重新做了系统,但还是不能解决问题!除 C盘,其他盘都有vlskjgs.exe这个文件,删除后,又出现。百度给的杀毒方法不能解决问题!请KAKA高手帮忙!我们的局域网现 在都被这个毒困饶,丢了几个QQ,一些资料也可能外泄,希望高手指点!
这个是 百度的方法!不能解决问题!希望斑竹,大虾帮帮忙!
1、 无法显示隐藏文件了
XP系统,文件夹选项中选中显示隐藏文件,应用按钮和确定按钮都可用,确定后仍不显示隐藏文件,再打开文件夹选项,发现又成了不显示隐藏文件状态,也就是显示隐藏文件定不住。
A:
检查以下注册表键值:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue 值为1
DefaultValue 值为2
删除
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy 下的键值
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
DefaultValue 值为2
CheckedValue 值为2
开始--运行--regedit,找到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advan ced\Folder\Hidden\SHOWALL,双击右边的Checkedvalue,如果是0,改为1就行。
如果没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
的值改成“1”)
2、打开“windows任务管理器”,先将“explorer.exe“的进程终止,后再将病毒文件的进程终止(ouvjwse.exe、dtstorp.exe).
3、在“windows任务管理器”中选“新任务”,在打开的窗口中选择“浏览”,通过弹出的窗口将病毒文件删除,病毒文件藏在”windows下的
除了explorer.exe之外的所有" .exe"的文件全部删除(记住这些文件的名字,后面有用);再将windows\system32目录下的“
dtstorp.exe、
ouvjwse.exe、
mh102.dll、
mh102.exe、
nwizwnsjs.dll、
nwizwnsjs.exe、
cmdbcs.dll、
cmdbcs.exe、
nwizasktao.dll、
nwizasktao.exe、
nwizpjsj.dll、
nwizpjsj.exe、
mppds.dll、
mppds.exe、
nwiztlbb.dll、
nwiztlbb.exe、
upxdnd.dll、
upxdnd.exe“的病毒文件删除,之后再
将"explorer.exe"的文件启动.
4、在打开"我的电脑",在地址栏里输入“D:”(因为此病毒在每个磁盘下建立一个autorun.inf的文件,只要双击盘符打开都会把病毒激活),所以选
择此法打开磁盘),然后将磁盘根目录下的病毒文件清除“vlskjgs.exe、autorun.inf",依次类推,最后在每个磁盘的根目录下建立一个
“autorun.inf" “只读并隐藏”的空文件。
5、打开“注册表编辑器”,查找与“dtstorp.exe“的有关的项目,并删除键值(注意:与dtstorp.exe平级的键值中,会看到你在第三步中删除
的病毒文件的键值,并一并删除).
6,动杀毒软件,起动毒霸系
中毒的电脑想启动木马克星来杀毒的话进入注册表
hkey_local_machine------
software-----
microsoft--------
windows nt----
currentversion------------
image file execution options
下每个键值点选一个都会看到产生一个D字开头的字符串值指向病毒文件。
先把那个字符串值删掉,就可以运行软件。用行木马克星就可以停止进程,
然后金山毒霸系统清理专家里面的文件粉碎器来把病毒文件删掉。最后清
理一下注册表就没事啦。(或在注册表中查询dtstorp.exe,ouvjwse.exe找
对应的就删了)这东东把市面上稍有名杀毒全在搞掉了,把这么项删了,就可
起动!
7.如XPSP2无法进入安全模式,下载SafeBoot.reg注册表恢复
参考资料:http://www.flydg.com/news/newsread.asp?fid=298
