[求助]：请高手看看用什么办法解决

lou_song

我的一个朋友他的电脑中了招,用杀毒软件杀毒,没有病毒了,但在各盘上产生了一个目录:名为WINFILE,把他删除,运行后又产生,每个盘符下都有,怎么也删除不了,只要一开机就产生.防火墙上有记录,
       不知是否在注册表上怎么写的,启动组上怎么写的,用什么方法可以彻底消除.请教网上老师教我一招,在此谢谢大家.

绝缘子

我也遇到过这种问题，把杀毒软件升级到最新版本，查到了。确实是病毒。现在没事了。
现在就升级杀毒软件吧。

alim

最初由 lou_song 发布
[B]我的一个朋友他的电脑中了招,用杀毒软件杀毒,没有病毒了,但在各盘上产生了一个目录:名为WINFILE,把他删除,运行后又产生,每个盘符下都有,怎么也删除不了,只要一开机就产生.防火墙上有记录,
       不知是否在注册表?... [/B]

很明显，“没有病毒了“这个结论是错的。查不到了不等于没有了。

小不点儿

DOS下杀杀

lou_song

楼上的老师所说及是,但我的不是你们所说的那样,即已经无毒,但是一运行就生成一个WINFILE目录,删除后又产生,不知怎么一回事,求好心的高手,告诉我吧!

llmin

你重做系统更快些。

第四类感情

最初由 lou_song 发布
[B]楼上的老师所说及是,但我的不是你们所说的那样,即已经无毒,但是一运行就生成一个WINFILE目录,删除后又产生,不知怎么一回事,求好心的高手,告诉我吧! [/B]

alim已经说了，查不着<>没有并毒。
你看看这篇文章，或许对你有所帮助！


[winfile.exe]
[病毒名]：I-Worm.Wukill
[破坏方法]：这个病毒采用文件夹图标，具有很大迷惑性。该病毒运行后，会将自己大量复制到其他目录中。

一、 病毒首次运行时将显示"This File Has Been Damage!"；

二、 将自己复制到windows目录下并改名为Mstray.exe；

三、 修改注册表：      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
    以达到其自启动的目的；

四、 枚举磁盘目录，在每个根目录下释放下列文件：
    winfile.exe  病毒主体程序
    comment.htt  利用IE漏洞调用同一个目录下的"winfile.exe"，属性为隐藏。
    desktop.ini 系统为隐藏。采用web方式浏览文件夹时，系统会调用该文件，该文件调
用comment.htt ，从而激活病毒。

五、 病毒修改注册表，隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。
这样，用户看不到comment.htt和Desktop.ini， winfile.exe被隐藏后缀明，又是文件
夹图标，用户极容易认为是文件夹而点击。
    同时病毒在当前路径下生成的自身拷贝，名称采用上级目录，或者是当前窗口的标题，
增加隐蔽性。

六、病毒调用Outlook发送携带病毒的信件。

手工清除:(在没有杀毒软件的情况下)
首先:找到Mstray.exe(注意这个是系统
    和隐藏的文件,所以大家应该知道怎
     么才能找到它了,在系统文件夹下),
    删除掉.
     并修改注册表,去掉对应的启动项.
接着:利用的Windows的搜索功能,搜索所
    有的:   
    Winfile.exe,comment.htt,
     desktop.ini(注意:查看->去掉系
    统保护,去掉隐藏)
     删除!注意还得清楚不要删错了哦!
    有些desktop.ini是windows原有
     的文件)
最后:查找硬盘内所以的[*.exe]文件,
   (注意:如上),你会发现好多的文件夹
   图标形式的.exe 文件,删除掉所有
   这些文件.一切OK!


最后，如果你的病毒和这篇文章一样，那劝你在清除的时候到安全模式下去。

ccstudio

杀完病毒马上更新系统安全补丁
不然在杀也每用.

lqh9996

我以前也中过这样的病毒，我是从做的系统，然后再查杀病毒。

lou_song

谢谢黄金长老,已经做了,的确是跟您说得那样,谢谢,又学了一招.一中招就重装系统是一个又省时又简单的办法,有备份的更快,但病毒是防不胜防的,如何来与他斗是电脑使用者的必备课.谢谢,也谢谢晓东网给我们提供如此方便的学习天地.

kanyikan

重装系统是不是太麻烦了，小题大做吧。这种病毒是很常见的。

lou_song

再请教黄金长老,修改注册表,去掉对应的启动项,在RUN中那一行,他是怎么写的,我的英语水平太差,看不懂,谢谢您,再次求助.

第四类感情

最初由 lou_song 发布
[B]再请教黄金长老,修改注册表,去掉对应的启动项,在RUN中那一行,他是怎么写的,我的英语水平太差,看不懂,谢谢您,再次求助. [/B]

嗯，你可以把你的RUN键值下的数据给我抓张图看看。
必竟，呵呵，我机子上没有中毒，也不知道这病毒可以在哪里找出来——想自己试试也没办法呵。
或者你可以找到RUN键以后，看看下面有没有哪一项键的数据里面包含“Mstray.exe”文件的路径，是的话就可以删除它。
还有，你最好也看一下“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”下面的启动项，一般来说（XP系统），下面只有一个加载输入法的键值，不会出现其它的（排除自己添加的）。
多说一句：
也许你已经清除了病毒。不过在清除病毒之前，一般来说要想删除它的文件，还得先结束所对应的进程呵（非安全模式）。