[分享]win7下快速删除病毒文件夹的操作方法

　现如今，网络越来越开放了，什么无线网、wifi、无线wifi、免费wifi数不胜数等等。大家上网 特别的方便了，但是随之而来的中病毒的几率也越来越高，特别是各种的木马病毒防不胜防。这些病毒文件一般都在“System Volume Information”这个文件夹里，这是一个隐藏的系统文件夹。我们发现了它 ，却怎么也删除不了它，这对于有垃圾和病毒清理强迫症的朋友们来说可是一个痛苦、烦心的事。
　　删除win7病毒文件夹的步骤：
　　一、首先，我们需要关闭系统还原。在“开始→运行“中输入”gpedit.msc”，启用组策略编辑器，依次展开“计算机配置→管理模板→系统→系统还原”，在右侧双击“关闭系统还原”，设为“启用”。
　　二、然后再展开“计算机配置→管理模板→Windows组件→Windows Installer”，在右边双击“关闭创建系统还原检查点”，设为“启用”，再运用“cacls”命令【cacls “c:System Volume Information” /g everyone:f】赋予当前用户完全控制权限后就可以删除“System Volume Information”文件夹了。
　　怎么样删除win7病毒文件夹，一般我们都需要通过一个小命令，就是上述两个大的步骤。就可以帮助我们在win7系统里，轻松地删除的顽固的病毒文件，这些病毒可是连杀毒软件都检测不出来或者是杀不了。这样你的电脑网络环境更安全，更保密!

windows7系统设置启动网络共享的时候，很多用户都会惊奇的发现正常进行启动。相应的系统就会出现一个代码为1061的错误提示，也就是表明系统在运行服务的时候无法接受其控制信息。其实这个最大的原因就是因为你的Win7系统出现了病毒，一种叫蠕虫的病毒引起的危害。那么我们应该怎么样才能够删除这孩子那个病毒呢?具体的操作步骤如下:
761.jpg
　　分析原因：
　　病毒名称：蠕虫病毒Win32.Luder.I
　　其它名称：W32/Dref-U (Sophos)， Win32/Luder.I!Worm， W32.Mixor.Q@mm (Symantec)， W32/Nuwar@MM (McAfee)， W32/Tibs.RA (F-Secure)， Trojan-Downloader.Win32.Tibs.jy (Kaspersky)
　　病毒属性：蠕虫病毒
　　危害性：中等危害
　　流行程度：高
　　具体介绍：
　　病毒特性：
　　Win32/Luder.I是一种通过邮件传播的蠕虫，并寄存在PE 文件和RAR 文件中进行传播。另外，它还会生成一个特洛伊，用来下载并运行其它的恶意程序。它是大小为17，559字节的Win32可运行程序。
　　感染方式：
　　运行时，Win32/Luder.I复制到%System%\ppl.exe ，并设置文件属性为隐藏。随后，修改以下注册表键值，以确保在每次系统启动时运行这个副本：HKLM\Software\Microsoft \Windows\CurrentVersion\Run\agent = “%System%\ppl.exe.。。”HKCU\Software\Microsoft\Windows\CurrentVersion\Run \agent = “%System%\ppl.exe.。。”
　　注：‘%System%’是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C：\Winnt\System32; 95，98 和 ME 的是C：\Windows\System; XP 的是C：\Windows\System32。
　　Luder还生成并运行一个任意名称的文件，检测出是Win32/Sinteri!downloader特洛伊病毒。蠕虫还生成“kkk33ewrrt”互斥体，以确保每次只有一个副本运行。
　　传播方式：
　　通过邮件传播蠕虫从本地系统获取邮件地址来发送病毒。它通过以下注册表键值在Windows Address Book中查找邮件地址：HKCU\Software\Microsoft\WAB\WAB4\Wab File Name接着，搜索从 ‘Z：\’ 到 ‘C：\’ 驱动器上带有以下扩展名的文件：
　　rar
　　scr
　　exe
　　htm
　　txt
　　ht
　　a 蠕虫执行DNS MX (mail exchanger)查询，为每个域找到适合的邮件服务器来发送病毒。它使用本地配置的默认的DNS服务器来执行这些查询。
　　Luder.I尝试发送邮件到它收集的每个邮件地址。蠕虫发送的邮件带有以下特点：
　　发件地址：
　　蠕虫使用任意名称(从蠕虫自带的一个列表中选择)带有一个任意数字，和接受目标的域名结合，生成一个伪造的收件地址，例如：Clarissa26@domain.com。
　　主题可能是：Happy New Year!
　　附件名称：postcard.exe
　　通过文件感染-PE文件Luder.I每次发现一个带有“exe” 或 “scr” 扩展名的文件，都使用《random name》.t文件名复制病毒到文件所在目录，并设置为隐藏文件。
　　注：《random name》由8个小写字母组成。例如：“vrstmkgk.t”。
　　Luder.I检查文件的PE头，来查看是否有足够的空间运行，并在中间插入一个代码。另外，它不会感染已经被感染的DLL或可执行文件。如果被运 行，它首先运行相关的《random name》.t。Luder.I在被感染文件的PE头的timestamp中写入666作为一个标记，避免再次感染同一文件。
　　注：生成的《random name》.t文件即使不满足感染的所有条件，也不会被Luder.I修改。
　　通过文件感染-RAR文件
　　Luder.I添加《random filename》.exe到每个发现的RAR文档中，这里的《random filename》是7个字母与数字，例如“dnoCV18.exe”。每当Luder.I运行时，文档可能被多次感染。
　　危害：
　　下载并运行任意文件Luder.I生成一个文件用来下载其它恶意程序到被感染机器上。下载的文件包括Win32/Sinteri， Win32/Sinray， Win32/Sinhar 和Win32/Luder的其它变体。
　　终止进程
　　每隔4秒，如果注册表编辑器(regedit.exe)和名称中包含以下字符串的其它进程(显示在Windows Title Bar中)正在运行，Luder.I就会尝试终止注册表编辑器和这些进程：anti
　　viru
　　troja
　　avp
　　nav
　　rav
　　reged
　　nod32
　　spybot
　　zonea
　　vsmon
　　avg
　　blackice
　　firewall
　　msconfig
　　lockdown
　　f-pro
　　hijack
　　taskmgr
　　mcafee
　　修改系统设置
　　Luder.I修改以下注册表键值，使得“Windows Firewall/Internet Connection Sharing (ICS)”(还称为“Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)”)服务失效：HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 4
　　清除：
　　KILL安全胄甲InoculateIT 23.73.102，Vet 30.3.3288版本可检测/清除此病毒。
　　kill版本：
　　修复错误的方法：
　　进入注册表查找下面键值改成4就可以修复internet共享的问题。Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \SharedAccess]“Start”=dword:00000004
　　通过上面的图片和文字教程的解说，都能够清楚的了解到系统中这种能够病毒的原因，危害以及解除的办法。这对于在平常的电脑使用中起到一个防范的意识是很重要的，及时的对电脑遭受的病毒攻击。