D盘右键第一项是自动播放,双击不能打开.
是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个文件里动手脚,先杀病毒。其他盘正常吗?
确定无毒后打开我的电脑-工具-文件夹选项-文件类型, 找到“驱动器”,
点下方的“高级”-点选“编辑文件类型”里的“新建”-操作里填写“open”(这个可随意填写)-用于执行操作的应用程序里填写explorer.exe-确定
应该能解决问题!
还有个方法:鼠标双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,然后进入d盘,把autorun.inf删除,重启即可。
如果找不到autorun.inf,那么
1、开始-->运行-->cmd(打开命令提示符)
2、dir autorun.inf /a (没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。
4、del autorun.inf
重启即可。
注意:要保证无病毒了才有用,要不还会生成这个文件
还有终极杀此度法,不错的
本人以前曾中过此木马,供参考:
(转摘)关键词: WINLOGON.EXE ExERoute.exe Torjan Program 木马
一老马,应该说半新不旧,现在感染它的人没刚出来的时候那么多,但还是一直有人会遇到。
这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。
产生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一个winfiles文件类型,修改.EXE关联指向它:
[HKEY_CLASSES_ROOT\winfiles]
创建的启动信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木马还修改了很多其它关联信息,使用command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com木马文件进行关联,比如:快捷方式(.lnk)的关联、控制面板文件(cplfile)的关联、IE的关联、HTTP/FTP/TELNET的关联、HTML文件关联、INF和SCR文件的关联,还有驱动器(drive)和文件(file)的关联、未知文件类型的关联等。
这就是它和一般常见木马在处理上不太一样的地方,除了要删除木马文件和恢复启动信息之外,还要从注册表编辑器里恢复那些被木马修改过的关联信息。
处理时一般可以这样操作:
可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。
以上操作完成后再打开注册表编辑器,开始恢复被修改的关联信息:
已经知道关联信息被下面这些文件修改,那么就在注册表编辑器里分别查找它们,并把它们修改回对应的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的“command.pif”改为“rundll32.exe”
查找:explorer.com,把找到的“explorer.com”改为“explorer.exe”
查找:iexplore.pif,把找到的“iexplore.pif”,连同路径一起改为对应的正确路径“%ProgramFiles%\Internet Explorer\iexplore.exe”,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的“iexplore.com”改为“iexplore.exe”
查找:finder.com,把找到的“finder.com”改为“rundll32.exe”
查找:rundll32.com,把找到的“rundll32.com”改为“rundll32.exe”
这样处理后基本上就算是恢复了,不过有些地方还是要注意一下,像注册表值的“类型”,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默认)的“类型”应该是REG_EXPAND_SZ
最后再说一点,这一系列木马的新变种还会修改一些安全软件的程序,清除木马后如果安全软件不能运行还需要修复或升级一下相关的安全软件。
附:D盘的“自动播放”
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是当你在双击D盘驱动器直接打开D盘时,autorun.inf中指向的D:\pagefile.pif木马程序会被运行起来,这是系统“自动播放”的缘故,被病毒利用了而已,如果你的系统禁止了“自动播放”,那么这种木马(病毒)也就不能成功地利用这个方法来启动木马(病毒)程序。
右键点击D盘驱动器图标,从出现的右键菜单里选择“打开”可以进入到D盘根目录,然后直接删除autorun.inf和pagefile.pif。
是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个文件里动手脚,先杀病毒。其他盘正常吗?
确定无毒后打开我的电脑-工具-文件夹选项-文件类型, 找到“驱动器”,
点下方的“高级”-点选“编辑文件类型”里的“新建”-操作里填写“open”(这个可随意填写)-用于执行操作的应用程序里填写explorer.exe-确定
应该能解决问题!
还有个方法:鼠标双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,然后进入d盘,把autorun.inf删除,重启即可。
如果找不到autorun.inf,那么
1、开始-->运行-->cmd(打开命令提示符)
2、dir autorun.inf /a (没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。
4、del autorun.inf
重启即可。
注意:要保证无病毒了才有用,要不还会生成这个文件
还有终极杀此度法,不错的
本人以前曾中过此木马,供参考:
(转摘)关键词: WINLOGON.EXE ExERoute.exe Torjan Program 木马
一老马,应该说半新不旧,现在感染它的人没刚出来的时候那么多,但还是一直有人会遇到。
这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。
产生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一个winfiles文件类型,修改.EXE关联指向它:
[HKEY_CLASSES_ROOT\winfiles]
创建的启动信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木马还修改了很多其它关联信息,使用command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com木马文件进行关联,比如:快捷方式(.lnk)的关联、控制面板文件(cplfile)的关联、IE的关联、HTTP/FTP/TELNET的关联、HTML文件关联、INF和SCR文件的关联,还有驱动器(drive)和文件(file)的关联、未知文件类型的关联等。
这就是它和一般常见木马在处理上不太一样的地方,除了要删除木马文件和恢复启动信息之外,还要从注册表编辑器里恢复那些被木马修改过的关联信息。
处理时一般可以这样操作:
可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。
以上操作完成后再打开注册表编辑器,开始恢复被修改的关联信息:
已经知道关联信息被下面这些文件修改,那么就在注册表编辑器里分别查找它们,并把它们修改回对应的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的“command.pif”改为“rundll32.exe”
查找:explorer.com,把找到的“explorer.com”改为“explorer.exe”
查找:iexplore.pif,把找到的“iexplore.pif”,连同路径一起改为对应的正确路径“%ProgramFiles%\Internet Explorer\iexplore.exe”,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的“iexplore.com”改为“iexplore.exe”
查找:finder.com,把找到的“finder.com”改为“rundll32.exe”
查找:rundll32.com,把找到的“rundll32.com”改为“rundll32.exe”
这样处理后基本上就算是恢复了,不过有些地方还是要注意一下,像注册表值的“类型”,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默认)的“类型”应该是REG_EXPAND_SZ
最后再说一点,这一系列木马的新变种还会修改一些安全软件的程序,清除木马后如果安全软件不能运行还需要修复或升级一下相关的安全软件。
附:D盘的“自动播放”
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是当你在双击D盘驱动器直接打开D盘时,autorun.inf中指向的D:\pagefile.pif木马程序会被运行起来,这是系统“自动播放”的缘故,被病毒利用了而已,如果你的系统禁止了“自动播放”,那么这种木马(病毒)也就不能成功地利用这个方法来启动木马(病毒)程序。
右键点击D盘驱动器图标,从出现的右键菜单里选择“打开”可以进入到D盘根目录,然后直接删除autorun.inf和pagefile.pif。
温馨提示:内容为网友见解,仅供参考
第1个回答 2006-09-12
是Autorun.inf这个文件有问题,将属性去除掉后删除,然后在注册表中查找autorun.inf所指向的文件,查到后将shell这个子项删除,即可打开D盘。
第2个回答 2006-09-12
照下面方法做
首先autorun.inf是隐藏文件,需要在文件夹选项中设置显示所有文件才可以看到
另外,按照下面方法操作后,需要重新启动计算机才可以生效
1、如果各分区下带autorun.inf一类的隐藏文件,删除后最好重新启动电脑。
2、在文件类型中重新设置打开方式(以XP为例)
打开 我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(具体选哪个根据你所遇问题,若属于双击打不开驱动器则选择“驱动器”,打不开文件夹则选择“文件夹”)。点下方的“高级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可随意填写,如果有“open”且指向的是其他陌生的.exe文件则有可能指向的是木马,则选择“编辑”),用于执行操作的应用程序里填写explorer.exe,确定。随后返回到“编辑文件类型”窗口,选中“open”,设为默认值,确定。现在再打开分区或文件夹看下,是不是已恢复正常?
3、注册表法:
a、对于分区不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。
b、对于文件夹不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Directory\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看
以D盘为例
解决方法:是Autorun.inf这个文件有问题,将属性去除掉后删除,然后在注册表中查找autorun.inf所指向的文件,查到后将shell这个子项删除,即可打开D盘。开始--运行输入"regedit"(注册表) ,用"Ctrl+F"键
出现查找对话框输入"autorun.inf" 就可以看见 shell 子项
然后右键--删除
首先autorun.inf是隐藏文件,需要在文件夹选项中设置显示所有文件才可以看到
另外,按照下面方法操作后,需要重新启动计算机才可以生效
1、如果各分区下带autorun.inf一类的隐藏文件,删除后最好重新启动电脑。
2、在文件类型中重新设置打开方式(以XP为例)
打开 我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(具体选哪个根据你所遇问题,若属于双击打不开驱动器则选择“驱动器”,打不开文件夹则选择“文件夹”)。点下方的“高级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可随意填写,如果有“open”且指向的是其他陌生的.exe文件则有可能指向的是木马,则选择“编辑”),用于执行操作的应用程序里填写explorer.exe,确定。随后返回到“编辑文件类型”窗口,选中“open”,设为默认值,确定。现在再打开分区或文件夹看下,是不是已恢复正常?
3、注册表法:
a、对于分区不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。
b、对于文件夹不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Directory\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看
以D盘为例
解决方法:是Autorun.inf这个文件有问题,将属性去除掉后删除,然后在注册表中查找autorun.inf所指向的文件,查到后将shell这个子项删除,即可打开D盘。开始--运行输入"regedit"(注册表) ,用"Ctrl+F"键
出现查找对话框输入"autorun.inf" 就可以看见 shell 子项
然后右键--删除
第3个回答 2006-09-12
原因:D盘下存在自动引导文件autorun.inf
解决方法:删除该文件。
操作过程如下:
工具—文件夹选项—查看—隐藏文件和文件夹—选显示所有文件和文件夹
删除D盘内文件autorun.
然后打开我的电脑刷新一次。
如果还没恢复习正常就更改D盘的名称后刷新一次,恢复正常后再改回来。
解决方法:删除该文件。
操作过程如下:
工具—文件夹选项—查看—隐藏文件和文件夹—选显示所有文件和文件夹
删除D盘内文件autorun.
然后打开我的电脑刷新一次。
如果还没恢复习正常就更改D盘的名称后刷新一次,恢复正常后再改回来。
第4个回答 2006-09-12
查看隐藏的系统文件,删除每个硬盘根目录中的Autorun.inf文件(你是D盘打不开,就删D根目录的这个文件就行了),重启后,就可以双击打开了!
第5个回答 2006-09-12
是橙色8月或魔波病毒,去下个橙色8月或魔波病毒专杀工具就行了
D盘双击打不开.右键上多出了自动播放功能.有哪位仁兄帮兄弟一把啊.
D盘右键第一项是自动播放,双击不能打开.是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个文件里动手脚,先杀病毒。其他盘正常吗?确定无毒后打开我的电脑-工具-文件夹选项-文件类型, 找到...
d e f 盘双击无法打开,只能用右键菜单打开,诸位仁兄帮忙!!!
4.重新启动,再打开我的电脑,右键点c盘,如果没有发现多出的“自动播放”选项,基本就清除完毕了,返回后用左键双击打开,rose.exe与autorun.inf如果已经不存在,就搞定了,再用同样的方法检查其他盘 注意一定要用“右键打开”,千万不要双击,双击了就删不掉了。如果删不掉,就注销在用右键打开 参...
...清除了,但又再死灰复燃。各位仁兄,请赐教!帮帮我吧!感谢了!_百度...
2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用\/删除一些不使用的帐户3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒...
d e f 盘双击无法打开,只能用右键菜单打开,诸位仁兄帮忙!!!
4.重新启动,再打开我的电脑,右键点c盘,如果没有发现多出的“自动播放”选项,基本就清除完毕了,返回后用左键双击打开,rose.exe与autorun.inf如果已经不存在,就搞定了,再用同样的方法检查其他盘 注意一定要用“右键打开”,千万不要双击,双击了就删不掉了。如果删不掉,就注销在用右键打开 ...
相似回答
大家正在搜
