下血本了！悬赏200分！杀rose，紧急求救！！！

我的电脑中rose了，就是用右键才能打开的那种，重装了系统之后，CDFE盘都好了，但是U盘还是杀不了。格式化了4遍还是不行。看网上说勾去工具-文件夹选项的（隐藏受保护的操作系统）再选中（显示所有的文件和文件夹）但是点确定以后发现它又变会默认值了，（不显示所有的文件和文件夹）根本杀不了。妈的，病毒也升级了，我哭，求各位大哥大姐救救我把。。。。。。。拜上，若是说不清，我QQ396038664 再拜
不要人云亦云，我只想杀U盘上的病毒，电脑上我已经杀完了，另外我说了，你那个看网上说勾去工具-文件夹选项的（隐藏受保护的操作系统）再选中（显示所有的文件和文件夹）但是点确定以后发现它又变会默认值了！！！，（不显示所有的文件和文件夹）所以你们说的行不通，同志们

手工清除rose病毒
病毒名称：代理木马变种GZ (Trojan.Agent.gz)
病毒类型：木马病毒
病毒危害级别：★★★
病毒发作现象及危害：
病毒采用Visual Basic语言编写。该病毒会通过U盘、移动硬盘等进行传播，会试图记录用户的键盘输入信息，从而盗取用户的网络游戏、QQ、银行卡账号等隐私信息，并发送给黑客。由于其传播机制，目前在学校机房、网吧等小型局域网络中传播较广。
手工删除：
一、清除内存中的病毒
在任务管理器中找到所有名为“rose.exe”的进程，单击鼠标右键，选择“结束进程”。

二、删除病毒文件
1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。
2、在“我的电脑”中用鼠标右键点击“C：”盘，选择“打开”，注意此处一定不要双击盘符打开磁盘！

3、删除掉C盘根目录下的“autorun.inf”和“rose.exe”文件。如果根目录下存在“system32”文件夹也将其一并删除。如果提示文件不能被删除，请重新打开任务管理器查看是否已经结束掉了所有“rose.exe”进程。

4、如果计算机上还存在其它分区，如：D：、E：等，也要用上面的方法打开磁盘分区，并删除这些分区根目录下的“autorun.inf”、“rose.exe”以及“systemfile.com”文件。
5、进入Windows目录下的system32目录（默认为C:windowssystem32），删除掉下面的“run.reg”和“systemdate.ini”文件。

三、修复注册表
1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。
2、打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun一项，在右边的窗格中找到“dll”一项，将其删除。

四、删除优盘、移动硬盘上的病毒文件
这个病毒通过优盘等进行传播，因此在计算机杀毒后也要对这些移动存储设备进行彻查，防止重复感染。
按住键盘上的“Shift”键，插入优盘。然后用和清除硬盘上病毒同样的操作，清除掉移动存储设备上的病毒。

五、后期检查
重新启动计算机，然后打开任务管理器，查看是否有“rose.exe”进程存在，如果没有，则说明病毒已经清除干净。

参考资料：http://www.du119.com/data/2006/0531/article_53.htm
回答者：小蝴蝶520 - 童生 一级 9-2 18:49

rose病毒的杀毒方法:
版本一:
Rose.exe病毒主要表现在：
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。
由于某些原因，各种杀毒软件均没有提供相应的病毒库，导致无法通过杀毒软件查杀该病毒。现网络中心提供手动杀毒方式，具体如下：
1、调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件，如果存在就直接删掉。

方法二:
1、开机的时候按F8选择安全模式
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容，把能删除都删掉。另外system Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。

System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。

关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”，然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”，然后单击“确定”。

4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件，如果存在就直接删掉
转自版主虫子的帖子
方法三:
若有以下文件删除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com

注册表项
rose.exe
Shellexecute=rose.exe

想请问大家是否被改注册表后就被强制关机？因为有此代码。。。。。。

心得:
rose病毒除了上面说的
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。
之外,还可以自行复制执行文件并修改文件名,并在可能的每个注册信息里保存自己的注册信息,而且有可能引起浏览器错误
解决方法:
手工操作
1、调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操 作，(以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件，如果存在就直接删掉。
然后 参考版主 zcp08765的帖子删除
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
这样手工删除之后,使用江民扫描所有盘符 会发现
C:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
D:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
E:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
中删掉所有的rose.exe和autorun.inf文件和修改过文件名的rose.exe和autorun.inf文件
修改后的文件名可能为A0053***.exe A0053***.inf 病毒文件可能不止一个

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/a1a11143.html