我中着了,痛心疾首,望诸位小心。。 。。。 公司有几台电脑中了一种奇怪的病毒,它会将所有硬盘分区根目录下的所有文件夹属性设为隐藏且不可更改,然后创建跟那些文件夹同名的快捷方式,一旦用户点了这些快捷方式,病毒就会被xx。病毒的文件名是:“.vbs”可通过U盘传播。 关于“1KB文件夹快捷方式病毒”xx的操作。(12月17日更新恢复隐藏文件夹的更简单操作)关于这1KB文件夹快捷方式病毒的情况。请参见:下面是“1KB文件夹快捷方式病毒xx专用附件”,全部内附说明图。 附件: 附件包含下面几部分。 1、自动化xx脚本 2、NTFS系统盘专用清理工具清理工具和FAT32系统盘专用清理工具 3、恢复文件夹属性工具 首先使用“自动化xx脚本程序”xx系统内此病毒。 如果“自动化xx脚本程序”xx无效。请使用相应系统盘磁盘格式的“清理工具”清理系统,并重启电脑即可。 重启电脑后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。 全部内附说明图。说明中提到的磁盘格式,只是指系统盘格式,系统盘就是指你的Windows系统安装所在的那个盘,例如你的系统如果安装在C盘,那么系统盘就是指的C盘。 其他任意盘于此无关,不论其他盘,或其他移动存储设备是什么格式的,都可以xx。前提是U盘或移动硬盘等都需要插在电脑上,再用工具清理。 认真选择正确的对应磁盘工具扫描清理吧。实在不懂的,你就两工具都去运行一遍吧,倒也省心。 清理工具执行的程序行为就不细说了,工具执行清理完后,自身会创建清理日志文件LogAction.log在工具同目录内,自己可以查看日志即可。 注意,本程序修复文件关联那一步不能修复全部被改的文件关联 请事后去这里下载SRENG工具 在SRENG工具》系统修复》文件关联》修复文件关联 (来自:) 附:手工彻底杀灭此毒的流程应该是 1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。 2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。 3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe 4、删除硬盘各个分区中所有1KB的.lnk 5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。 6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。 7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。 8、修改注册表,显示被隐藏的正常文件夹。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue"=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN "CheckedValue"=dword:00000002 9、删除病毒加载项: 展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除load键值项的数据。 |