幽灵病毒

幽灵病毒
幽灵病毒，杀起来也还是相当容易，不过，杀完后双击盘符发现打不开，但是通过右键点打开却可以打开，对于此类病毒杀毒后一般都是按如下办法搞定：
1、通过命令行进入各硬盘分区的根目录，dir/a后会发现有一autorun.inf的文件。直接删除不掉，需attrib -r -s -h后去掉其隐藏、系统属性，然后删除。
2、双击打不开盘符时一般会有一提示，会说由于找不到某某文件（比如abc.exe)找不到，所以无法打开。此时需到注册表中搜索abc.exe（一般是在SHELL/COMMAND），然后删除整个SHELL子键就可以了。
3、用以上办法处理每一个盘符。
4、最后重启，再次查杀病毒，测试有无问题。病毒在每个驱动器下都有一个卷标AutoRun.inf文件，只要你双击驱动器，就会激活病毒，我们需要手工来删除AutoRun.inf这个文件，在“命令提示符”下输入“attrib
autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性，这样输入“del autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项，找到后将整个shell子键删除。
解决的具体方法如下(以D盘为例)：
开始---运行---cmd（打开命令提示符）
D: dir/a （没有参数A是看不到的，A是显示所有的意思）
此时你会发现一个autorun.inf文件，attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法删除 autorun.inf ， del autorun.inf 到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位DESKTOP.exe，这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息：
开始
运行
regedit
编辑
查找
DESKTOP.exe
找到的第一个就是D盘的自动运行，删除整个shell子键
完毕.
重复以上操作数次，解决其他驱动器的问题，注册表中的信息是在一起的，在删除D盘Shell\Open\Autorun的时候顺便都删除了吧。   （四）sys.exe病毒   sys.exe的病毒通过移动硬盘和U盘传播造成
sys.exe病毒特征：
Word文档杀手（Worm/DocKiller）或Troj_backdoor.sys 。2004年6月17日，反病毒中心截获“Word文档杀手”蠕虫病毒（Worm/DocKiller）。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档（*.doc）文件，并用试图用自身覆盖找到的Word文档，达到传播的目的，同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录，记录结果也会随病毒传播一起被复制。
解决方法：
1.先用鼠标右键打开移动硬盘（注意：一定要用右键点开，以保证系统进程中没有sys.exe的运行），然后在文件夹选项中把所有方框里的勾都撤消，再显示所有文件和文件夹，此时会发现，在根目录下隐藏的sys.exe和一个autorun.inf文件，删除这两个文件。同样的方法，在你的d盘，e盘等所以硬盘中重复一遍。
2.开始-运行-regedit打开注册表，编辑-查找中输入“sys.exe”进行查找，删除查找结果的子键，删除一个后点击“查找下一个”继续删除，直到找不出与sys.exe有关的键值为止，尤其是要把有关的整个shell子键删除。（建议在修改注册表前先进行备份，以免出错）你会在注册表每个盘下面的“AUTORUN”子键发现“自动播放（&p)"这子键,毫不犹豫 删~!
如果你不知道就在注册表中查找“自动播放”，找到结果后注意相关键值信息，注意查看数据项，如果发现还有关于“sys.exe”的键值就删除。
3.重新启动，再打开我的电脑，右键点移动硬盘，如果没有发现多出的“自动播放”选项，基本就清除完毕了，返回后用左键双击打开，sys.exe与autorun.inf如果已经不存在，就搞定了，再用同样的方法检查其他盘。