病毒sos.exe-无法显示隐藏文件,双击打不开盘符,无法打开任务管理器.
病毒sos.exe-无法显示隐藏文件,双击打不开盘符,无法打开任务管理器.
大家不要动不动就格盘,处理病毒也是对个人能力的提升,我一直说一句话,最厉害的病毒也不过是把你的系统全部破坏.何必中什么毒都去重装系统.而且现在越来越多的病毒已经不局限于系统盘了,格盘请三思.
如题:你的电脑是不是出现了这些情况.没关系,2步帮你搞定.
没有这些情况的也可以使用建立个免疫目录.
步骤一:新建一个批处理文件(*.bat),保存以下内容(就是打开个记事本,把这些写进去,然后再改个名字,比如a.bat,记得要在盘符下->工具->文件夹选项->查看->隐藏已知文件类型的扩展名 勾去掉!)
@echo off
title 忆林子
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 该病毒资料
echo 瑞星将该病毒定义为:Worm.Win32.DownLoad.b
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径 大小(字节)
echo c:autorun.inf 159
echo c:sos.exe 26,624
echo c:WINDOWSsystem32Autorun.inf 159
echo c:WINDOWSsystem32Systom.exe 26,624
echo 其它所有分区:autorun.inf 159
echo 其它所有分区:sos.exe 26,624
echo.
echo autorun.inf文件里的内容
echo.
echo [AutoRun]
echo.
echo open=sos.exe
echo shellopen=打开(^&O)
echo shellopenCommand=sos.exe
echo shellopenDefault=1
echo shellexplore=资源管理器(^&X)
echo shellexploreCommand=sos.EXE
echo.
echo 该病毒的后果:
echo 你的杀毒软件会无法打开,另外你的系统时间会被修改成2000年,无法显示隐藏文件
echo 另外,该病毒会把注册表项删除,导致你进入安全模式就蓝屏。
echo 可能还有其它的情况,我这里就不详细说明了.
echo.
ECHO 注意:该病毒会将你的系统时间修改为2000年,而这个杀毒程序的会将你的时间
echo 修改为2007年,你如果是在2007年使用这个的话,系统时间就不用修改了,否则
echo 杀毒后请自己重新设置系统时间。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是该病毒的信息,如果要清除该病毒,请回车键开始杀毒...
rem 结束病毒进程
for %%d in (sos.exe,Systom.exe,reg.exe,iexplore.exe) do (
taskkill /im %%d /f
cls
)
rem 把时间改成2007年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ('date /t') do (
date 2007-%%j-%%k
)
rem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。
for %%d in (Autorun.inf,Systom.exe) do if exist "%systemroot%system32%%d" (
attrib -s -h -r "%systemroot%system32%%d"
del "%systemroot%system32%%d" /q
)
rem 添加进入安全模式的注册表项
reg add "HKLMSYSTEMControlSet001ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet001ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootNetwork" /ve /d DiskDrive /f
cls
rem 解除对任务管理器的禁用
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /v DisableTaskMgr /f
rem 解除禁用Windows更新程序
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate" /v DisableWindowsUpdateAccess /f
rem 添加显示隐藏文件的注册表项
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v CheckedValue /t reg_dword /d 1 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v RegPath /d "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Type /d "radio" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v ValueName /d "Hidden" /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v Hidden /d 1 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v HideFileExt /d 0 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v ShowSuperHidden /d 1 /f
rem 删除病毒添加的启动项
for %%f in (crsss) do (
reg delete "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v %%f /f
)
rem 删除其它盘根目录下的病毒文件
for %%f in (autorun.inf,sos.exe) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:%%f (
attrib -s -h -r %%d:%%f
del %%d:%%f /q
)
)
)
rem 删除病毒在注册表中添加的关联
if exist test.忆林子 del test.忆林子
reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options">test.忆林子
for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do (
reg delete "%%j" /v debugger /f
cls
if exist test.忆林子 del test.忆林子
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注册表项,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.忆林子 del test.忆林子
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsYour Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls
color a0
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完毕,按回车键开始解决分区无法双击打开的问题.
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
cls
@echo off
title 忆林子--解决分区无法打开
color a0
rem 删除引起磁盘无法双击打开的autorun.inf文件
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:autorun.inf (
cacls %%i:autorun.inf /c /e /p everyone:f
attrib -s -h -r %%i:autorun.inf
del %%i:autorun.inf /q
)
rem 进行磁盘检查,恢复双击打开功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 操作结束,按回车键退出该程序...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p temp=
:exit
exit
步骤二:运行该批处理文件即可.
说明:如果C盘不是NTFS格式的,该专杀不能清除C盘下的病毒.需把C盘改为NTFS格式.具体方法如下:
开始-运行-CMD
输入命令
Convert c:/fs:ntfs
有的系统会提示现在不能转换,是否重启后开始转换.输入Y,重启电脑.进入系统后会蓝屏,仔细看英文可看到提示正在转换.转换后进入系统再运行一次批处理文件.
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
