病毒说明:
此病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。 此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被xx。这是个.vbs+数据流双料病毒。 一 系统设置的更改 1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒) eg: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %* 2 我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒) eg: HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\ %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OMC HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" EMC 3 修改IE关联(原来挟持IE主页的方法,被此病毒用来启动自己) eg: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE 二 添加文件,主要是数据流文件到系统文件:(绕过安全软件的启动项目扫描,同时普通用户很难xx) eg %sys32%\smss.exe ---C:\WINDOWS\system32\smss.exe:.vbs %windir%\explorer.exe---C:\WINDOWS\explorer:.vbs %SystemRoot%\system\svchost.exe---C:\WINDOWS\system\svchost.exe 此文件本质上就是wscript.exe,可以删除 三 病毒启动项目(这是病毒使用的常规启动项目,其实它不需要的) HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load %SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:.vbs" 四 隐藏系统目录文件夹,并创建一个快捷方式指向原文件夹(这招毒啊,相当于windows之类的目录也会中毒) 五 其他(欺负其他杀毒软件,保护自己,恶作剧等) 其他还包括创建保护进程(%SystemRoot%\system\svchost.exe)反复保护自己,通过NTSD命令结束某些进程 此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。 解决方法: 方法一: 1、光盘启动,重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份) 2、关闭所有驱动器的自动运行功能,这步非常重要。 在组策略中将自动运行这项功能关掉:在"运行"中输入"gpedit.msc"打开组策略,依次展开"计算机配置->管理模板->系统",在右边找到"关闭自动播放"双击打开,选择"已启用",在"关闭自动播放"下拉列表中选择"所有驱动器",单击确定即可。 在每个盘的根目录下面建一个文件夹,重命名为"autorun.inf",将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建autorun.inf这个文件). 3、用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了) 4、到这个网站: 下载这个专杀工具可恢复所有被隐藏的内容。 方法二:不用重装系统也能彻底xx此病毒的方法,操作比较专业。是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式,病毒的问题就可以解决了!!很管用的,大家遇到这种情况可以试试!用光盘进winpe(如果硬盘上装有winpe则开机时选择进入winpe即可),搜索*.vbs(*表示任意文件名),将搜索出来的结果全部删除。 方法三:手工彻底杀灭此毒的流程应该是: 方法四: 1、在安全模式下启动,删除有关“smss”及“vba”的启动项! 删除即可! 方法五: 建立一个批处理文件: del -f c:\*.lnk del -f d:\*.lnk del -f e:\*.lnk del -f f:\*.lnk del -f g:\*.lnk del -f h:\*.lnk 然后保存为bat格式的文件。然后双击运行。然后找个u盘copy个usbclear 和foldercure ,先用 foldercure从u盘启动杀毒。即可。 最近从网上看到有的网友用文件夹图标病毒专杀软件FolderCure查杀一遍后,将所有硬盘里快捷方式的图标文件和文件夹全部删除,重启计算机,病毒xx就完成了。我没有试过不知道效果如何,有兴趣的网友可以试试。 |