硬盤終結者病毒解決辦法

硬盤終結者病毒，這個病毒是以一個指向MS-DOS程序的快捷方式形式出現的，而不是exe等可執行文件的形式，這樣的話就屏蔽了殺毒軟件的右鍵掃描，如果大意的話是很容易中招的！運行一下發現行為很惡劣，它會刪除你除了系統盤以外所有盤符裡的文件，就寫了這個病毒報告，一來給大家做個警示！二來對中了這個病毒的人，給出個殺毒、修復和恢復文件的方法！

　　運行後生成以下病毒文件，刪除QQ文件，就連QQlive裡的文件都給清空了！！(無論你的QQ在哪個盤裡，包括系統盤，我的QQ就在系統盤）至於系統盤裡還有沒有別的文件被刪除，現在還沒有發現，我的QQ沒有完全的刪除，因為運行病毒的時候我的QQ正在登錄，有些正在使用的文件就沒有刪除，但重啟之後QQ就無法運行了！！

　　C:DocumentsandSettingsAllUsers「開始」菜單程序啟動svchost.com

　　C:WINDOWSsystem32dllcachetaskmgr.exe

　　C:WINDOWSsystem32飛越星球.scr

　　C:WINDOWSsystem32wins.com

　　C:WINDOWSsystem32taskmgr.exe

　　C:DocumentsandSettingsAllUsersApplicationDataMicrosoftwin1ogon.exe

　　C:DocumentsandSettingsAdministratorLocalSettingsTempE_4krnln.fnr

　　D:SVCHOST.EXE

　　C:DocumentsandSettingsAdministrator桌面警告.h

　　D:警告.h

　　會在你的桌面和除系統盤以外的所以盤根目錄下生成這個警告.h文件，這個警告文件裡是這樣寫的：這是在桌面生成的

　　

　　

　　這是在D盤根目錄下生成的（出系統盤外，我就有一個D盤^_^）

　　

　　

　　運行病毒完了就這樣了

　　

　　

　　這個時候任務管理器打不開，運行打不開，關機關不了！

　　

　　

　　下面是這個病毒運行痕跡，用EQ監視的

　　2008-04-2420:54:53運行應用程序操作:允許

　　進程路徑:C:WINDOWSExplorer.EXE

　　文件路徑:D:硬盤終結者svchost.bmp.pif

　　觸發規則:所有程序規則->*

　　2008-04-2420:55:24修改文件操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　文件路徑:C:WINDOWSsystem32taskmgr.exe

　　觸發規則:所有程序規則->系統文件->%WinDir%system32*.exe

　　2008-04-2420:55:54修改文件操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　文件路徑:(隱藏文件>C:WINDOWSsystem32taskmgr.exe

　　觸發規則:所有程序規則->系統文件->%WinDir%system32*.exe

　　2008-04-2420:56:38創建注冊表值操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　注冊表路徑:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　注冊表名稱:svchost.exe

　　觸發規則:所有程序規則->系統自動運行

　　>*SOFTWAREMicrosoftWindowsCurrentVersionRun*

　　2008-04-2420:57:08修改注冊表內容操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　注冊表路徑:HKEY_CLASSES_ROOTtxtfileshellopencommand

　　注冊表名稱:[Default]

　　觸發規則:所有程序規則->文件類型關聯

　　>HKEY_CLASSES_ROOTTxtfileShellOpenCommand

　　2008-04-2420:57:23修改注冊表內容操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　注冊表路徑:

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

　　注冊表名稱:Hidden

　　觸發規則:所有程序規則->系統設置

　　>HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

　　2008-04-2420:57:34刪除注冊表操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　注冊表路徑:

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden

　　注冊表名稱:SHOWALL

　　觸發規則:所有程序規則->系統設置

　　>HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden

　　2008-04-2420:58:09安裝服務或者驅動操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　文件路徑:C:windowssystem32wins.com

　　觸發規則:所有程序規則->*

　　2008-04-2420:58:46修改文件操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　文件路徑:D:AutoRun.inf

　　觸發規則:所有程序規則->系統文件->?:autorun.inf

　　2008-04-2420:59:26運行應用程序操作:允許

　　進程路徑:D:硬盤終結者svchost.bmp.pif

　　文件路徑:C:WINDOWSsystem32logoff.exe

　　觸發規則:所有程序規則->*

　　2008-04-2421:00:55關閉/重啟系統操作:允許

　　進程路徑:C:WINDOWSsystem32logoff.exe

　　觸發規則:所有程序規則->*

　　為了讓這個病毒運行完整，達到它理想中的破壞目的，我一律允許，包括重啟。

　　重啟後就是殺毒和清理、修復依據恢復數據的過程了，重啟後紅傘打開（因為不把紅傘的監控關掉，這個病毒是運行不了的！）馬上報毒，開殺！（為了省事就沒有手動刪除，用紅傘全盤掃描，殺掉所有病毒），殺完病毒還得修復病毒對系統的破壞，首先去別的系統裡復制一個taskmgr.exe到系統盤的windowssystem32文件夾裡，然後用SREngPS.exe修復文件關聯後，這個文件關聯是把txt指向C:DocumentsandSettingsAllUsersApplicationDataMicrosoftwin1ogon.exe，也就是當你打開txt文件就會激活病毒！再刪除這項（見下圖）

　　

　　

　　導入“顯示隱藏文件.reg（在2樓），因為我用wsyscheck修復顯示隱藏文件後，隱藏的文件是顯示了，但是文件夾選項裡卻缺了，顯示所有文件和文件夾的這個選項（見下圖）

　　在1裡面沒有了“顯示所有文件和文件夾的這個選項

　　2這個是我從來都不選的，它給我選上了^_^

　　

　　

　　刪除注冊表項

　　HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN右側的SVCHOST.EXE鍵值

　　刪除注冊表項

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies下的所有子建，然後導入“恢復運行注銷項.reg（在3樓）到這裡就所有的都修復完畢！重啟！（如果在開始菜單還是不能重啟的話，就用任務管理器重啟，重啟後就正常了）還有一點就是如果你的殺軟不能完全的殺掉所有生成的病毒，就按照路徑手動刪除也可以！

　　重啟後就是恢復被病毒刪除的文件了，我是用“易我數據恢復向導V2.1.0恢復的（整整浪費了我一個多小時)但是一定要謹記，不能把恢復的文件恢復到正在恢復文件的盤裡，而且也不能把文件恢復到別的需要恢復文件的盤裡，（也就是你需要恢復文件的盤裡一定不要再往裡寫入文件，否則會破壞你要恢復的文件，以至於恢復了文件也不可用了！！一定切記！！）