进入WinPE杀毒。很多杀毒工具都可以在PE下工作，比如DR.WEB的CURE IT!。国内的晓月 Avira绿色版查杀率比较高，记得先更新在扫描。

如果因为无法清除病毒删除了，缺失了系统文件，用ghost explorer从以前的ghost镜像中提取文件就行了

先下个WINDOWS清理助手绿色版并升级好,COPY到U盘带启动的WINPE下,运行全盘清理. 

  进入安全模式下，开机启动项中的程序无法执行，所以一般的病毒也无法运行。这样就可以进入任务管理器和文件夹选项了。

我也中了同样的病毒，更严重的是我的还感染Word文档，把Word文档隐藏后，自动生成一个同名的exe文件，卡巴斯基会把文件删除，文档就损坏了，郁闷中！！！！

引用 4 楼 stone1987 的回复:

我也中了同样的病毒，更严重的是我的还感染Word文档，把Word文档隐藏后，自动生成一个同名的exe文件，卡巴斯基会把文件删除，文档就损坏了，郁闷中！！！！

你试一下将被感染文件后缀改为.rar，然后双击打开，开是不是有你的文件，只解压你的文件就可以了。
注意，这种方式没有从本质上删除病毒

建议你用这两个工具试一下。Windows清理助手和Wsyscheck
用清理助手清理所有扫描出的可以程序，清理之后用Wsyscheck的文件管理查看每个分区，手动删除冒充文件夹的exe文件。进pe或者安全模式的第一步都是删除冒充文件夹的exe文件~

在其它电脑下载Dr.Web CureIt!到U盘

用PE系统光肋或U盘启动你的电脑，运行U盘中的Dr.Web CureIt!查杀病毒

我也遇到过这种情况，打开带exe的文件夹，把里面的内容拷到别的地方，把文件夹删掉就可以了，如果用杀毒软件，那你文件夹里的内容也就会被删掉

Wsyscheck，狙剑……

avast安装后重启，开机杀毒 必杀之！！！我遇到过

呵呵,我看先 在 安全下 进入注册表,找到劫持镜像 删除 被劫持杀软的键值. 看看杀软能启动不

@echo off
title 冰鸟病毒处理工具装机专用版
color 2a
rem mode con: cols=55 lines=25
rem 显示隐藏文件和文件夹.
echo Dim WSHShell >unhide.vbs
echo Set WSHShell = WScript.CreateObject("WScript.Shell") >>unhide.vbs
echo sTitle1 = "SSH=0" >>unhide.vbs
echo sTitle2 = "SSH=1" >>unhide.vbs
echo if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 1 then >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo else >>unhide.vbs
echo WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD" >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo end if >>unhide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>unhide.vbs
echo Set WSHShell = Nothing >>unhide.vbs
echo WScript.Quit(0) >>unhide.vbs
call unhide.vbs
taskkill /im explorer.exe /f >nul
start explorer.exe

for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  if exist %%i:\nul (
      set drive=%%i:
cls
echo.
echo 　　　　┐　┌╯───╮　┐┌──┐┌────┐
echo └╮─┐│││───╮│┌┼├──┤　　　　　　
echo 　　　││╯│────┘　│└──╯└──┬─┘
echo ╭┘　│├╮└────┐　│└┬─┘┌─　│┌┐
echo │　　│││  ────│╰┼│├─┘│　　│　│
echo └　─╯┘┘└────╯└╯╯┴─┘└╯└╯　╯
echo 【★冰★鸟★工★作★室★病★毒★处★理★工★具】
echo.
echo    正在处理 %%i 盘病毒,请不要关闭本窗口!!!
echo.
%%i:
cd\
attrib /d -r -h -s -a *.* >nul 2>nul
echo.>%temp%\list.txt
echo.>fail.txt
del %%i_dellog.txt /f /q >nul 2>nul



rem 延时.
ping/n 4 127.1>nul




rem 处理病毒.
for /f "delims=" %%s in ('dir /ad /b') do if exist %%s.exe (echo %%s.exe>>%temp%\list.txt)
for /f "delims=" %%s in ('dir /ad /b') do if exist %%s.lnk (echo %%s.lnk>>%temp%\list.txt)
for %%b in ("*.vbe" "*.vbs" "*.lnk" "*.pif" "*.reg" "*.inf" "*.*.cmd" "*.*.com" "*.inf.exe" "*.*.shs" "*.htm.exe" ) do if exist %%b (
echo %%b >>%temp%\list.txt)
for /f  "delims=" %%a in (%temp%\list.txt) do (attrib -s -r -h "%%a" )
for /f  "delims=" %%a in (%temp%\list.txt) do (
echo 冰鸟提示:正在清除 [%%a]
del "%%a" /f /q >nul 2>nul
if not exist %%a (echo 冰鸟提示:清除文件-%%a >>%%i_dellog.txt)
if exist %%a (echo 冰鸟提示:无法清除[%%a],请尝试手工删除!!!>>fail.txt)
)
echo.>%temp%\list2.txt
for %%c in ("MS-DOS.com" "autorun.inf" "Important.FILES.EXE" "c.exe" "d.exe" "e.exe" "f.exe" "g.exe" "h.exe" "Recycled.exe" "Recycle.exe" "*.*.com" "*.inf.exe" "pagefile.pif"  "重要文件.exe" "u.bat"
"UPS10.dll" "ups.dll" " .exe" "  .exe" "   .exe" "    .exe" "     .exe" "      .exe") do if exist %%c (echo %%c >>%temp%\list2.txt)
for /f  "delims=" %%a in (%temp%\list2.txt) do (attrib -s -r -h "%%a" )
for /f  "delims=" %%a in (%temp%\list2.txt) do (
echo 冰鸟提示:正在清除 [%%a]
del %%a /f /q >nul 2>nul
if not exist %%a (echo 冰鸟提示:清除文件- >>%%i_dellog.txt)
if exist %%a (echo 冰鸟提示:无法清除[%%a],请尝试手工删除!!!>>fail.txt)
)
    rmdir %%i:\autorun.inf\ /s /q
    md %%i:\autorun.inf
    md %%i:\autorun.inf\冰鸟工作室免疫文件夹（无害）...\
    attrib +r +a +s +h %%i:\autorun.inf >nul
    attrib +r +a +s +h %%i:\$RECYCLE.BIN >nul
    attrib +r +a +s +h %%i:\"System Volume Information" >nul

echo -----------------------------------------------
type fail.txt
echo.
echo -----------------------------------------------
ping/n 8 127.1>nul
del fail.txt
 )
)

rem 隐藏文件和文件夹.
echo Dim WSHShell >hide.vbs
echo Set WSHShell = WScript.CreateObject("WScript.Shell") >>hide.vbs
echo sTitle1 = "SSH=0" >>hide.vbs
echo sTitle2 = "SSH=1" >>hide.vbs
echo if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 2 then >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo else >>hide.vbs
echo WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "2", "REG_DWORD" >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo end if >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo WshSHell.SendKeys "{F5}+{F10}e" >>hide.vbs
echo Set WSHShell = Nothing >>hide.vbs
echo WScript.Quit(0) >>hide.vbs
call hide.vbs
del unhide.vbs >nul 2>nul
del hide.vbs >nul 2>nul
echo 　　　　┐　┌╯───╮　┐┌──┐┌────┐
echo └╮─┐│││───╮│┌┼├──┤　　　　　　
echo 　　　││╯│────┘　│└──╯└──┬─┘
echo ╭┘　│├╮└────┐　│└┬─┘┌─　│┌┐
echo │　　│││  ────│╰┼│├─┘│　　│　│
echo └　─╯┘┘└────╯└╯╯┴─┘└╯└╯　╯
echo  常见病毒清除完毕,感谢您的使用!
echo  ★冰鸟工作室★为您提供XP安装、Windows 7安装、
echo  病毒处理、系统优化、软件推荐与安装等服务。
echo  QQ：328199020

reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Window Title" /t REG_SZ /d 冰鸟工作室 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://www.hao123.com/ /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "s1159" /t REG_SZ /d 极 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "s2359" /t REG_SZ /d 秀 /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Control Panel\International" /v "sTimeFormat" /t REG_SZ /d "tt h:mm:ss" /f>nul 2>nul




-------------------------------------------------------------------------------
把上面的代码存为Icebird.bat
用process explorer手动结束wscipt.exe和他的子进程.
然后运行Icebird.bat就可以了.
完了之后用杀毒软件再扫一遍.

如果出现"I'am here!"用winPE进去再运行他!
也可以把system32\cmd.exe复制出来先运行cmd.exe再运行icebird.bat.

啊嘿嘿学习了哈，，，，，

整个系统还原可以不？？？？

不知道12楼的好不好用.

进入安全模式下，开机启动项中的程序无法执行，所以一般的病毒也无法运行。这样就可以进入任务管理器和文件夹选项了。

我也经常遇到这样的情况，，害我周期性的格式化U盘。。
杀毒也只是等到出现情况了后才处理，关键是预防这种病毒。。。。有什么方法呢？

兵刃，后缀名改为com试试

注册表禁用挺好处理的。
网上有的是关于被禁用时的处理方法。

要是运行regedit进不了的话，可以在系统文件夹下找相关注册表的
执行文件。把exe文件修改成com 然后进入修改注册表
值楼上的描述过了 hidden 等一些值修改，把隐藏文件都可以看到
或者可以用TotalCommand来可以看到隐藏文件

然后发送给我吧。我给你分析这个样本 virus@ahn.com.cn

祢电脑 残废了。。。

在盘中新建一个记事本
写下
attrib -r -h -s  你的文件名1
attrib -r -h -s  你的文件名2
直至你的所用文件  然后将文件的扩展名txt改为bat即可解除文件的隐藏

11 楼的很有用

引用 22 楼 wjg0513 的回复:

在盘中新建一个记事本
写下
attrib -r -h -s 你的文件名1
attrib -r -h -s 你的文件名2
直至你的所用文件 然后将文件的扩展名txt改为bat即可解除文件的隐藏

我当初就是用你的这个方法 

通过鼠标操作都是不行的 只能用dos命令来搞 这个病毒的一个特点。
自己的文件夹全被隐藏了，x.exe的都是没有用 直接删除·！

如果你不想重装的话，挺难的！首先找张 系统盘，设置 从光盘启动（开机按 DEL 然后在 高级里的first 里选 cd ）重启后 有个选项 可以 进入 windowPE，这个系统可以删除你原系统里的任何东西，你把每个盘的文件夹图标有后缀是.exe 的都删了，把隐藏文件都显示出来，系统的也要显示。然后搜索 系统盘的“启动”文件夹，把里面的文件都删除除（desktop.ini）外，路径一般是：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动   一定要把 启动程序删除完！！ 如果病毒不是很厉害的话，这样一般就可以。

kill folder
文件夹图标类病毒专杀工具
你下个试试
我都是U盘文件老是染病毒
我就用的这个，感觉挺好的~！

我也遇到过这种情况，学招了~~嘿嘿

用usboot杀下毒，然后接着把隐藏文件夹用 attrib -r -h -s 你的文件夹

个人觉得还是进入PE系统去修复，这样的好处是：不会让这个病毒启动～～到时就像是对待婴儿一样，不需要什么大的努力就可以删除病毒了，另外如果你不想手动修复注册表的话，可以到其它的机子下载一个USBcleaner的辅助工具，可以修复那些（被隐藏的所有文件）注册表中被恶意修改的选项～～

又是威金类的·~~~~~@

现在人太强大了，跟不上时代了

以前都是手工恢复的。。。这下学习了！

1用光盘进PE系统
2把硬盘拆下来，装到硬盘盒里，然后挂到另一台机器上当移动硬盘杀毒

牛啊......

用ghost重装系统，只要几分钟就装好了

现在都是ghost自动快速安装盘，很方便的，你可以买一个以防不测。

装好后可以再装个影子系统，装好后先进入正常模式，把默认启动模式改为完全影子模式，然后右击“我的电脑”——选择“属性”——选择“高级”——在“启动和故障恢复”一栏点击“设置”，把“显示操作系统列表的时间”改为0秒。然后重启，就可以进入完全影子模式，不用担心中毒了，一切改动重启后都会恢复，如果要进入单一影子模式（下载时，此时只保护C盘）或正常模式（安装软件时，注意不要连网），可以在开机时不停按F8，然后选择“返回操作系统选单”，可以选择要进入什么模式的操作系统。如果对软保护方式还不放心，那还可以用纯硬件保护卡，只要插上保护卡，一切改动重启后都会恢复，任何病毒都无法穿透。

曾经中过。。最后重装的。。
用windows清理助手木搞定。。安全模式下也不管用。。

在 0 8 年   在 中 兴 工 作 时 遇 见 过



1 个 小 时 搞 定 了

好像有个软件可以清除掉。。文件都正常还原。。。我记得我上回是用的木马清除大师搞的。。

33楼办法非常好。强烈顶