个人原创推荐:VBS病毒手动清除教程
本帖最后由 琼ヾ苍 于 2010-5-7 14:51 编辑今晚维修,有至少两台电脑种了 VBS 病毒。 鉴于此,所以 我决定 打开久经未动的 虚拟机。
开始研究如何手动 删除 这个VBS 病毒。 清除这个病毒的过程中,我是靠着自己曾经拥有的清毒经验
自己一步一脚印探索着删除。 经过几次,尝试和研究 终于才把 这个病毒征服了。
下面请看 我清除病毒的整体步骤,希望对 诚毅学子 以及 计算机协会 的同胞们有所帮助。
步骤一、 我们先运行病毒。
步骤二、 这时 我们打开任务管理器 你会发现什么? http://rjfipg.bay.livefilestore.com/y1pYWI41VMApamSSUpO8ZbleP9YGre7_Ar8eDJJmrBNuUgGD2DBln0GJwfLxUObjXgCUGFHlbxBhj9UGNDL4CpRWLC6FnEOKhyX/1.jpg
妖兽 发现了什么 ... wscript.exe 这个就是 这次病毒 的一个得力 辅角,许多懂进程的人
以下就能发现 它的不对,因为没事它是不会 随便 跑出来溜达的。 那么结束他,可以吗?
事实上是没用的 即便了 结束了上千次 也无济于事,它照样会再次 启动。
那么该怎么办? 不急 先继续看我分析。
步骤三、 病毒症状 http://rjfipg.bay.livefilestore.com/y1pVgoYgLcGnZPRZpW-qo4ZMJ9mAA9W-_obsTBaTx--lR3P6B_SNhMWvpJsa_4oMgLDSvs_drxr8MAftiYhNOn4wixrEKAlpx4Y/2.jpg
看到此图 大家一定感到 很熟悉,所有文件夹都变成了 快捷方式。换句话说,当你双击了 该文件夹后
就算是 种了病毒的圈套... 那样 你就可以从此无限的浸淫在这病毒的摇篮中,无绵无休。
步骤四、 脚本提示 http://rjfipg.bay.livefilestore.com/y1pvFo3OVutgsA0KfSiJXVbD4aZNYdAduhFrVII2YPXfRM648LtgaOpVFi-bk27wVb-uUUdfcVDdOKwIAb25-xt52177AfpKmUQ/3.jpg
病毒运行过程可能出现 这样提示信息 视每个人电脑情况不同 而定。(很明显 这是vbs 文件在运行)
步骤五、 注册表启动项 http://rjfipg.bay.livefilestore.com/y1pMW4fgmbY4bBc4p9_A6e7Gksj5Uerl6fntRI4GqoWwVSaWBgh7LTF_Hair9aQRTIwJo7IDBEh7vKpZAD19LC6UvSbc8Iqolh0/4.jpg
上图,是 我用XueTr(一个和冰刃同样牛的手刹工具) 打开启动项 发现了什么
C:\WINDOWS\system32\smss.exe:539207912.vbs 这个路径明显有问题
后面 跟着那串文件名 539207912.vbs 我们可以很肯定的断定 它肯定是病毒。 但不急 我们继续。
步骤六、 文件关联 http://rjfipg.bay.livefilestore.com/y1p606_e8YTQeRsMjQW4z7WiR3x_mYnCAWWcVQ_YM2syXtl98jnwYc02hOpw4kVhkqBjcTDMiTH-XvVrRGasjpWKf7sfSuqr3UI/5.jpg
大大 惊讶 吧~~ 这么多 文件关联 都被篡改了。 什么是文件关联? 不知道 ?
简单说吧 我们是不是可以直接打开记事本文件,这样的功能 就是因为有了文件关联。
它把 txt 后缀的文件 自动关联 到了 notepad.exe 文件,这样我们就可以直接顺利打开文件了。
这样说 如果这个被篡改了 那就危险 明显这些文件都被引导到了 病毒文件。
步骤七、 清毒前的工作 http://rjfipg.bay.livefilestore.com/y1pApUBOpEanNj_eti4d0v51BnPftuSt8EREFRaoHPikLSrAToICZ1wzKsGaoIF717SMP7E7FkRH8k_M4AbMHjDCUMHZorv42q3/6.jpg
这是 XueTr 拥有的 特殊功能 它能 禁止创建 进程、文件、线程。 这些到底什么
意思 我就不解释了 不懂得 自己百度吧 哈。
步骤八、 处理svchost.exe 模板注入 http://rjfipg.bay.livefilestore.com/y1pzGPJWo4wKbma04nqkkBuZWxPyeuO64_1Br-mAvncO-Eiwb5KrQBbeSS0htrTeLMa5F6Tu0IX-YmnIUzrfyLytk1r8RK04Sf0/7.jpg
我们打开 svchost.exe 模板(动态链接库)文件查询发现 vbscript.dll 文件。
这个一定 要全局卸载不然后面 会有罪够 让你受本人深受体会。
(另外,你若仔细看 会发现什么 svchost.exe 文件实际已经被注入了 vbscript.dll 文件)
步骤九、解释辅助进程 http://rjfipg.bay.livefilestore.com/y1pvGX49ecQsxRUC1GBJ2_6q51qANR0aIJ36llOSXKFRqBeE0QRQCnHPVOzRtRzjAGZPnCCTk7kf-trRKhVt3t3IOy3CGQ8HHQF/8.jpg
接下来 我们解释掉 wscript.exe 这个病毒辅助进程 但记住不要删除 它是正常文件。
步骤十、删除根目录 的相关病毒文件 http://rjfipg.bay.livefilestore.com/y1paf_oZvGogPxXJf2NPahSjNVQfGCSL1uKs50vApbQgYnE6DCNKbbyBb9NJCCzDGu7IZzmDaQlgFOtRyNVbdZ5qrrd-mylaVyI/9.jpg
使用 XueTr 自带的 文件管理 功能 将根目录上 的这两个 病毒衍生文件删除。
防止 你误点击到那些快捷方式引导到病毒文件 又再次中毒。
步骤十一、 删除 启动项上病毒项目 http://rjfipg.bay.livefilestore.com/y1peZ0Hw8gj6BU2XuW-aXZm72wopzL3vh2xSaqIV_j6Z_Gmusl8HC5duYfB6iEWNYk-HSeDq4fw63SDcUhN62gNdjCcFsBHZKeV/10.jpg
找到 病毒项目 接下来... http://rjfipg.bay.livefilestore.com/y1prLQjJfZFPPJtrNAysWjkl1wZ1PH_2IgqtlFazIqKVN2UOHz0zUF_CXbbqVYI__3rV_iIidFuzOakd1Nw5BiB8fRg8gqszY1_/10.1.jpg
定位 到文件管理器 。。 用软件自己的文件管理器 这样你才能找到 病毒文件(它是被隐藏的)
用 资源管理器 是看不到的。
然后,再回到 XueTr 上启动项功能 上删除 选中的内容 防止它 开机自动运行 而又中毒。
步骤十一、 恢复文件关联 http://rjfipg.bay.livefilestore.com/y1p5csyhU1dnXunIrOdH0BLE3in9EqXloHo13z8haxXx7TV98fSBg5mc6EaSdX5hPqAckl_IMV1fvp03Ch7lPs5gf-q-ckMXXow/11.jpg
如图,操作 是修复 上面提到的 文件关联功能。
步骤十二、双击 我电脑被劫持
在 这过程清除 过程中 我一直 多次被病毒卡到... 始终搞不清楚自己明明已经做好了相关工作
为什么 还是会再次 中毒,这个时候是让人最郁闷的 时候。 不过,我还是 通过软件一些功能
发现了 一些蛛丝马迹.. 并成功抓出了问题 原来 是 我的电脑 图标 也被病毒劫持了。
所有 我们要做的就是 恢复 原来 我的电脑图标的 关联方式。 http://rjfipg.bay.livefilestore.com/y1pL3DK_ebr2nJrRmnbow6UDbD9sFyH0RqJfejuTUMZul4maPocl7tB0F5t4ZgOPHUo6erxt3JWDIZsn-LVEMkIqzXdLe9Apsq0/12.jpg
打开运行 在运行框中 输入:
reg add "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell" /ve /d none /f
这样 这个问题就 迎刃而解了 。
步骤十三、收尾工作 http://rjfipg.bay.livefilestore.com/y1pcI9TLBZGRRzf2cPrhNGp5Ea3b802yEq93D_3diK5aQ0i2AUEimmdcCiXUqWbqUl8UC0nj2pJpo7c-LcvES633ochh-im5cjT/13.jpg
接下来 我们用 命令提示符(cmd -- 运行框输入) 使用 dos 命令 恢复被隐藏的文件
attrib -r -s -h *.* /s /d
该命令 只要 你用 dos 命令 将相关路径 引导到相关驱动路径上并输入上面命令 就OK了。
写到这里 我整个 病毒清除 就算OK 接下来 你要 记得去删除 系统上所有临时文件夹
那可能是病毒 藏身的 一个温床。 常用路径--我底下帮大家列出
C:\Windows\Temp
C:\Documents and Settings\用户名(一般为Administrator)\Local Settings\Temp目录下(默认为隐藏目录)
IE临时文件夹:C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files(默认为隐藏目录) 你也可以通过这个操作查看:打开IE---工具---internet选项---常规---设置。
等等
隐藏的找不到的 可以用 winrar 去查出来。
然后,你就可以关机 重新再开机 看看效果吧。 可以偷笑了。 哈哈
本人,第一次写这方面教程... 可能有些地方写的不尽人意请大家多多见谅。有什么错误的请大家
顺便指出啊!大家共同讨论,共同进步。
另外,这个清除过程 是在 虚拟机的实验环境下 做出的... 然而,实际的操作环境 可能会比这个
复杂得多,但是 基本上不会脱离 上面的大致内容。 只要你多仔细观察.. 多学习处理方法。
一般都能解决好问题。
原创:映轩晓屋 楼主好久不见了! 吓死我了。。。还好我的电脑进程里没有wscript.exe 师傅,你好猛呀 回复 2# AK47
哈哈 是啊 好久 没来 发帖
一来、没什么好作品 不好意思 来。
另外就是 有点忙 嘿。 回复 3# 听樊
哈哈 回复 4# jeremy°
嘻嘻
页:
[1]