这种病毒的预防:

首先大家要明确的是,病毒在U盘里并不可怕,可怕的是它在我们的电脑里运行. 所以我们{dy}点要做到的就是阻止它们从U盘运行.

我们要做的{dy}步就是在打印店拨出U盘回到宿舍后,打开自己的电脑,关闭所有驱动器的自动 播放功能.这一点很重要.具体方法:在"运行"中输入"gpedit.msc"打开组策略，依次展开"计算机配置->管理模板->系统"，在 右边找到"关闭自动播放"双击打开，选择"已启用"，在"关闭自动播放"下拉列表中选择"所有驱动器"，单击确定即可。这样我们插上U盘后就不会自动运行 病毒了.

做到这一点还不够.我们总归是要打开U盘的呀.那么我们在打开U盘的时候千万不要去双击盘符,很多病毒就是这样被xx的.也不要右 击盘符选择"打开",这种方法同样不保险.我们可以通过资源管理器(可以用快捷键win+e打开)左侧的目录树来打开,这样不会xx任何 autorun.inf病毒.

第二步,就是要通过观察U盘中的文件来分析自己有没有中毒,中的是哪种病毒.此时{zh0}能显示隐藏文件(这个就 不在这里解释了),如果有AutoRun.inf文件,那么十有八九是中毒了.这个文件不能留,Shift+Delete直接请走.我们今天就主要说一下 1kb病毒吧.它的特征就是所有文件夹图标都变成快捷方式,大小为1kb,而真正的文件夹被隐藏.如果你的U盘中有这种现象而且你又是按照上面方法来做 的,那么恭喜你,你并没有xx这个病毒.此时你要做的就是删除病毒.

  首先,在"运行"(快捷键win+r)中输入cmd,(我们假设U 盘的盘符为F盘),输入

F:   (回车)

attrib -s -h /s /d (回车)       这一步是把所有真实的文件夹的隐藏属性去掉.中间有空格不能省.

del *.vbs (回车)      这是删除病毒文件

del *.lnk(回车)       这是把那些快捷方式删除

del autorun.inf(回车)     这是删除autorun.inf这个让我们双击盘符能xx病毒的文件

至此,清理病毒的工作就完成了.

然而,很多同学并不是按这种方法打开U盘,而是双击或者用其它方式让病毒 运行了.那么这个时候我们的病毒就已经在我们的电脑中快活地工作了.这个时候我们会发现,C.D.E.F.G...只要是"我的电脑"中能 显示的盘符,里面的文件夹都变成快捷方式了.我们该怎么办呢?

最简单的方法,可以参考   下载运行两个软件就可以彻底xx病毒.好多评论都说不错.

如果想要手动杀毒的话,可以试试下面几个方法:

方法一：

1、光盘启动，重装系统，不 动除C盘外的其它盘。完成后不要做任何其它操作。（如果C盘、桌面有重要文件，请先备份）

2、关闭所有驱动器的自动运行功能，这步非常重 要。

在组策略中将自动运行这项功能关掉：在"运行"中输入"gpedit.msc"打开组策略，依次展开"计算机配置->管理模板 ->系统"，在右边找到"关闭自动播放"双击打开，选择"已启用"，在"关闭自动播放"下拉列表中选择"所有驱动器"，单击确定即可。

在 每个盘的根目录下面建一个文件夹,重命名为"autorun.inf",将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建 autorun.inf这个文件).

3、用点击右键打开的方法，打开其它盘，就能看到快捷方式和病毒，这些全部删掉。(千万不要因为好奇或 失误双击啊，不然系统就白装了)

4、到这个网站：http://www.rensoft.com.cn/zhuansha /kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

方法二：不用重装系统也能彻底xx此病毒的方法，操作比较专业。是 windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式，病毒的问题就可以解决了！！很管用的，大家遇到这种情况可以试试！用光盘进winpe（如果 硬盘上装有winpe则开机时选择进入winpe即可），搜索*.vbs（*表示任意文件名），将搜索出来的结果全部删除。

用Tiny，将 wscript.exe由信任组转入特殊组，设置文件访问及注册表访问规则，禁止非信任组程序的文件创建及注册表改写动作，然后，再双击“我的电脑”，此 毒不能复活，且“我的电脑”以及各级目录可以顺利打开。

方法三：手工彻底杀灭此毒的流程应该是：

1、先打开C:\windows \system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。

2、 用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。

3、删除所有 分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe

4、删除硬盘各个分区中所有 1KB的.lnk

5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘 分区（自动脱毒）。

6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及 dllcache目录下的smss.exe（被病毒附加了数据流）。

7、取消”禁止进程创建“。将刚才移动到FAT32分区（或U盘）的那 个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。

8、修改注册表，显示被隐藏的正常文件夹。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

"CheckedValue"=dword:00000002

9、 删除病毒加载项：

展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

删除load键值项的数据。

方法四：

1、在安全模式下启动，删除有关“smss”及 “vba”的启动项！

2、用WINDOWS PE启动（没有PE就用安全模式似乎也可以，未做仔细测试），

    将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除，有的在资源管理器中看不到到winrar中删除即可！

3、删除所有 以文件夹命名的快捷方式（该病毒目前不传染子文件夹）

4、有的变种修改了“c:\windows\explorer.exe”及“c: \windows\system32\smss.exe”文件，

    {zh0}到同样版本系统的机器上将这两个文件复制回来，没有相同版本的文件不复制应该也可以。

5、利用“kill_folder2.11”这 个软件恢复所有被隐藏的文件夹

6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符！

方法五：

建立一个批处理文件：

del -f c:\*.lnk

del -f d:\*.lnk

del -f e:\*.lnk

del -f f:\*.lnk

del -f g:\*.lnk

del -f h:\*.lnk

然后保存为bat格式的文 件。然后双击运行。然后找个u盘copy个usbclear 和foldercure ，先用foldercure从u盘启动杀毒。即可。

我 在帮同学清理病毒的时候也试过编一个bat文件去清理,但是bat的链接也被病毒改掉了,不能正常运行.还要再去修改注册表.所以第五种方法并不一定可 行.

下面再来附一个1kb病毒的传播原理:

这 种1kb病毒通过AutoRun.inf指向*********.vbs这个脚本文件，来自动运行病毒，感染全部磁盘根目录，这些目录变成快捷方式，这些 快捷方式再指向那个vbs文件和相应的文件夹这样双击快捷方式以后就在打开文件夹同时在后台运行了病毒，以后要预防这种病毒就是要禁用系统的自动运行功 能。

此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后， 病毒被xx。这是个.vbs＋数据流双料病毒。

一 系统设置的更改

1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他（当你打开这些文件的时候，相当于执行了一遍病毒）

eg：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %*

2 我的电脑打开方式被修改（双击我的电脑，同样相当于执行了一遍病毒）

eg：

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\

%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OMC

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command

%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" EMC

3 修改IE关联（原来挟持IE主页的方法，被此病毒用来启动自己）

eg：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command

%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE

二 添加文件，主要是数据流文件到系统文件：（绕过安全软件的启动项目扫描，同时普通用户很难xx）

eg

%sys32%\smss.exe －－－C:\WINDOWS\system32\smss.exe:.vbs

%windir%\explorer.exe－－－C: \WINDOWS\explorer:.vbs

%SystemRoot%\system\svchost.exe－－－C: \WINDOWS\system\svchost.exe 此文件本质上就是wscript.exe，可以删除

三 病毒启动项目（这是病毒使用的常规启动项目，其实它不需要的）

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load       

%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:.vbs"

四 隐藏系统目录文件夹，并创建一个快捷方式指向原文件夹（这招毒啊，相当于windows之类的目录也会中毒）

五 其他（欺负其他杀毒软件，保护自己,恶作剧等）

其他还包括创建保护进程（%SystemRoot%\system \svchost.exe)反复保护自己，通过NTSD命令结束某些进程

       此毒还有一个特点：如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe（实为系统程序 wscript.exe）、删除了被病毒改写过的系统程序smss.exe（用备份替换）、删除了病毒创建的所有.lnk，当你双击“我的电脑”时，病毒 又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行，则双击我的电脑后系统报错，自然不能通过正常途径打开各个分区及各级目录。