文件夹变exe的病毒,各种修复方式都被病毒封了,求支招啊!!

时间:2023-01-25 05:49:36
前段中了 所有文件夹变exe的病毒。。。

大致知道就是把所有文件夹都隐藏了,然后用个exe文件代替文件夹,点了会在新窗口打开。。。
虽然大致不影响使用,但是有时还是很麻烦。比如找路径都找不到之类的。。。

问题严重的是,“运行”和“任务管理器”都被禁用了。 到windows文件夹里找到源文件打开,会在几秒钟后直接被关闭!根本不可能做网上查到的修改设置和鍵值之类的操作。。。好像还有一个 服务管理器 什么的,也是这样,一打开就直接自动关闭了。

当然文件夹选项也没了,后缀隐藏了,还有隐藏文件的设置没法改动。。。

总之,翻遍网上的所有解救方式都没办法。。。安全模式换administrator打开系统,也不行。。。

求支招啊!别告诉我“重装系统”啊。。。格c盘要是重装方便我也不会这么纠结了。。。

40 个解决方案

#1


进入WinPE杀毒。很多杀毒工具都可以在PE下工作,比如DR.WEB的CURE IT!。国内的晓月 Avira绿色版查杀率比较高,记得先更新在扫描。

如果因为无法清除病毒删除了,缺失了系统文件,用ghost explorer从以前的ghost镜像中提取文件就行了

#2


先下个WINDOWS清理助手绿色版并升级好,COPY到U盘带启动的WINPE下,运行全盘清理. 

#3


  进入安全模式下,开机启动项中的程序无法执行,所以一般的病毒也无法运行。这样就可以进入任务管理器和文件夹选项了。

#4


我也中了同样的病毒,更严重的是我的还感染Word文档,把Word文档隐藏后,自动生成一个同名的exe文件,卡巴斯基会把文件删除,文档就损坏了,郁闷中!!!!

#5


引用 4 楼 stone1987 的回复:
我也中了同样的病毒,更严重的是我的还感染Word文档,把Word文档隐藏后,自动生成一个同名的exe文件,卡巴斯基会把文件删除,文档就损坏了,郁闷中!!!!

你试一下将被感染文件后缀改为.rar,然后双击打开,开是不是有你的文件,只解压你的文件就可以了。
注意,这种方式没有从本质上删除病毒

#6


建议你用这两个工具试一下。Windows清理助手和Wsyscheck
用清理助手清理所有扫描出的可以程序,清理之后用Wsyscheck的文件管理查看每个分区,手动删除冒充文件夹的exe文件。进pe或者安全模式的第一步都是删除冒充文件夹的exe文件~

#7


在其它电脑下载Dr.Web CureIt!到U盘

用PE系统光肋或U盘启动你的电脑,运行U盘中的Dr.Web CureIt!查杀病毒

#8


我也遇到过这种情况,打开带exe的文件夹,把里面的内容拷到别的地方,把文件夹删掉就可以了,如果用杀毒软件,那你文件夹里的内容也就会被删掉

#9


Wsyscheck,狙剑……

#10


avast安装后重启,开机杀毒 必杀之!!!我遇到过

#11


呵呵,我看先 在 安全下 进入注册表,找到劫持镜像 删除 被劫持杀软的键值. 看看杀软能启动不

#12


@echo off
title 冰鸟病毒处理工具装机专用版
color 2a
rem mode con: cols=55 lines=25
rem 显示隐藏文件和文件夹.
echo Dim WSHShell >unhide.vbs
echo Set WSHShell = WScript.CreateObject("WScript.Shell") >>unhide.vbs
echo sTitle1 = "SSH=0" >>unhide.vbs
echo sTitle2 = "SSH=1" >>unhide.vbs
echo if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 1 then >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo else >>unhide.vbs
echo WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD" >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo end if >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo Set WSHShell = Nothing >>unhide.vbs
echo WScript.Quit(0) >>unhide.vbs
call unhide.vbs
taskkill /im explorer.exe /f >nul
start explorer.exe

for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  if exist %%i:\nul (
      set drive=%%i:
cls
echo.
echo     ┐ ┌╯───╮ ┐┌──┐┌────┐
echo └╮─┐│││───╮│┌┼├──┤      
echo    ││╯│────┘ │└──╯└──┬─┘
echo ╭┘ │├╮└────┐ │└┬─┘┌─ │┌┐
echo │  │││  ────│╰┼│├─┘│  │ │
echo └ ─╯┘┘└────╯└╯╯┴─┘└╯└╯ ╯
echo 【★冰★鸟★工★作★室★病★毒★处★理★工★具】
echo.
echo    正在处理 %%i 盘病毒,请不要关闭本窗口!!!
echo.
%%i:
cd\
attrib /d -r -h -s -a *.* >nul 2>nul
echo.>%temp%\list.txt
echo.>fail.txt
del %%i_dellog.txt /f /q >nul 2>nul



rem 延时.
ping/n 4 127.1>nul




rem 处理病毒.
for /f "delims=" %%s in ('dir /ad /b') do if exist %%s.exe (echo %%s.exe>>%temp%\list.txt)
for /f "delims=" %%s in ('dir /ad /b') do if exist %%s.lnk (echo %%s.lnk>>%temp%\list.txt)
for %%b in ("*.vbe" "*.vbs" "*.lnk" "*.pif" "*.reg" "*.inf" "*.*.cmd" "*.*.com" "*.inf.exe" "*.*.shs" "*.htm.exe" ) do if exist %%b (
echo %%b >>%temp%\list.txt)
for /f  "delims=" %%a in (%temp%\list.txt) do (attrib -s -r -h "%%a" )
for /f  "delims=" %%a in (%temp%\list.txt) do (
echo 冰鸟提示:正在清除 [%%a]
del "%%a" /f /q >nul 2>nul
if not exist %%a (echo 冰鸟提示:清除文件-%%a >>%%i_dellog.txt)
if exist %%a (echo 冰鸟提示:无法清除[%%a],请尝试手工删除!!!>>fail.txt)
)
echo.>%temp%\list2.txt
for %%c in ("MS-DOS.com" "autorun.inf" "Important.FILES.EXE" "c.exe" "d.exe" "e.exe" "f.exe" "g.exe" "h.exe" "Recycled.exe" "Recycle.exe" "*.*.com" "*.inf.exe" "pagefile.pif"  "重要文件.exe" "u.bat"
"UPS10.dll" "ups.dll" " .exe" "  .exe" "   .exe" "    .exe" "     .exe" "      .exe") do if exist %%c (echo %%c >>%temp%\list2.txt)
for /f  "delims=" %%a in (%temp%\list2.txt) do (attrib -s -r -h "%%a" )
for /f  "delims=" %%a in (%temp%\list2.txt) do (
echo 冰鸟提示:正在清除 [%%a]
del %%a /f /q >nul 2>nul
if not exist %%a (echo 冰鸟提示:清除文件- >>%%i_dellog.txt)
if exist %%a (echo 冰鸟提示:无法清除[%%a],请尝试手工删除!!!>>fail.txt)
)
    rmdir %%i:\autorun.inf\ /s /q
    md %%i:\autorun.inf
    md %%i:\autorun.inf\冰鸟工作室免疫文件夹(无害)...\
    attrib +r +a +s +h %%i:\autorun.inf >nul
    attrib +r +a +s +h %%i:\$RECYCLE.BIN >nul
    attrib +r +a +s +h %%i:\"System Volume Information" >nul

echo -----------------------------------------------
type fail.txt
echo.
echo -----------------------------------------------
ping/n 8 127.1>nul
del fail.txt
 )
)

rem 隐藏文件和文件夹.
echo Dim WSHShell >hide.vbs
echo Set WSHShell = WScript.CreateObject("WScript.Shell") >>hide.vbs
echo sTitle1 = "SSH=0" >>hide.vbs
echo sTitle2 = "SSH=1" >>hide.vbs
echo if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 2 then >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo else >>hide.vbs
echo WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "2", "REG_DWORD" >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo end if >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo Set WSHShell = Nothing >>hide.vbs
echo WScript.Quit(0) >>hide.vbs
call hide.vbs
del unhide.vbs >nul 2>nul
del hide.vbs >nul 2>nul
echo     ┐ ┌╯───╮ ┐┌──┐┌────┐
echo └╮─┐│││───╮│┌┼├──┤      
echo    ││╯│────┘ │└──╯└──┬─┘
echo ╭┘ │├╮└────┐ │└┬─┘┌─ │┌┐
echo │  │││  ────│╰┼│├─┘│  │ │
echo └ ─╯┘┘└────╯└╯╯┴─┘└╯└╯ ╯
echo  常见病毒清除完毕,感谢您的使用!
echo  ★冰鸟工作室★为您提供XP安装、Windows 7安装、
echo  病毒处理、系统优化、软件推荐与安装等服务。
echo  QQ:328199020

reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Window Title" /t REG_SZ /d 冰鸟工作室 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://www.hao123.com/ /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "s1159" /t REG_SZ /d 极 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "s2359" /t REG_SZ /d 秀 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "sTimeFormat" /t REG_SZ /d "tt h:mm:ss" /f>nul 2>nul




-------------------------------------------------------------------------------
把上面的代码存为Icebird.bat
用process explorer手动结束wscipt.exe和他的子进程.
然后运行Icebird.bat就可以了.
完了之后用杀毒软件再扫一遍.

#13


如果出现"I'am here!"用winPE进去再运行他!
也可以把system32\cmd.exe复制出来先运行cmd.exe再运行icebird.bat.

#14


啊嘿嘿学习了哈,,,,,

#15


整个系统还原可以不????

#16


不知道12楼的好不好用.

#17


进入安全模式下,开机启动项中的程序无法执行,所以一般的病毒也无法运行。这样就可以进入任务管理器和文件夹选项了。

#18


我也经常遇到这样的情况,,害我周期性的格式化U盘。。
杀毒也只是等到出现情况了后才处理,关键是预防这种病毒。。。。有什么方法呢?

#19


兵刃,后缀名改为com试试

#20


注册表禁用挺好处理的。
网上有的是关于被禁用时的处理方法。

要是运行regedit进不了的话,可以在系统文件夹下找相关注册表的
执行文件。把exe文件修改成com 然后进入修改注册表
值楼上的描述过了 hidden 等一些值修改,把隐藏文件都可以看到
或者可以用TotalCommand来可以看到隐藏文件

然后发送给我吧。我给你分析这个样本 virus@ahn.com.cn

#21


祢电脑 残废了。。。

#22


在盘中新建一个记事本
写下
attrib -r -h -s  你的文件名1
attrib -r -h -s  你的文件名2
直至你的所用文件  然后将文件的扩展名txt改为bat即可解除文件的隐藏

#23


11 楼的很有用

#24


引用 22 楼 wjg0513 的回复:
在盘中新建一个记事本
写下
attrib -r -h -s 你的文件名1
attrib -r -h -s 你的文件名2
直至你的所用文件 然后将文件的扩展名txt改为bat即可解除文件的隐藏


我当初就是用你的这个方法 

通过鼠标操作都是不行的 只能用dos命令来搞 这个病毒的一个特点。
自己的文件夹全被隐藏了,x.exe的都是没有用 直接删除·!

#25


如果你不想重装的话,挺难的!首先找张 系统盘,设置 从光盘启动(开机按 DEL 然后在 高级里的first 里选 cd )重启后 有个选项 可以 进入 windowPE,这个系统可以删除你原系统里的任何东西,你把每个盘的文件夹图标有后缀是.exe 的都删了,把隐藏文件都显示出来,系统的也要显示。然后搜索 系统盘的“启动”文件夹,把里面的文件都删除除(desktop.ini)外,路径一般是:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动   一定要把 启动程序删除完!! 如果病毒不是很厉害的话,这样一般就可以。

#26


kill folder
文件夹图标类病毒专杀工具
你下个试试
我都是U盘文件老是染病毒
我就用的这个,感觉挺好的~!

#27


我也遇到过这种情况,学招了~~嘿嘿

#28


用usboot杀下毒,然后接着把隐藏文件夹用 attrib -r -h -s 你的文件夹

#29


个人觉得还是进入PE系统去修复,这样的好处是:不会让这个病毒启动~~到时就像是对待婴儿一样,不需要什么大的努力就可以删除病毒了,另外如果你不想手动修复注册表的话,可以到其它的机子下载一个USBcleaner的辅助工具,可以修复那些(被隐藏的所有文件)注册表中被恶意修改的选项~~

#30


又是威金类的·~~~~~@

#31


现在人太强大了,跟不上时代了

#32


以前都是手工恢复的。。。这下学习了!

#33


1用光盘进PE系统
2把硬盘拆下来,装到硬盘盒里,然后挂到另一台机器上当移动硬盘杀毒

#34


牛啊......

#35


用ghost重装系统,只要几分钟就装好了

#36


现在都是ghost自动快速安装盘,很方便的,你可以买一个以防不测。

装好后可以再装个影子系统,装好后先进入正常模式,把默认启动模式改为完全影子模式,然后右击“我的电脑”——选择“属性”——选择“高级”——在“启动和故障恢复”一栏点击“设置”,把“显示操作系统列表的时间”改为0秒。然后重启,就可以进入完全影子模式,不用担心中毒了,一切改动重启后都会恢复,如果要进入单一影子模式(下载时,此时只保护C盘)或正常模式(安装软件时,注意不要连网),可以在开机时不停按F8,然后选择“返回操作系统选单”,可以选择要进入什么模式的操作系统。如果对软保护方式还不放心,那还可以用纯硬件保护卡,只要插上保护卡,一切改动重启后都会恢复,任何病毒都无法穿透。

#37


曾经中过。。最后重装的。。
用windows清理助手木搞定。。安全模式下也不管用。。

#38


0 8  



1

#39


好像有个软件可以清除掉。。文件都正常还原。。。我记得我上回是用的木马清除大师搞的。。

#40


33楼办法非常好。强烈顶

#1


进入WinPE杀毒。很多杀毒工具都可以在PE下工作,比如DR.WEB的CURE IT!。国内的晓月 Avira绿色版查杀率比较高,记得先更新在扫描。

如果因为无法清除病毒删除了,缺失了系统文件,用ghost explorer从以前的ghost镜像中提取文件就行了

#2


先下个WINDOWS清理助手绿色版并升级好,COPY到U盘带启动的WINPE下,运行全盘清理. 

#3


  进入安全模式下,开机启动项中的程序无法执行,所以一般的病毒也无法运行。这样就可以进入任务管理器和文件夹选项了。

#4


我也中了同样的病毒,更严重的是我的还感染Word文档,把Word文档隐藏后,自动生成一个同名的exe文件,卡巴斯基会把文件删除,文档就损坏了,郁闷中!!!!

#5


引用 4 楼 stone1987 的回复:
我也中了同样的病毒,更严重的是我的还感染Word文档,把Word文档隐藏后,自动生成一个同名的exe文件,卡巴斯基会把文件删除,文档就损坏了,郁闷中!!!!

你试一下将被感染文件后缀改为.rar,然后双击打开,开是不是有你的文件,只解压你的文件就可以了。
注意,这种方式没有从本质上删除病毒

#6


建议你用这两个工具试一下。Windows清理助手和Wsyscheck
用清理助手清理所有扫描出的可以程序,清理之后用Wsyscheck的文件管理查看每个分区,手动删除冒充文件夹的exe文件。进pe或者安全模式的第一步都是删除冒充文件夹的exe文件~

#7


在其它电脑下载Dr.Web CureIt!到U盘

用PE系统光肋或U盘启动你的电脑,运行U盘中的Dr.Web CureIt!查杀病毒

#8


我也遇到过这种情况,打开带exe的文件夹,把里面的内容拷到别的地方,把文件夹删掉就可以了,如果用杀毒软件,那你文件夹里的内容也就会被删掉

#9


Wsyscheck,狙剑……

#10


avast安装后重启,开机杀毒 必杀之!!!我遇到过

#11


呵呵,我看先 在 安全下 进入注册表,找到劫持镜像 删除 被劫持杀软的键值. 看看杀软能启动不

#12


@echo off
title 冰鸟病毒处理工具装机专用版
color 2a
rem mode con: cols=55 lines=25
rem 显示隐藏文件和文件夹.
echo Dim WSHShell >unhide.vbs
echo Set WSHShell = WScript.CreateObject("WScript.Shell") >>unhide.vbs
echo sTitle1 = "SSH=0" >>unhide.vbs
echo sTitle2 = "SSH=1" >>unhide.vbs
echo if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 1 then >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo else >>unhide.vbs
echo WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD" >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo end if >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo Set WSHShell = Nothing >>unhide.vbs
echo WScript.Quit(0) >>unhide.vbs
call unhide.vbs
taskkill /im explorer.exe /f >nul
start explorer.exe

for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  if exist %%i:\nul (
      set drive=%%i:
cls
echo.
echo     ┐ ┌╯───╮ ┐┌──┐┌────┐
echo └╮─┐│││───╮│┌┼├──┤      
echo    ││╯│────┘ │└──╯└──┬─┘
echo ╭┘ │├╮└────┐ │└┬─┘┌─ │┌┐
echo │  │││  ────│╰┼│├─┘│  │ │
echo └ ─╯┘┘└────╯└╯╯┴─┘└╯└╯ ╯
echo 【★冰★鸟★工★作★室★病★毒★处★理★工★具】
echo.
echo    正在处理 %%i 盘病毒,请不要关闭本窗口!!!
echo.
%%i:
cd\
attrib /d -r -h -s -a *.* >nul 2>nul
echo.>%temp%\list.txt
echo.>fail.txt
del %%i_dellog.txt /f /q >nul 2>nul



rem 延时.
ping/n 4 127.1>nul




rem 处理病毒.
for /f "delims=" %%s in ('dir /ad /b') do if exist %%s.exe (echo %%s.exe>>%temp%\list.txt)
for /f "delims=" %%s in ('dir /ad /b') do if exist %%s.lnk (echo %%s.lnk>>%temp%\list.txt)
for %%b in ("*.vbe" "*.vbs" "*.lnk" "*.pif" "*.reg" "*.inf" "*.*.cmd" "*.*.com" "*.inf.exe" "*.*.shs" "*.htm.exe" ) do if exist %%b (
echo %%b >>%temp%\list.txt)
for /f  "delims=" %%a in (%temp%\list.txt) do (attrib -s -r -h "%%a" )
for /f  "delims=" %%a in (%temp%\list.txt) do (
echo 冰鸟提示:正在清除 [%%a]
del "%%a" /f /q >nul 2>nul
if not exist %%a (echo 冰鸟提示:清除文件-%%a >>%%i_dellog.txt)
if exist %%a (echo 冰鸟提示:无法清除[%%a],请尝试手工删除!!!>>fail.txt)
)
echo.>%temp%\list2.txt
for %%c in ("MS-DOS.com" "autorun.inf" "Important.FILES.EXE" "c.exe" "d.exe" "e.exe" "f.exe" "g.exe" "h.exe" "Recycled.exe" "Recycle.exe" "*.*.com" "*.inf.exe" "pagefile.pif"  "重要文件.exe" "u.bat"
"UPS10.dll" "ups.dll" " .exe" "  .exe" "   .exe" "    .exe" "     .exe" "      .exe") do if exist %%c (echo %%c >>%temp%\list2.txt)
for /f  "delims=" %%a in (%temp%\list2.txt) do (attrib -s -r -h "%%a" )
for /f  "delims=" %%a in (%temp%\list2.txt) do (
echo 冰鸟提示:正在清除 [%%a]
del %%a /f /q >nul 2>nul
if not exist %%a (echo 冰鸟提示:清除文件- >>%%i_dellog.txt)
if exist %%a (echo 冰鸟提示:无法清除[%%a],请尝试手工删除!!!>>fail.txt)
)
    rmdir %%i:\autorun.inf\ /s /q
    md %%i:\autorun.inf
    md %%i:\autorun.inf\冰鸟工作室免疫文件夹(无害)...\
    attrib +r +a +s +h %%i:\autorun.inf >nul
    attrib +r +a +s +h %%i:\$RECYCLE.BIN >nul
    attrib +r +a +s +h %%i:\"System Volume Information" >nul

echo -----------------------------------------------
type fail.txt
echo.
echo -----------------------------------------------
ping/n 8 127.1>nul
del fail.txt
 )
)

rem 隐藏文件和文件夹.
echo Dim WSHShell >hide.vbs
echo Set WSHShell = WScript.CreateObject("WScript.Shell") >>hide.vbs
echo sTitle1 = "SSH=0" >>hide.vbs
echo sTitle2 = "SSH=1" >>hide.vbs
echo if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 2 then >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo else >>hide.vbs
echo WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "2", "REG_DWORD" >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo end if >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo Set WSHShell = Nothing >>hide.vbs
echo WScript.Quit(0) >>hide.vbs
call hide.vbs
del unhide.vbs >nul 2>nul
del hide.vbs >nul 2>nul
echo     ┐ ┌╯───╮ ┐┌──┐┌────┐
echo └╮─┐│││───╮│┌┼├──┤      
echo    ││╯│────┘ │└──╯└──┬─┘
echo ╭┘ │├╮└────┐ │└┬─┘┌─ │┌┐
echo │  │││  ────│╰┼│├─┘│  │ │
echo └ ─╯┘┘└────╯└╯╯┴─┘└╯└╯ ╯
echo  常见病毒清除完毕,感谢您的使用!
echo  ★冰鸟工作室★为您提供XP安装、Windows 7安装、
echo  病毒处理、系统优化、软件推荐与安装等服务。
echo  QQ:328199020

reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Window Title" /t REG_SZ /d 冰鸟工作室 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://www.hao123.com/ /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "s1159" /t REG_SZ /d 极 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "s2359" /t REG_SZ /d 秀 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "sTimeFormat" /t REG_SZ /d "tt h:mm:ss" /f>nul 2>nul




-------------------------------------------------------------------------------
把上面的代码存为Icebird.bat
用process explorer手动结束wscipt.exe和他的子进程.
然后运行Icebird.bat就可以了.
完了之后用杀毒软件再扫一遍.

#13


如果出现"I'am here!"用winPE进去再运行他!
也可以把system32\cmd.exe复制出来先运行cmd.exe再运行icebird.bat.

#14


啊嘿嘿学习了哈,,,,,

#15


整个系统还原可以不????

#16


不知道12楼的好不好用.

#17


进入安全模式下,开机启动项中的程序无法执行,所以一般的病毒也无法运行。这样就可以进入任务管理器和文件夹选项了。

#18


我也经常遇到这样的情况,,害我周期性的格式化U盘。。
杀毒也只是等到出现情况了后才处理,关键是预防这种病毒。。。。有什么方法呢?

#19


兵刃,后缀名改为com试试

#20


注册表禁用挺好处理的。
网上有的是关于被禁用时的处理方法。

要是运行regedit进不了的话,可以在系统文件夹下找相关注册表的
执行文件。把exe文件修改成com 然后进入修改注册表
值楼上的描述过了 hidden 等一些值修改,把隐藏文件都可以看到
或者可以用TotalCommand来可以看到隐藏文件

然后发送给我吧。我给你分析这个样本 virus@ahn.com.cn

#21


祢电脑 残废了。。。

#22


在盘中新建一个记事本
写下
attrib -r -h -s  你的文件名1
attrib -r -h -s  你的文件名2
直至你的所用文件  然后将文件的扩展名txt改为bat即可解除文件的隐藏

#23


11 楼的很有用

#24


引用 22 楼 wjg0513 的回复:
在盘中新建一个记事本
写下
attrib -r -h -s 你的文件名1
attrib -r -h -s 你的文件名2
直至你的所用文件 然后将文件的扩展名txt改为bat即可解除文件的隐藏


我当初就是用你的这个方法 

通过鼠标操作都是不行的 只能用dos命令来搞 这个病毒的一个特点。
自己的文件夹全被隐藏了,x.exe的都是没有用 直接删除·!

#25


如果你不想重装的话,挺难的!首先找张 系统盘,设置 从光盘启动(开机按 DEL 然后在 高级里的first 里选 cd )重启后 有个选项 可以 进入 windowPE,这个系统可以删除你原系统里的任何东西,你把每个盘的文件夹图标有后缀是.exe 的都删了,把隐藏文件都显示出来,系统的也要显示。然后搜索 系统盘的“启动”文件夹,把里面的文件都删除除(desktop.ini)外,路径一般是:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动   一定要把 启动程序删除完!! 如果病毒不是很厉害的话,这样一般就可以。

#26


kill folder
文件夹图标类病毒专杀工具
你下个试试
我都是U盘文件老是染病毒
我就用的这个,感觉挺好的~!

#27


我也遇到过这种情况,学招了~~嘿嘿

#28


用usboot杀下毒,然后接着把隐藏文件夹用 attrib -r -h -s 你的文件夹

#29


个人觉得还是进入PE系统去修复,这样的好处是:不会让这个病毒启动~~到时就像是对待婴儿一样,不需要什么大的努力就可以删除病毒了,另外如果你不想手动修复注册表的话,可以到其它的机子下载一个USBcleaner的辅助工具,可以修复那些(被隐藏的所有文件)注册表中被恶意修改的选项~~

#30


又是威金类的·~~~~~@

#31


现在人太强大了,跟不上时代了

#32


以前都是手工恢复的。。。这下学习了!

#33


1用光盘进PE系统
2把硬盘拆下来,装到硬盘盒里,然后挂到另一台机器上当移动硬盘杀毒

#34


牛啊......

#35


用ghost重装系统,只要几分钟就装好了

#36


现在都是ghost自动快速安装盘,很方便的,你可以买一个以防不测。

装好后可以再装个影子系统,装好后先进入正常模式,把默认启动模式改为完全影子模式,然后右击“我的电脑”——选择“属性”——选择“高级”——在“启动和故障恢复”一栏点击“设置”,把“显示操作系统列表的时间”改为0秒。然后重启,就可以进入完全影子模式,不用担心中毒了,一切改动重启后都会恢复,如果要进入单一影子模式(下载时,此时只保护C盘)或正常模式(安装软件时,注意不要连网),可以在开机时不停按F8,然后选择“返回操作系统选单”,可以选择要进入什么模式的操作系统。如果对软保护方式还不放心,那还可以用纯硬件保护卡,只要插上保护卡,一切改动重启后都会恢复,任何病毒都无法穿透。

#37


曾经中过。。最后重装的。。
用windows清理助手木搞定。。安全模式下也不管用。。

#38


0 8  



1

#39


好像有个软件可以清除掉。。文件都正常还原。。。我记得我上回是用的木马清除大师搞的。。

#40


33楼办法非常好。强烈顶