0
2006/12/25 
13:20 
772
很多朋友感染上rose,但专杀工具不多,有的还不一定可以清除,就试试手动杀,方法如下
Rose.exe病毒的解决办法:
1.打开我的电脑,点"工具"-->"文件夹选项"-->"查看",在"高级选项"里,把"隐藏受保护的操作系统文件(推荐)"一项前面的勾号去掉,并将"隐藏文件和文件夹"下属栏中选中"显示所有文件和文件夹". --------此操作为了打开隐藏文件显示,方便以下操作.
2.点击"开始"--->"运行",输入"regedit",进入注册表编辑,点"编辑"--->"查找",在"查找
目标栏" 输入 "ROSE.EXE" 按回车搜索相关键值,查到后,直接删除该键值,然后继续按F3,继续查找剩下相关键值,只要查出即删,一般中毒的系统会产生2个键值,你删除后只管按F3,知道完成注册表搜索,确保你的注册表里没有相关键值为止.--------此操作为了截断ROSE.EXE文件的复制源.
3.进入你电脑的所有驱动器盘(千万注意:千万不要双击打开盘符,采用右键点取"打开"进入!),在每个磁盘的根目录你会看到2个文件:"rose.exe"及"autorun.inf",将你电脑所有盘中的"rose.exe"文件全部删除,切勿遗漏.(每个盘中该病毒仅存在与根目录下,且每个盘切莫双击直接点开!)-------此操作彻底断掉该病毒的可执行文件.
Rose.exe病毒的解决办法:
1.打开我的电脑,点"工具"-->"文件夹选项"-->"查看",在"高级选项"里,把"隐藏受保护的操作系统文件(推荐)"一项前面的勾号去掉,并将"隐藏文件和文件夹"下属栏中选中"显示所有文件和文件夹". --------此操作为了打开隐藏文件显示,方便以下操作.
2.点击"开始"--->"运行",输入"regedit",进入注册表编辑,点"编辑"--->"查找",在"查找
目标栏" 输入 "ROSE.EXE" 按回车搜索相关键值,查到后,直接删除该键值,然后继续按F3,继续查找剩下相关键值,只要查出即删,一般中毒的系统会产生2个键值,你删除后只管按F3,知道完成注册表搜索,确保你的注册表里没有相关键值为止.--------此操作为了截断ROSE.EXE文件的复制源.
3.进入你电脑的所有驱动器盘(千万注意:千万不要双击打开盘符,采用右键点取"打开"进入!),在每个磁盘的根目录你会看到2个文件:"rose.exe"及"autorun.inf",将你电脑所有盘中的"rose.exe"文件全部删除,切勿遗漏.(每个盘中该病毒仅存在与根目录下,且每个盘切莫双击直接点开!)-------此操作彻底断掉该病毒的可执行文件.
http://alimamed.pp.ru/md5/
http://www.phpbbhacks.com/md5.php
http://md5.shalla.de/cgi-bin/search.cgi
http://www.schwett.com/md5/ ***
http://www.clicasso.fr/outils/md5.php
http://www.iwebtool.com/md5/
http://md5.benramsey.com/
http://csthis.com/md5/index.php
http://shm.hard-core.pl/md5/
http://md5.altervista.org/
http://md5.allfact.info/
http://www.phpbbhacks.com/md5.php
http://md5.shalla.de/cgi-bin/search.cgi
http://www.schwett.com/md5/ ***
http://www.clicasso.fr/outils/md5.php
http://www.iwebtool.com/md5/
http://md5.benramsey.com/
http://csthis.com/md5/index.php
http://shm.hard-core.pl/md5/
http://md5.altervista.org/
http://md5.allfact.info/
这是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。
在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
1. 结束病毒的进程%Windows%\smss.exe
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
1. 结束病毒的进程%Windows%\smss.exe
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
最近常常有同学u盘双击打不开,必须用右键才可以打开,那是因为u盘理由个autorun.inf的配置文件控制磁盘的自动运行功能,因为autorun.inf这个配置文件里可能有执行程序的语句,所以双击的时候只是执行了语句指定的程序,没有打开u盘,这个程序可以是任意的,但是在你自己没有设置的时候有了autorun.inf,那一定是病毒在作怪!!
这个病毒就是利用u盘/移动硬盘进行传播,并在受感染计算机系统目录下生成病毒主程序,在注册表中加载自启动键值。被感染的U盘在根目录下有三个文件:
RavMonE.exe、msvcr71.dll、autorun.inf
上述三个文件被设置了“系统”、“隐藏”属性以隐藏自己。病毒发作后,U盘/移动硬盘将无法正常拨出。
手动清除方法:
(1)查看Windows任务管理器,将进程列表中所有名称为“RavMonE.exe”的进程结束掉;
(2)到系统目录下(一般为C:\Windows)查找RavMonE.exe文件,若存在则删除;
(3)插上U盘/移动硬盘,打开“我的电脑”,查看移动磁盘的盘符,如(H:\、G:\等),以“H:\”为例;
(4)在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H:\ravmone.exe
attrib -s -h H:\autorun.inf
attrib -s -h H:\msvcr71.dll
del H:\ravmone.exe
del H:\autorun.inf
del H:\msvcr71.dll
这个病毒就是利用u盘/移动硬盘进行传播,并在受感染计算机系统目录下生成病毒主程序,在注册表中加载自启动键值。被感染的U盘在根目录下有三个文件:
RavMonE.exe、msvcr71.dll、autorun.inf
上述三个文件被设置了“系统”、“隐藏”属性以隐藏自己。病毒发作后,U盘/移动硬盘将无法正常拨出。
手动清除方法:
(1)查看Windows任务管理器,将进程列表中所有名称为“RavMonE.exe”的进程结束掉;
(2)到系统目录下(一般为C:\Windows)查找RavMonE.exe文件,若存在则删除;
(3)插上U盘/移动硬盘,打开“我的电脑”,查看移动磁盘的盘符,如(H:\、G:\等),以“H:\”为例;
(4)在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H:\ravmone.exe
attrib -s -h H:\autorun.inf
attrib -s -h H:\msvcr71.dll
del H:\ravmone.exe
del H:\autorun.inf
del H:\msvcr71.dll
主要步骤:
1.[重要]修改注册表中对应的语言标记注册表项
首先需要关闭卡巴斯基的自我保护,经历上次的更新出错风波,应该都知道了,在卡巴斯基的 设置 服务 部分取消自我保护的勾即可
然后到注册表的HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\environment分支
修改下面的两个键值:
RetrRoot,键值修改为index/6/i0607g.xml
UpdateRoot,键值修改为index/6/i0607g.xml
简单的说明下,上面的RetrRoot是获取更新的目标,这个目录是卡巴斯基官方服务器上面的,不管他,下面的那个是卡巴本身更新使用的语言标记
修改以后,启动更新分发,等待一会儿就可以了
2.[重要]建立更新的FTP或者HTTP
这步不废话,只要把FTP Server或者Http Server的主目录指向到C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Update distribution\就可以了,这个目录可以在卡巴斯基更新分发的选项里面修改的:)为了方便,可以给这个目录匿名权限
1.[重要]修改注册表中对应的语言标记注册表项
首先需要关闭卡巴斯基的自我保护,经历上次的更新出错风波,应该都知道了,在卡巴斯基的 设置 服务 部分取消自我保护的勾即可
然后到注册表的HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\environment分支
修改下面的两个键值:
RetrRoot,键值修改为index/6/i0607g.xml
UpdateRoot,键值修改为index/6/i0607g.xml
简单的说明下,上面的RetrRoot是获取更新的目标,这个目录是卡巴斯基官方服务器上面的,不管他,下面的那个是卡巴本身更新使用的语言标记
修改以后,启动更新分发,等待一会儿就可以了
2.[重要]建立更新的FTP或者HTTP
这步不废话,只要把FTP Server或者Http Server的主目录指向到C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Update distribution\就可以了,这个目录可以在卡巴斯基更新分发的选项里面修改的:)为了方便,可以给这个目录匿名权限
