山东省临沭县实验中学:光驱出错问题

病毒吧~?
下个reper专杀试试

Reper viewer.exe 是病毒 我见过
特征好像是你调不出任务管理器。存在于每个硬盘分区根目录下，伪装成系统文件隐藏，不隐藏受保护的操作系统文件的话就能看到它。在系统文件夹中还有它的副本。
卡巴斯基可以删除它，建议使用该杀毒软件。

呵呵呵，同样的问题，你有救了。
我的系统为WindowsXP,在一次弹出光驱后屏幕突然出现标题为“Reper:viewer.exe-没有软盘”，内容为“驱动器中没有软盘。请在驱动器G:中插入软盘。”的警告。

点“取消”若干次“重试”若干次，“继续”若干次，无效。强行结束行不行？按Ctrl+Alt+Del想调出任务管理器，怎么按也出不来，不怕，我还会taskkill命令呢，它也可以结束应用程序，不过得在命令行使用。在运行里输入cmd。我的天，命令行提示符也打不开。那就写个批处理吧，甚至连打开文本文件都出现了错误。难道...我中毒了。虽然电脑并没有联网但也安装了杀毒软件呀！可能是好长时间没有升级吧。现在怎么办？

一定是病毒将任务管理器和命令行提示符禁用了，要重新启动再进入安全模式再杀毒？办法是可以，但太麻烦，再说进入安全模式后，病毒不运行了，也不好找啊。

可是这个该死的病毒怎么知道我要打开cmd呢？突然有一个想法，打开c:\windows\system32\，再使用搜索，输入cmd.exe，（要知道在system32里有几千个文件，不用搜索一时半会可找不到cmd.exe的。找到之后，将之重命名为cmd2.exe再双击就能打开了。先用tasklist命令看看任务列表，除了正常进程之外，果真有可疑程序：viewer.exe(这只是凭个人的感觉)、n0tepad.exe（可不要以为这个是记事本程序而被它蒙骗过关，它的第二位是数字零，除了病毒谁还会这么干）。这下证实了我的猜测了。用taskkill/f/imviewer.exe和taskkill/f/imn0tepad.exe结束程序,再点刚才那个可恶的窗口中的取消按钮，果真和我Beybey了。再按Ctrl+Alt+Del组合键，任务管理器也能调出来了，在运行里输入“cmd”，命令提示符也能打开（WindowsXP的文件保护功能能够检测到cmd.exe不见了，是它用系统备份还原了受保护的文件和程序，现在system32文件夹下应该有一个cmd2.exe和cmd.exe），是它没错了。可它的源程序藏在哪里？
运行msconfig，点“启动”标签，在启动列表发现：
启动项目：viewer,命令：C:\WINDOWS\viewer.exe。

打开注册表,展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项，将右边含有“viewer.exe”在内的值删除。

打开我的电脑，用右键选中一个盘符，可以看见第一项加粗显示项为“自动运行”，怪了，硬盘也可以自动运行的呀？这里面可一定有鬼。选择“打开”，好像里面并没有什么异常，打开菜单：工具/文件夹选项，在“查看”标签“高级设置”里，取消“隐藏受保护的操作系统文件（推荐）”前面的对勾，选中“显示所有文件和文件夹”确定后就看到隐藏文件：reper.exe和autorun.inf,再看看其他驱动器根目录里都有这两个文件。打开autorun.inf可以看到有open=reper.exe的语句，那么reper.exe就是是病毒程序了，因为有了这个Autorun.inf这个配置文件，双击驱动器时会自动运行病毒程序，把它们全部删除。再将C:\WINDOWS\viewer.exe也删除。

那么刚才在任务列表里看到的n0tepad.exe又在哪里？想到刚才打开记事本文件出现错误，那么就查查文件关联吧。

打开cmd，运行ftype|find/i"n0tepad.exe"可以看到几个类似：txtfile=c:\windows\system32\n0tepad.exe%1%1%1%1%1的值。

原来是病毒修改了文件关联，使得每次打开记事本文件就会调用病毒程序。
这个病毒到底是搞什么破坏的暂时还不清楚，但很显然是病毒利用WindowsXP的自动播放功能，通过光盘，移动硬盘等驱动器自动运行或打开时自动运行的程序来调用和传播。为了避免以后感染同样的病毒，还需进行一些设置：
先将文件关联修改回来：

ftypetxtfile=C:\WINDOWS\System32\notepad.exe%1

其他文件类型修改参照上面即可。

运行“gpedit.msc”打开组策略编辑器，在“本地计算机”策略/用户配置中，选中“系统”，在右侧窗口中有“关闭自动播放”状态为“未被配置”，双击打开，将其改为“已启用”，在下面的列表框中选中“所有驱动器”确定后退出组策略编辑器。

展开“开始/所有程序/启动”，并双击打开后，在该文件夹内新建一个文本文件，输入以下内容：

@echooff
echo%date%%time%>>c:\tasklog.txt
for%%fin(viewer.exe,n0tepad.exe,Reper.exe)dotasklist|find/i"%%F"|taskkill/f/im%%f>>c:\tasklog.txt
for%%ain(viewer.exe,system32\n0tepad.exe)doattrib-s-hc:\windows\%%a|delc:\windows\%%a
for%%iin(c,d,e,f)doattrib-s-h%%i:\autorun.inf|attrib-s-h%%i:\reper.exe|del%%i:\autorun.inf/f/q|del%%i:\reper.exe/f/q

括号内的字母为盘符，你有几个盘符就定几个啰。

保存后将文件改名为delviewer.bat，这样，因为放在启动文件夹，所以系统登录时就先运行这个批处理：只要在进程中发现viewer.exe或n0tepad.exe、Reper.exe，就会将其强行结束，同时将每个驱动器根目录下的reper.exe和autorun.inf文件清除（如果有的话）。并将杀毒记录在c:\tasklog.txt中，通过查看这个文件，如果发现有：”成功:已终止进程"*.exe"，其PID为*“的记录，说明查到病毒。

至此，这个病毒可以说是基本被收服了，但为了系统的安全，还是赶紧给杀毒软件安装上了升级包吧。