病毒处理 X:\System Volume Information restore

病毒处理-> C:\System Volume Information restore | D:\System Volume Information restore

病毒处理-> C:\System Volume Information restore | D:\System Volume Information restore

如果你的盘是FAT32并且没有启用系统还原的话，那就直接进安全模式把 System Volume Information 文件夹删除掉。今天卡巴老是报毒，由于没有正版序列号，所以只能查毒不能杀毒，我的是KAV 6.0  300 ，这个版本不行，立即装最新的 English 版本KAV ，然后找了个正版的序列号，把病毒库升级到 今天 4月4日后全面杀毒，一下子杀出来好几百病毒

所以推荐最直接的办法，去卡巴斯基中国网站 http://www.kaspersky.com.cn/ 下个最新的 卡巴就能杀了

序列号自己上网找啊，我不能提供，犯法的，哈哈

卡巴斯基®互联网安全套装6.0个人版下载

官方指定下载站点：

http://www.kaspersky.com.cn/KL-Downloads/KL-Product6.0.htm

以下是网络上的手动查杀办法，有点复杂，仅供参考

（由此可见由一款可以让人安心、放心的杀毒软件是多么重要啊，网管之家推荐: KAV 6.0.2.523）

==============================================

现在的病毒真贼啊。今天突然发现的

病毒处理-> C:\System Volume Information restore | D:\System Volume Information restore

===============================================

如果右键单击有auto的话,那就很好办了.你首先在文件夹选项里试一下看能否将被保护的系统文件和显示所有文件两个复选框勾掉.如果可以就将显示出来的Autorun文件有及时本打开不要双击,看它的第三行写的是不是一个*.exe比如sms.exe如果是将其改名后删除,然后在将哪个*.exe的文件删除.然后重启就可以了.
如果文件夹选项不可用的话,就在无法打开的盘的根目录下建立一个压缩文件,然后打开点向上它们就出现了,然后同上了.删除它,一切搞定.
补充:
中毒了

双击驱动器无法打开的解决办法

相信很多人中毒之后用杀毒软件杀毒之后发现驱动器无法双击打开，提示“Windows无法找到×××.exe”，但用右键可以打开。而且经常是重装以后只有C盘可以正常双击打开，而其他盘问题依旧。为了解决这个头痛的问题，本人查阅了大量的资料并结合自己的实践经验作个小结，希望能帮助各位彻底解决这个问题。这里以XP系统为例说明：
方法1、
首先做好准备工作：
1.依次打开“我的电脑-工具-文件夹选项-查看"，选中"显示所有文件及文件夹”并去掉“隐藏受保护的操作系统文件（推荐）”前的勾。
2.用“右键-打开”进入各驱动器，删除根目录下的Autorun.inf！！！如果此时问题尚未解决，依次尝试如下办法：
方法2、
依次打开“工具－文件夹选项－文件类型”在“已注册文件类型”中找到“驱动器”，再点击下方的“高级”，然后再单击“新建”按钮，在“操作”里填“open”，“用于执行操作的应用程序”里填写“explorer.exe %1”，返回到“编辑文件类型”窗口，选中“open”再单击“设为默认值”即可.
这种办法修复后的缺点就是双击驱动器会打开一个新的“资料管理器”窗口。为了防止这样的事情发生请运行regedit将注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]的键值设为open2改为1或是none就可以了。如果仍然无法解决接着尝试下面的办法。方法3、
1.在“运行”中输入“regedit”，回车后打开注册表编辑器，定位到：HKEY_CLASSES_ROOT\Drive\shell，将shell下的全部内容删除。
2.在“运行”中输入“regedit”，回车后打开注册表编辑器，定位到：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\，将左边所有（每个都要检查以防遗漏）项目下的shell分支（如果有的话）全部删除，比如在“{ead14650-d693-11da-a6e1-00e04c8c3cf5}”下还有"shell"分支和下级分支，那么连"shell"分支一起删除。 经过上面的处理，应该可以解决99%的问题了。祝大家好运！这有可能是因为你机器中过病毒，杀毒之后的结果。这种病毒在每个驱动器下都有一个卷标AutoRun.inf文件，只要你双击驱动器，就会激活病毒，我们需要手工来删除AutoRun.inf这个文件，在“命令提示符”下输入“attrib
autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性，这样输入“del
autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项，找到后将整个shell子键删除。
解决的具体方法如下(以D盘为例)：
开始---运行---cmd（打开命令提示符）
D: dir/a （没有参数A是看不到的，A是显示所有的意思）
此时你会发现一个autorun.inf文件，
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法删除 autorun.inf ，
del autorun.inf
到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位DESKTOP.exe，
这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息：
开始
运行
regedit
编辑
查找
DESKTOP.exe
找到的第一个就是D盘的自动运行，删除整个shell子键
完毕.
重复以上操作数次，解决其他驱动器的问题，注册表中的信息是在一起的，在删除D盘
Shell\Open\Autorun的时候顺便都删除了吧。
rose病毒：
症状：双击盘符无法打开，只能通过右键打开；几天之后删除系统NTDETECT.COM文件，系统无法启动。
传播途径：U盘、MP3、移动硬盘
检查方法：将文件夹选项--查看中的"隐藏受保护的操作系统文件（推荐）"前的勾去掉，并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符，如果发现有“rose.exe”和“AUTORUN.INF”文件，则已中毒。
解决方法：
手动：
结束rose.exe进程，然后删掉以下文件：各个盘符下的autorun.inf和rose.exe文件（包括自己的U盘等），c:\windows\system32\run.reg，c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间)，d:\systemfile.com文件；最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉，然后重启即可。
自动：
清除工具下载地址:rose病毒的杀毒方法:
版本一:
Rose.exe病毒主要表现在：
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。
由于某些原因，各种杀毒软件均没有提供相应的病毒库，导致无法通过杀毒软件查杀该病毒。现网络中心提供手动杀毒方式，具体如下：
1、调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件，如果存在就直接删掉。

方法二:
1、开机的时候按F8选择安全模式
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容，把能删除都删掉。另外system Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。

System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。

关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”，然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”，然后单击“确定”。


4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件，如果存在就直接删掉
转自版主虫子的帖子
方法三:
若有以下文件删除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com

注册表项
rose.exe
Shellexecute=rose.exe

想请问大家是否被改注册表后就被强制关机？因为有此代码。。。。。。


心得:
rose病毒除了上面说的
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。
之外,还可以自行复制执行文件并修改文件名,并在可能的每个注册信息里保存自己的注册信息,而且有可能引起浏览器错误
解决方法:
手工操作
1、调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操 作，(以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件，如果存在就直接删掉。
然后 参考版主 zcp08765的帖子删除
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
这样手工删除之后,使用江民扫描所有盘符 会发现
C:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
D:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
E:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
中删掉所有的rose.exe和autorun.inf文件和修改过文件名的rose.exe和autorun.inf文件
修改后的文件名可能为A0053***.exe A0053***.inf 病毒文件可能不止一个 sxs.exe病毒手动删除方法 （病毒会导致分区盘双击不能打开）

病毒会导致分区盘双击不能打开，瑞星自动关闭无法打开。
重装系统后，双击分区盘又中了，郁闷，瑞星自动关闭无法打开，决定手动将其删除
现象：系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开
找了网上许多方法，无法有效删除，并且没有专杀工具
手动删除“sxs.exe病毒”方法：
在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。也可以使用搜索整个硬盘,但是一定记得"在高级选项"中把"搜索隐藏的文件和文件夹"打勾哟.


四、删除病毒的自动运行项

打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

如果瑞星计算机监控无法打开，或者打开后是收着的小红伞，并且所有的监控开启都失败，那么到“控制面板”－“管理工具”－“服务”，找到“Rising Process Communication Center”，应该是被禁用了，右键“属性”，启动类型一项改为“自动”，然后启用该服务。

据有些网友说.此autorun.inf文件不同.可能是变种的.至少autorun.inf这一段是相同的.有的是:autorun.inf.****.这个****可能不同.请在下面加上即可
2006-08-25 16:25加入
删除各盘病毒文件的BAT
以下代码另存为bat
cd
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

===============================================

病毒处理-> C:\System Volume Information restore | D:\System Volume Information restore