资源预览内容
第1页 / 共6页
第2页 / 共6页
第3页 / 共6页
第4页 / 共6页
第5页 / 共6页
第6页 / 共6页
亲,该文档总共6页全部预览完了,如果喜欢就下载吧!
资源描述
所有文件夹都变成 1KB 文件夹快捷方式病毒的解决方法 2009-12-12 13:12 病毒说明: 此病毒是这样运行的。 通过 AutoRun.inf 指向*.vbs 这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个 vbs 文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB 的同名文件夹.lnk 文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs数据流双料病毒。一 系统设置的更改1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp 可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒)eg:HKEY_LOCAL_MACHINESOFTWAREClassesbatfileshellopencommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs %1 %*2 我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒)eg:HKEY_CLASSES_ROOTCLSID20D04FE0-3AEA-1069-A2D8-08002B30309Dshellopencommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs OMCHKEY_CLASSES_ROOTCLSID20D04FE0-3AEA-1069-A2D8-08002B30309Dshellexplorecommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs EMC3 修改 IE 关联(原来挟持 IE 主页的方法,被此病毒用来启动自己)eg:HKEY_LOCAL_MACHINESOFTWAREClassesApplicationsiexplore.exeshellopencommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs OIEHKEY_CLASSES_ROOTCLSID871C5380-42A0-1069-A2EA-08002B30309DshellOpenHomePageCommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs OIE二 添加文件,主要是数据流文件到系统文件:(绕过安全软件的启动项目扫描,同时普通用户很难清除)eg%sys32%smss.exe C:WINDOWSsystem32smss.exe:.vbs%windir%explorer.exeC:WINDOWSexplorer:.vbs%SystemRoot%systemsvchost.exeC:WINDOWSsystemsvchost.exe 此文件本质上就是 wscript.exe,可以删除三 病毒启动项目(这是病毒使用的常规启动项目,其实它不需要的)HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad %SystemRoot%systemsvchost.exe C:WINDOWSsystem32smss.exe:.vbs四 隐藏系统目录文件夹,并创建一个快捷方式指向原文件夹(这招毒啊,相当于 windows之类的目录也会中毒)五 其他(欺负其他杀毒软件,保护自己,恶作剧等)其他还包括创建保护进程(%SystemRoot%systemsvchost.exe)反复保护自己,通过 NTSD命令结束某些进程此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system 目录下的 svchost.exe(实为系统程序 wscript.exe) 、删除了被病毒改写过的系统程序smss.exe(用备份替换) 、删除了病毒创建的所有 .lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止 wscript.exe 运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。解决方法:方法一:1、光盘启动,重装系统,不动除 C 盘外的其它盘。完成后不要做任何其它操作。 (如果 C盘、桌面有重要文件,请先备份)2、关闭所有驱动器的自动运行功能,这步非常重要。在组策略中将自动运行这项功能关掉:在运行 中输入gpedit.msc打开组策略,依次展开计算机配置-管理模板-系统,在右边找到 关闭自动播放 双击打开,选择已启用 ,在关闭自动播放下拉列表中选择 所有驱动器,单击确定即可。在每个盘的根目录下面建一个文件夹,重命名为autorun.inf,将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建 autorun.inf 这个文件).3、用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了)4、到这个网站:http:/www.rensoft.com.cn/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。方法二:不用重装系统也能彻底清除此病毒的方法,操作比较专业。是 windows PE 下把所有 vbs 结尾的文件都删掉包括所有显示的快捷方式,病毒的问题就可以解决了!很管用的,大家遇到这种情况可以试试!用光盘进 winpe(如果硬盘上装有 winpe 则开机时选择进入 winpe 即可) ,搜索*.vbs(*表示任意文件名) ,将搜索出来的结果全部删除。用 Tiny,将 wscript.exe 由信任组转入特殊组,设置文件访问及注册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然后,再双击“我的电脑” ,此毒不能复活,且“我的电脑”以及各级目录可以顺利打开。方法三:手工彻底杀灭此毒的流程应该是:1、先打开 C:windowssystem32和 C:windowssystem32dllcache 目录。然后在组策略中用散列规则禁止 WSCRIPT.EXE 运行。2、用 IceSword 禁止进程创建。结束 WSCRIPT.EXE 和 windowssystemsvchost.exe 进程。3、删除所有分区根目录下的.vbs 和 autorun.inf。删除 windowssystemsvchost.exe4、删除硬盘各个分区中所有 1KB 的.lnk5、将 WINDOWS 目录下的 EXPLORER.EXE 和系统目录下的 SMSS.EXE 移动到 U 盘或FAT32 分区的硬盘分区(自动脱毒) 。6、删除 WINDOWS 目录下以及 dllcache 目录下的 EXPLORER.EXE、%system% 目录以及dllcache 目录下的 smss.exe(被病毒附加了数据流) 。7、取消”禁止进程创建“。将刚才移动到 FAT32 分区(或 U 盘)的那个EXPLORER.EXE 和 smss.exe 移回系统目录以及 dllcache 目录。8、修改注册表,显示被隐藏的正常文件夹。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=dword:00000001HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue=dword:000000029、删除病毒加载项:展开 HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows删除 load 键值项的数据。方法四:1、在安全模式下启动,删除有关“smss”及“vba”的启动项!2、用 WINDOWS PE 启动(没有 PE 就用安全模式似乎也可以,未做仔细测试) ,将搜索出来的所有“.VBS” 、以及“smss*.vbs ”文件删除,有的在资源管理器中看不到到 winrar 中删除即可!3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)4、有的变种修改了“c:windowsexplorer.exe”及“c:windowssystem32smss.exe ”文件,最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!方法五:建立一个批处理文件:del -f c:*.lnkdel -f d:*.lnkdel -f e:*.lnkdel -f f:*.lnkdel -f g:*.lnkdel -f h:*.lnk然后保存为 bat 格式的文件。然后双击运行。然后找个 u 盘 copy 个 usbclear 和 foldercure,先用foldercure 从 u 盘启动杀毒。即可。最近从网上看到有的网友用文件夹图标病毒专杀软件 FolderCure 查杀一遍后,将所有硬盘里快捷方式的图标文件和文件夹全部删除,重启计算机,病毒清除就完成了。我没有试过不知道效果如何,有兴趣的网友可以试试。 u 盘快捷方式病毒查杀软件 录入者:fzs | 时间:2010-10-20 23:00:34 | 作者:无名 | 来源: | 浏览:157次 1KB 文件夹快捷方式病毒清除专用附件包含下面几部分。1、自动化清除脚本2、清理工具3、恢复文件夹属性工具首先使用“自动化清除脚本程序”清除系统内此病毒。如果“自动化清除脚本程序”清除无效。请使用“清理工具” 清理系统,并重启电脑即可。然后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。全部内附说明图。清理工具执行的程序行为如下:点击“开始处理” 后,程序将执行:1、结束系统内如下进程:%SystemRoot%systemsvchost.exe%SystemRoot%SYSTEM32wscript.exe(注意是%SystemRoot%systemsvchost.exe 进程,不是 %SystemRoot%system32svchost.exe 进程)2、接下来删除以下文件:删除%SystemRoot%systemsvchost.exe删除 C:盘至 Z:盘的根目录下的 Autorun.inf 文件删除 C:盘至 Z:盘的根目录下的*.vbs 文件删除 C:盘至 Z:盘的根目录下的*.lnk 文件(注意,本程序为了清除磁盘根目录下那些被恶搞出来大量的文件夹快捷方式,只能采取删除所有盘根目录下的*.lnk 快捷方式的办法了。如果你有其他文件的快捷方式在磁盘根目录下,将会一并删除,但是本程序的“备份文件夹 Backup”内有备份的被删除的东西,自己找找恢复即可。 )3、扫描系统盘所有*.exe 文件执行数据流清除,此时清除的是附加在系统文件上的数据流。并同时搜索全机指定大小的*.vbs 文件删除,这个可能导致误
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号