如何删除每个盘符下的SIZHU.EXE病毒

sizhu.exe是个新出来的毒，前几天刚中过，现在我已经手动清除

sizhu.exe病毒其实是种AUTORUN的变种，其特点是
1.修改你的注册表IFEO键值，使很多杀毒软件无法启动，同时很多网站也无法浏览
2.修改你注册表的键值使你无法显示隐藏文件
3.中毒后右键点击你的盘符，没有“自动播放”选项，只有“打开”，看起来没有中AUTORUN，但是实际上你进了任意一个盘都会使此毒发作，这个“打开”是被病毒覆盖掉了
4.在注册表中添加自动运行键值，进系统时自动启动SiZhu.exe
5.破坏你的安全模式
6.自动在网上下载其他的病毒木马

下面来说怎么手动杀sizhu.exe病毒
首先你要修复安全模式
下载一个 sreng 软件 如果你的电脑无法下载在别的电脑上下一个拷过来
修改文件名 比如修改为sreng111，因为这个软件也被SiZhu病毒禁止运行了
修改后，打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
修复好后立刻重启按F8进安全模式

安全模式起来后切记不要进任何一个盘，否则病毒立刻发作
进安全模式后，点开始菜单->运行 输入cmd
打开命令行模式，默认应该在C:
输入命令 "cd\" 使你的路径进入到 C:\
输入命令 "dir/a" 应该可以看到 SiZhu.exe 和 autorun.inf 两个和病毒有关的文件
这两文件被加了系统文件的属性所以你无法直接用DEL指令删除
输入命令 "attrib SiZhu.exe" 可以看到文件的属性 SH
输入命令 "attrib -s -h SiZhu.exe" 去掉它的属性
输入命令 "del SiZhu.exe" 完成删除
输入命令 "attrib -s -h autorun.inf"
输入命令 "del autorun.inf" C: 的清除完成
输入命令 "D:" 进入D: 完成和C:下同样的操作删除这两个文件
之后依次进入 E: F: 删除你所有盘符下的这两个文件
到此病毒清除完成
此时你如果想在WINDOWS下进入你的电脑的各个盘符，你会发现无法打开
先不管它，等全部处理完，重启后就OK了

然后修复你的注册表
点开始菜单->运行 输入regedit
打开注册表编辑器
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
这里面有你被禁止运行的杀毒软件，有你认识的杀毒软件的名字的键值就删掉，不认识的别乱删
理论上说键值为 "ntsd -d" 的都是被SiZhu病毒加进去的
之后杀毒软件就可以启动了

显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
将"CheckedValue"键值改为1

取消其开机自动运行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
将其中的SiZhu.exe删掉

之后要运行你的杀毒软件 进行全盘扫描 因为可能你的系统已经被下载了N多的木马 病毒
杀完毒后重启就OK了

其实如果以后再中类似的毒。基本上操作都一样
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
这是一个木马下载器。它有“黑吃黑”的能力，会除掉与其有竞争的另一个下载器，然后再执行自己的下载任务。它还会修改IE浏览器的默认首页为病毒作者指定的网址。

在磁盘中删除了以下文件:
C:\WINDOWS\SYSTEM32\SiZhu.exe

在注册表中创建了以下信息:
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"

在注册表中设置了以下信息:
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" "CheckedValue" ""

在注册表中修改了以下信息:
"HKCU\Software\Microsoft\Internet Explorer\Main" "Start Page" "http://www.592games.cn/"

会从以下注册表中读取信息:
"HKCU\SoftWare\Microsoft\Internet Explorer\Main"

病毒会连接作者指定的网址:
病毒会从 http://dd2.t***kl.info/
域名:"dd2.t***kl.info" 端口:80 (TCP)
dd2.t***kl.info/net.exe

在系统中创建了以下进程:
病毒尝试枚举系统进程，可能会对一些安全进程进行关闭操作
病毒尝试使用[SeDebugPrivilege]权限枚举进程

开机按F8进入安全模式 把那个文件删除就可以了

说个简单耐用的!把原先的杀毒软件删了,改装个大蜘蛛.有三个月的免费试用!我今天就险些中镖,不过被大蜘蛛查杀了!真的!!! ftp://ftp.drweb.com/pub/drweb/windows/drweb-444-win-as-cn.exe

查出所有病毒文件的路径，然后结束病毒进程，再批量删所有文件！什么，你不会批量删除？联系coolcn@qq.com