:
若有以下文件删除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
注册表项
rose.exe
Shellexecute=rose.exe
想请问大家是否被改注册表后就被强制关机?因为有此代码。。。。。。
心得:
rose病毒除了上面说的
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件,双击该盘符时显示自动运行,但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统。
之外,还可以自行复制执行文件并修改文件名,并在可能的每个注册信息里保存自己的注册信息,而且有可能引起浏览器错误
解决方法:
手工操作
1、调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操 作,(以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,查找所有的“rose.exe”键值项,找到后将整个shell子键删除。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件,如果存在就直接删掉。
然后 参考版主 zcp08765的帖子删除
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
这样手工删除之后,使用江民扫描所有盘符 会发现
C:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
D:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
E:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
中删掉所有的rose.exe和autorun.inf文件和修改过文件名的rose.exe和autorun.inf文件
修改后的文件名可能为A0053***.exe A0053***.inf 病毒文件可能不止一个
参考资料:www.cooai.com
就是病毒,这个东西讨厌死了,这么治它
这有可能是因为你机器中过病毒,杀毒之后的结果。这种病毒在每个驱动器下都有一个卷标AutoRun.inf文件,只要你双击驱动器,就会激活病毒,我们需要手工来删除AutoRun.inf这个文件,在“命令提示符”下输入“attrib
autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del
autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除。
解决的具体方法如下(以D盘为例):
开始---运行---cmd(打开命令提示符)
D: dir/a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除 autorun.inf ,
del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位DESKTOP.exe,
这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息:
开始
运行
regedit
编辑
查找
DESKTOP.exe
找到的第一个就是D盘的自动运行,删除整个shell子键
完毕.
重复以上操作数次,解决其他驱动器的问题,注册表中的信息是在一起的,在删除D盘
Shell\Open\Autorun的时候顺便都删除了吧。
rose病毒:
症状:双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,系统无法启动。
传播途径:U盘、MP3、移动硬盘
检查方法:将文件夹选项--查看中的"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒。
解决方法:
手动:
结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等),c:\windows\system32\run.reg,c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:\systemfile.com文件;最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉,然后重启即可。
自动:
清除工具下载地址:http://www.blog.edu.cn/UploadFiles/2006-5/56357941.rar
然后重启即可。
最迅速、彻底的杀毒方法:
1、断开网络连接
2、打开“任务管理器”,应该有个SVOHOST.EXE进程,把它结束掉。到C:\WINDOWS\system32里找到SVOHOST.EXE把它删除。
3、执行“开始”-“运行”-输入“regedit”打开注册表
4、找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\ CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1。(不做这一步,第6、7步将无法查看到隐藏的系统文件)
5、打开各硬盘(“我的电脑”里右键“打开”或“资源管理器”右侧选择),
6、“文件夹选项”-“查看”-选择“显示所有文件和文件夹”,并把“隐藏受保护的系统文件”复选框去除选择。
7、可以看到各个硬盘根目录下都有autorun.inf和sxs.exe文件,把它们都删掉。如果U盘上也有,也删掉。U盘上的可能删了又会出现,那就再检查一下“任务管理器”里有没有SOVHOST.EXE进程,把它结束掉(见2)。
8、这样就该差不多了。
9、如果安装的是瑞星,防火墙和杀毒软件应该可以打开了,其他杀毒软件应该也可以打开了。
10、如果瑞星计算机监控无法打开,或者打开后是收着的小红伞,并且所有的监控开启都失败,那么到“控制面板”-“管理工具”-“服务”,找到“Rising Process Communication Center”,应该是被禁用了,右键“属性”,启动类型一项改为“自动”,然后启用该服务。
11、至此,计算机恢复正常
删除隐藏文件“autorun.inf”:
打开“我的电脑”,点击:工具-文件夹选项-查看,把“隐藏受保护的操作系统文件”前面的钩去掉和选择“显示所有文件和文件夹”选项,确定。
方案一:打开C盘,把隐藏文件“autorun.inf”复制到任一文件夹(以备第二方案使用),然后删除掉,再在桌面刷新,OK。其他盘亦然。
若隐藏文件“autorun.inf”不能删除(在C盘刷新后又出现此文件),则进入安全模式中删掉。
方案二:若方案一无效,则将刚才复制的隐藏文件另复制回C盘,右击此文件选属性,把只读钩掉,再双击打开文件,把里面的内容改为:
[autorun]
OPEN=
保存,其他盘亦然,注意修改后不要试着双击打开驱动器,然后重启.重启后就可以把各盘的隐藏文件“autorun.inf”删除(若其他盘有隐藏文件“diskcheck.exe”或“command.exe”,也一起删掉),再重启,OK。
祝你好运!
你安装F-SECURE吧,保证没问题。另外,盘符:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\的文件才是病毒根源。
18096614951:鍝綅澶ц櫨鏉ュ府甯繖~~闂寰堜弗閲,鍚庢灉涓嶅牚璁炬兂~
愚亲:绛旓細1銆佸紑鏈虹殑鏃跺欐寜F8閫夋嫨瀹夊叏妯″紡 2銆佸湪寮濮嬶紞锛嶈繍琛屼腑杈撳叆鈥渞egedit鈥濓紙XP绯荤粺锛夋墦寮娉ㄥ唽琛紝鏌ユ壘鎵鏈夌殑鈥渞ose.exe鈥濋敭鍊奸」锛屾壘鍒板悗灏嗘暣涓猻hell瀛愰敭鍒犻櫎銆3銆佸湪鎴戠殑鐢佃剳锛嶅伐鍏凤紞鏂囦欢澶归夐」锛嶆煡鐪嬶紞鏄剧ず鎵鏈夋枃浠跺拰鏂囦欢澶癸紝鎶娾滈殣钘忓彈淇濇姢鐨勭郴缁熸枃浠垛濈殑鍕惧幓鎺夈傛壘鍒 C:\Documents and Settings\Local Sett...
18096614951:璺眰澶ц櫨甯繖~~!寰堜弗閲鐨闂`璇﹁琛ュ厖璇存槑`
愚亲:绛旓細涓ょ鍘熷洜:涓銆佽蒋浠跺師鍥 鍙兘鏄綘瀹夎鐨勬搷浣滅郴缁熸湁闂 浣犱笉瑕佽vista8.0浣犺涓涓媤inxp鍐嶈瘯璇 浜屻佺‖浠跺師鍥 鍙兘鏄綘缁勮鐨勬満鍣ㄦ湁闂锛鍦ㄦ祴璇曚竴涓嬬‖浠
18096614951:鐢佃剳杩涗笉鍘荤郴缁熶簡,鍚庢灉寰堜弗閲鍟,澶ц櫨浠兘鏉ュ府甯繖鍟
愚亲:绛旓細c閲嶈绯荤粺 鑲畾鍙堢敤
18096614951:鍝綅澶ц櫨甯府蹇!!!璋㈣阿浜嗐
愚亲:绛旓細鎴戠殑缁忛獙,浣犺鎹竴涓嬩綘鐨勫唴瀛樿瘯璇曚簡,鏈夊彲鑳芥槸浣犵殑鍐呭瓨闂, 閫氬父杩欑鎯呭喌,瑁呭畬绯荤粺鍚 鍐嶆崲鍥炲唴瀛 灏卞彲浠ヤ簡 鍐嶆湁鍙兘,浣犵殑纭洏 鏈夊潖閬 ,鍙兘鎬у皬
18096614951:鍝綅鏈嬪弸鑳甯府鎴 !鏈杩戝緢鐥涜嫤 绮剧鍜屽績鐞嗕笂浼拌鍑轰簡闂 涓ラ噸褰卞搷浜嗘垜...
愚亲:绛旓細(涓)绾綍琛屼负娌荤枟灏嗘垚鍔熺殑杞Щ娉ㄦ剰鍔涚殑琛屼负璁板綍涓嬫潵涔熸槸寰堥噸瑕佺殑,鍥犱负浣犲彲浠ュ洖婧幓鐪嬩綍绉嶈涓哄浜庝綘杞Щ娉ㄦ剰鍔涙渶鏈夊府鍔┿傚綋鍒楀嚭鏉ョ殑椤圭洰杈惧埌棰勬湡鐨勬晥鏋滄椂,鍙互甯姪浣犲缓绔嬩俊蹇冦傝褰曞彲浠ュ府鍔╀綘鍦ㄥ己杩棁鐘涓ラ噸鏃'鎹㈡。" ,璇呰缁冭嚜宸辫寰楄繃鍘绘浘鍋氫簺浠涔堛傚綋鎴愬姛鐨勭粡楠岃秺澶氭椂,鑷繁灏辫秺鍙楀埌榧撳姳銆傚彧璁板綍 鎴愬姛鐨勭粡楠,鑰屼笉...
18096614951:鎴戠殑QQ缁欎汉鍊间簡鏈ㄩ┈鍟 鎯呭喌寰堜弗閲 鍝綅澶ц櫨甯繖鐪嬬湅鍝 鎬庝箞鍥炲姝e父鍟...
愚亲:绛旓細棣栧厛瀵圭數鑴戣繘琛岀梾姣掓煡鏉锛岀劧鍚庢洿鏀筈Q瀵嗙爜銆傛渶鍚庣偣鏃ュ織锛屽垹闄ゆ鏃ュ織灏卞彲浠ヤ簡銆
18096614951:闆呴榿杞﹁嚜鍔ㄦ尅寮绌鸿皟鍚庢寕鎸℃犻熻繃浣庢晠闅滃師鍥,,,鍝綅澶ц櫨甯府蹇銆傘
愚亲:绛旓細鍙戝姩鏈鸿椹卞姩姹借溅鐨勫悓鏃朵篃瑕佸甫鍔ㄥ彂鐢垫満鍜岀┖璋冨帇缂╂満锛屽紑绌鸿皟灏变細娑堣楀彂鍔ㄦ満杈撳嚭鐨勮兘閲忥紝姹借溅鐨勬补鑰楀氨浼氬鍔狅紝鎬犻熶篃浼氫笅闄嶏紝浣嗘槸濡傛灉涓嬮檷鐨勫お澶氫簡閭d箞灏辨槸姹借溅鍙戝姩鏈虹殑闂浜嗭紝鎴戣嚜宸辩殑鎯虫硶锛屽笇鏈涜鎮ㄩ噰绾筹紝缁欐垜鍔犲垎
18096614951:璇鍝綅澶ц櫨甯府蹇!!!
愚亲:绛旓細鍙兘鏄繖涓猟ll鍥犱负鏌愪簺鍘熷洜锛堟渶澶х殑鍙兘鏄洜涓哄畠鏄釜鐥呮瘨鎴栨祦姘撹蒋浠剁殑dll鏂囦欢锛岃鏉杞垹闄や簡锛変涪澶变簡锛屼絾鍏剁浉鍏崇殑娉ㄥ唽淇℃伅鍗磋繕鍦紝瀵艰嚧绯荤粺寮鏈烘椂杩樺姞杞藉畠锛屽嵈鍙堟壘涓嶅埌瀹冪殑鏂囦欢锛屾墍浠ユ姤閿欍傚鏋滀綘鐐瑰嚮鈥滅‘瀹氣濆悗锛岀郴缁熸病鏈変粈涔堜笉姝e父锛屽苟涓斿彲浠ユ甯歌繍琛岀殑璇濓紝浣犲彲浠ョ敤杩欎釜杞欢娓呯悊鎺夎繖涓紑鏈哄姞杞介」锛屼互鍚...
18096614951:鎴戠殑鐢佃剳鎬绘槸寮鏈哄伐浣1灏忔椂浠ュ悗灏辨鏈,鍝綅澶ц櫨甯府蹇鍟
愚亲:绛旓細3銆佸湪瀹夎瀹屾煇涓蒋浠跺悗鍙杩愯鏌愯蒋浠舵垨浣跨敤鏌愮‖浠舵椂灏变細鍑虹幇鈥滄鏈衡濈幇璞 閫氬父鏄湪瀹夎浜嗘煇涓绯荤粺瑕佹眰闈炲父涓ユ牸鐨勮蒋浠(濡備竴浜3D杞欢)鎴栨煇涓壒娈婅蒋浠(濡備竴浜涗紶鐪熻蒋浠)鍚庢墠浼氬嚭鐜版绫绘晠闅,杩欐椂鎴戜滑灏辫鎬鐤戝叾鍙兘瀛樺湪杞‖浠跺吋瀹规柟闈㈢殑闂浜,褰撶劧,鏈夋椂鎿嶄綔绯荤粺杩囪佷篃浼氬鑷存绫昏蒋纭欢鍏煎闂,鎮ㄥ彲鍏堝崌绾т竴涓嬫搷浣滅郴...
18096614951:鎴戝鐢佃剳鍑闂浜,鍚勪綅澶ц櫨鏉ュ府甯繖
愚亲:绛旓細姣忔寮鏈洪兘寰堟參,杩樺嚭鏉ヤ竴浜涚數椹,鐟炴槦鏉姣掕蒋浠剁瓑涓滆タ 瀵逛簬杩欎釜闂锛涓嶆槸鐥呮瘨锛屾槸浣犺缃簡寮鏈鸿嚜鍔ㄥ惎鍔紝灏辨槸浣犳瘡娆″紑鏈洪兘瑕佸悓鏃跺惎鍔ㄨ繖涓▼搴忥紝涓嶅啀鍚姩鐨勬柟娉曪細鐐瑰紑濮嬭彍鍗曪紝閲岄潰鏈変釜杩愯锛屽崟鍑昏繍琛岋紝鐒跺悗杈撳叆msconfig锛屽湪寮瑰嚭鐨勫璇濇閲岋紝鐐瑰嚮鍚姩閭d竴涓晫闈紝鎶婃墍鏈夌殑閮藉彇娑堬紝浣嗘槸ctfmon涓瀹氳閫変腑锛岃繖涓槸...
