|
|
最近流行的一种病毒
Z; S8 j, o1 w P4 ~8 s下面是手工杀的办法,有点麻烦.大家可以直接看附件的.批量处理文件.运行下就可以了.
! ?2 Z0 a8 v# j9 s9 F/ h
|% N9 U% v5 j: Y中此病毒之后,症状为双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件" ,但是通过在地址栏输入"C:\"路径可以打开. 当插上U盘立刻提示"无法打开软盘"并且在同时U盘也已经被感染,打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
9 B5 E+ O8 Q& }# M8 ` ^8 b" M其中autorun.inf文件内容如下: , [* D. W2 t: a; t9 q: O
autorun风暴
2 S" c. ^* ~* M, u( b[autorun]
+ c; C( e5 h0 T# |# Fopen= C% x' y, D; T9 r. M
4 l) P3 N% y/ d' \& f
shell\open=打开(&O) , P( |2 H E) V' X
shell\open\Command=WScript.exe .\autorun.vbs
4 F% m8 B9 z, F) k" f' r& ?shell\open\Default=1 7 c; \0 N' M9 Z! \ O
shell\explore=资源管理器(&X)
) X4 x# Q1 v! J" l9 {/ S% N# Yshell\explore\Command=WScript.exe .\autorun.vbs & w3 I, p" {; j1 M/ H2 G( ]
+ v% `# i9 b# x/ x" U/ a
第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了
2 F$ C6 v2 i: s; h s0 V然后停止wscript那个进程停止脚本调用 " J1 I3 S: Q( r& k6 [0 E
然后把各盘及system32里面的7个文件全部删掉 4 G, Z8 u$ T) o/ a2 \: Y8 |
重新启动 3 V8 y u7 r1 U/ X& ]
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
4 p" y; g" f" \! Y- D5 J9 k& k2 d& d首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复 8 @$ ^. g& y- D7 q# V4 Q6 n
+ ?; N+ Y1 e3 R& z4 |) `/ D
再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看,
1 N# ?7 Y: }. H8 s- ~. z3 |9 |, [; ]* z: C! I8 I
最后附上解决方法,大家可以按照此办法去清除病毒。
7 g6 V8 u5 D* O
8 Y% V/ Y! R: o; F, |1、打开注册表,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
& \9 t- ?6 _6 y# b"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除, , \$ {3 S' i6 Y7 I" l' }' r
2、打开任务管理器,中止进程“wscript.exe” 5 j' }8 I& l& z1 l( V3 G- ?
3、修改目录属性,以查看系统隐藏文件,不要用缩略图, 6 K" [2 a, D8 v6 Z( v6 S9 i3 `3 T
4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件,
O& ? K! D( t5 K4 t5 O5、重新启动电脑 and bless! 4 x) b6 S* L+ A' y
PS:操作过程中不要双击磁盘根目录,以免激活autorun文件。2 e" Y' E* x& b, f( i2 K
* G4 s! ^( i1 u1 w8 w: b
以上是网上有朋友介绍的手工杀毒,其实我杀此病毒很简单,把进程结束之后,直接搜索“autorun”,自己的电脑自己知道,多出来了几个文件,当然都是病毒了,直接删除就行了,最后进入注册表删除那个建值就可以了。
- {5 g7 T$ h$ A4 { m( H; j2 q+ D9 K7 F# V4 E- y
在网上找了找,已经有人写出批处理文件,可以方便的专杀这种病毒. 软件的来源已经找不到了,在此感谢这些电脑卫士!
+ h" `# d! Z% r6 Q" ]8 j+ f% n2 Z! Z8 W( D
关于autorun.vbs病毒的修复办法
$ N/ w- a1 B' o 最近好多朋友找我修理电脑的一些小毛病,得到了很多宝贵的经验,拿出来给大家分享.最近相信大家都有受到过autorun这个病毒的困扰吧.症状:无法双击打开磁盘,提示脚本出错或缺少autorun.vbs脚本文件. 可用卡巴斯基等杀毒软件查杀,但是查杀的结果是系统的autorun也被一同删除.所以杀完后同样双击打不开磁盘.
/ F4 g, B7 L, @) V5 l7 O治标方法: 右键点击磁盘,选择资源管理器.
* }- o) k2 O: ~$ l' h. `5 R* b4 R* w 从地址栏选择磁盘.: a6 a* a9 p9 T
治本方法: 在桌面上新建一个记事本文件,打开,复制下列代码进去:
0 q, a' K4 S3 g' S* D. B0 o6 D4 [5 X @echo on
* ?! K, b t7 w0 z& `& O' gtaskkill /im explorer.exe /f
, D( Q0 L! S5 a8 Ktaskkill /im wscript.exe6 f! l7 H% b" \' q' L3 e
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
2 n% ?: o4 o% ^$ g9 I0 `start reg import kill.reg
; f$ u9 O# y& adel c:\autorun.* /f /q /as
: h& p3 z3 b- J x0 }5 |1 k( [del %SYSTEMROOT%\system32\autorun.* /f /q /as6 [7 c, a( _" \
del d:\autorun.* /f /q /as
( H+ D5 @* ]0 z& \" K0 ndel e:\autorun.* /f /q /as- I' `0 P/ h4 K4 F0 r
del f:\autorun.* /f /q /as, e& w, k# T8 k( s, E
del g:\autorun.* /f /q /as' Q) `+ W0 M9 l1 X2 T! t% q" F
del h:\autorun.* /f /q /as
, L; E( a5 `# C9 D# u6 S% j* H0 @del i:\autorun.* /f /q /as$ n0 ]- V* K/ e* f! P5 k6 `# ]7 p
del j:\autorun.* /f /q /as4 d2 l9 ~' C! o* W2 c+ X" H
del k:\autorun.* /f /q /as
- m5 \0 O8 b* q4 f" Bdel l:\autorun.* /f /q /as8 q: s3 p" b- C$ u
start explorer.exe) i; T: I. [, M s8 \) r$ p
6 s7 Y' S8 I* C( I# w然后保存为 .bat文件 ,后双击文件运行,短暂闪屏后即可正常打开磁盘了.7 b/ {3 J. r4 p
这也是我上论坛找到的一种解决方法,希望对大家会有用.
" Q7 m, \" W" O, g大家有好的解决方案和其他电脑技巧欢迎和我交流哦.2 i. B! ]* F( E* t
今天开始我也会多多分享我的一些心得.希望大家支持.
5 P4 a2 c$ D( @$ p! k' `- ~- A
0 w6 p2 F% |) U( v) Y$ I% B$ b6 L% D/ h1 V! t. J# l
下面是病毒的专杀工具,解压后双击运行,会出现DOS运行框,然后屏幕上图标全部消失,过一会儿会恢复,杀毒完成. |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-5-6 13:43:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-5-6 15:05:57
发表于 2007-5-6 16:45:04
楼主