所有文件夾都變成1KB文件夾快捷方式病毒的解決方法_第1頁
所有文件夾都變成1KB文件夾快捷方式病毒的解決方法_第2頁
所有文件夾都變成1KB文件夾快捷方式病毒的解決方法_第3頁
所有文件夾都變成1KB文件夾快捷方式病毒的解決方法_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、所有文件夾都變成1KB文件夾快捷方式病毒的解決方法 病毒說明:       此病毒是這樣運(yùn)行的。 通過AutoRun.inf指向*.vbs這個(gè)腳本文件,來自動(dòng)運(yùn)行病毒,感染全部磁盤根目錄,這些目錄變成快捷方式,再指向那個(gè)vbs文件,以后要預(yù)防這種病毒 就是要禁用系統(tǒng)的自動(dòng)運(yùn)行功能。      此毒中招后的一個(gè)顯著特征是:硬盤各個(gè)分區(qū)原有的正常文件夾被隱藏,代之以1KB的同名文件夾.lnk文件。誤點(diǎn)擊這些假冒文件夾后,病毒被激活。這是個(gè).vbs數(shù)據(jù)流雙料病毒。一 系統(tǒng)設(shè)置的更改1 系統(tǒng)文件關(guān)聯(lián)修改

2、 txt,ini,inf,bat,cmd,reg,chm,hlp可能還有其他(當(dāng)你打開這些文件的時(shí)候,相當(dāng)于執(zhí)行了一遍病毒)eg:HKEY_LOCAL_MACHINESOFTWAREClassesbatfileshellopencommand%SystemRoot%System32WScript.exe "C:WINDOWSexplorer.exe:.vbs" %1 %*2 我的電腦打開方式被修改(雙擊我的電腦,同樣相當(dāng)于執(zhí)行了一遍病毒)eg:HKEY_CLASSES_ROOTCLSID20D04FE0-3AEA-1069-A2D8-08002B30309Dshellope

3、ncommand%SystemRoot%System32WScript.exe "C:WINDOWSexplorer.exe:.vbs" OMCHKEY_CLASSES_ROOTCLSID20D04FE0-3AEA-1069-A2D8-08002B30309Dshellexplorecommand%SystemRoot%System32WScript.exe "C:WINDOWSexplorer.exe:.vbs" EMC3 修改IE關(guān)聯(lián)(原來挾持IE主頁的方法,被此病毒用來啟動(dòng)自己)eg:HKEY_LOCAL_MACHINESOFTWAREClasse

4、sApplicationsiexplore.exeshellopencommand%SystemRoot%System32WScript.exe "C:WINDOWSexplorer.exe:.vbs" OIEHKEY_CLASSES_ROOTCLSID871C5380-42A0-1069-A2EA-08002B30309DshellOpenHomePageCommand%SystemRoot%System32WScript.exe "C:WINDOWSexplorer.exe:.vbs" OIE二 添加文件,主要是數(shù)據(jù)流文件到系統(tǒng)文件:(繞過安全軟件的

5、啟動(dòng)項(xiàng)目掃描,同時(shí)普通用戶很難清除)eg%sys32%smss.exe C:WINDOWSsystem32smss.exe:.vbs%windir%explorer.exeC:WINDOWSexplorer:.vbs%SystemRoot%systemsvchost.exeC:WINDOWSsystemsvchost.exe 此文件本質(zhì)上就是wscript.exe,可以刪除三 病毒啟動(dòng)項(xiàng)目(這是病毒使用的常規(guī)啟動(dòng)項(xiàng)目,其實(shí)它不需要的)HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad      

6、;    %SystemRoot%systemsvchost.exe "C:WINDOWSsystem32smss.exe:.vbs"四 隱藏系統(tǒng)目錄文件夾,并創(chuàng)建一個(gè)快捷方式指向原文件夾(這招毒啊,相當(dāng)于windows之類的目錄也會(huì)中毒)五 其他(欺負(fù)其他殺毒軟件,保護(hù)自己,惡作劇等)其他還包括創(chuàng)建保護(hù)進(jìn)程(%SystemRoot%systemsvchost.exe)反復(fù)保護(hù)自己,通過NTSD命令結(jié)束某些進(jìn)程       此毒還有一個(gè)特點(diǎn):如果僅僅刪除了各分區(qū)根目錄下的病毒文件.vbs、刪除了

7、system目錄下的svchost.exe(實(shí)為系統(tǒng)程序wscript.exe)、刪除了被病毒改寫過的系統(tǒng)程序smss.exe(用備份替換)、刪除了病毒創(chuàng)建的所有.lnk,當(dāng)你雙擊“我的電腦”時(shí),病毒又復(fù)活了。如果用“軟件限制策略”的散列規(guī)則禁止wscript.exe運(yùn)行,則雙擊我的電腦后系統(tǒng)報(bào)錯(cuò),自然不能通過正常途徑打開各個(gè)分區(qū)及各級(jí)目錄。解決方法:方法一:1、光盤啟動(dòng),重裝系統(tǒng),不動(dòng)除C盤外的其它盤。完成后不要做任何其它操作。(如果C盤、桌面有重要文件,請(qǐng)先備份)2、關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)運(yùn)行功能,這步非常重要。在組策略中將自動(dòng)運(yùn)行這項(xiàng)功能關(guān)掉:在"運(yùn)行"中輸入"

8、;gpedit.msc"打開組策略,依次展開"計(jì)算機(jī)配置->管理模板->系統(tǒng)",在右邊找到"關(guān)閉自動(dòng)播放"雙擊打開,選擇"已啟用",在"關(guān)閉自動(dòng)播放"下拉列表中選擇"所有驅(qū)動(dòng)器",單擊確定即可。在每個(gè)盤的根目錄下面建一個(gè)文件夾,重命名為"autorun.inf",將其屬性設(shè)為隱藏,也能起到一定的預(yù)防作用(可以防止一般的病毒創(chuàng)建autorun.inf這個(gè)文件).3、用點(diǎn)擊右鍵打開的方法,打開其它盤,就能看到快捷方式和病毒,這些全部刪掉。(千萬不要因?yàn)楹闷婊?/p>

9、失誤雙擊啊,不然系統(tǒng)就白裝了)4、到這個(gè)網(wǎng)站: 下載這個(gè)專殺工具可恢復(fù)所有被隱藏的內(nèi)容。方法二:不用重裝系統(tǒng)也能徹底清除此病毒的方法,操作比較專業(yè)。是windows PE下把所有vbs結(jié)尾的文件都刪掉包括所有顯示的快捷方式,病毒的問題就可以解決了!很管用的,大家遇到這種情況可以試試!用光盤進(jìn)winpe(如果硬盤上裝有winpe則開機(jī)時(shí)選擇進(jìn)入winpe即可),搜索*.vbs(*表示任意文件名),將搜索出來的結(jié)果全部刪除。用Tiny,將wscript.exe由信任組轉(zhuǎn)入特殊組,設(shè)置文件訪問及注冊(cè)表訪問規(guī)則,禁止非信任組程序的文件創(chuàng)建及注冊(cè)表改寫動(dòng)作,然后,再雙擊“我的電腦”,此毒不能復(fù)活,且“我

10、的電腦”以及各級(jí)目錄可以順利打開。方法三:手工徹底殺滅此毒的流程應(yīng)該是:1、先打開C:windowssystem32和C:windowssystem32dllcache目錄。然后在組策略中用散列規(guī)則禁止WSCRIPT.EXE運(yùn)行。2、用IceSword禁止進(jìn)程創(chuàng)建。結(jié)束WSCRIPT.EXE和windowssystemsvchost.exe進(jìn)程。3、刪除所有分區(qū)根目錄下的.vbs和autorun.inf。刪除windowssystemsvchost.exe4、刪除硬盤各個(gè)分區(qū)中所有1KB的.lnk5、將WINDOWS目錄下的EXPLORER.EXE和系統(tǒng)目錄下的SMSS.EXE移動(dòng)到U盤或FA

11、T32分區(qū)的硬盤分區(qū)(自動(dòng)脫毒)。6、刪除WINDOWS目錄下以及dllcache目錄下的EXPLORER.EXE、%system%目錄以及dllcache目錄下的smss.exe(被病毒附加了數(shù)據(jù)流)。7、取消”禁止進(jìn)程創(chuàng)建“。將剛才移動(dòng)到FAT32分區(qū)(或U盤)的那個(gè)EXPLORER.EXE和smss.exe移回系統(tǒng)目錄以及dllcache目錄。8、修改注冊(cè)表,顯示被隱藏的正常文件夾。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"Checked

12、Value"=dword:00000001HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN"CheckedValue"=dword:000000029、刪除病毒加載項(xiàng):展開HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows刪除load鍵值項(xiàng)的數(shù)據(jù)。方法四:1、在安全模式下啟動(dòng),刪除有關(guān)“smss”及“vba”的啟動(dòng)項(xiàng)!2、用WINDOWS PE啟動(dòng)(沒有PE就用安全模式似乎也可以,未做仔細(xì)測(cè)試),    將搜索出來的所有“.VBS”、以及“smss*.vbs”文件刪除,有的在資源管理器中看不到到winrar中刪除即可!3、刪除所有以文件夾命名的快捷方式(該病毒目前不傳染子文件夾)4、有的變種修改了“c:windowsexplorer.exe”及“c:windowssystem32smss.exe”文件,    最好到同樣版本系統(tǒng)的機(jī)器上將這兩個(gè)文件復(fù)制回來,沒有相同版本的文件不復(fù)制應(yīng)該也可以。5、利用“kill_folder2.11”這個(gè)軟件恢復(fù)所有被隱藏的文件夾6、在注

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論