|
最近流行的一种病毒/ M% O" s8 q5 h N
下面是手工杀的办法,有点麻烦.大家可以直接看附件的.批量处理文件.运行下就可以了.1 U5 f( r, K0 T
& Y- t0 c; X# A: ?5 d- }
中此病毒之后,症状为双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件" ,但是通过在地址栏输入"C:\"路径可以打开. 当插上U盘立刻提示"无法打开软盘"并且在同时U盘也已经被感染,打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
8 a7 b6 J1 s' J. |3 E+ _其中autorun.inf文件内容如下: / U; } m6 c* g' w3 y
autorun风暴
) j1 h: d% s, ]! C( ?[autorun] ( n+ t7 E9 b l& m9 o% Y, o, E
open=
6 r) J# _/ q6 K5 c" r) h1 O# i6 f' p# s% y; i* N
shell\open=打开(&O)
* q `& @2 [" sshell\open\Command=WScript.exe .\autorun.vbs
' a" X+ e- ^6 i3 A% [5 Nshell\open\Default=1
$ {' l2 H& W' P4 Zshell\explore=资源管理器(&X) 3 H; Z" `2 w$ ]( Z* e7 `% D
shell\explore\Command=WScript.exe .\autorun.vbs % H3 u1 X9 d4 ~* z( n1 a/ f h
$ N- [# V7 B( _" U2 c% d* v1 V
第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了
; a& |: f6 i8 P6 f- k然后停止wscript那个进程停止脚本调用
2 J# f' p8 L; P, k, c* V然后把各盘及system32里面的7个文件全部删掉 ; E2 _( i1 x) G7 u! C2 ^2 {
重新启动 $ a. z+ Z8 X3 i6 W
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马 - p3 }, f; ^0 {% q/ C
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复 / M. r" v5 V I0 C( Y0 t9 P
8 n6 x. f& i7 K; ~: U/ y
再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看, 1 a7 h9 H6 |, C7 E4 f0 W# U' W
2 m. j3 ?" P$ O5 b* F最后附上解决方法,大家可以按照此办法去清除病毒。& X( F( ]) }: @) V( H& j: z
: O9 U& k9 ?6 e6 P0 G4 V1、打开注册表,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 6 k- j0 G" j8 `* _/ R& c' @. Y7 O
"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除,
4 R( B9 q) y/ Q2、打开任务管理器,中止进程“wscript.exe”
3 s4 B1 Q$ X3 u& Y5 C. a1 `3、修改目录属性,以查看系统隐藏文件,不要用缩略图,
" L+ C) C! P" S" Q& t/ I4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件,
3 \ i2 Y' E7 n. ]6 C5、重新启动电脑 and bless!
( r! W3 d& Y( ^- y, q5 q* t0 XPS:操作过程中不要双击磁盘根目录,以免激活autorun文件。' n; f8 R" p5 b7 Q5 \& b
! W! t6 g* X @2 f/ z/ `, S
以上是网上有朋友介绍的手工杀毒,其实我杀此病毒很简单,把进程结束之后,直接搜索“autorun”,自己的电脑自己知道,多出来了几个文件,当然都是病毒了,直接删除就行了,最后进入注册表删除那个建值就可以了。
3 s/ D0 ?3 h4 a
5 [4 _8 S$ }! M7 ~0 R在网上找了找,已经有人写出批处理文件,可以方便的专杀这种病毒. 软件的来源已经找不到了,在此感谢这些电脑卫士!
8 o9 t) I6 W, C4 {' q0 h7 ^6 l e$ }: H+ c
关于autorun.vbs病毒的修复办法- M! x( Z! m$ W# n
最近好多朋友找我修理电脑的一些小毛病,得到了很多宝贵的经验,拿出来给大家分享.最近相信大家都有受到过autorun这个病毒的困扰吧.症状:无法双击打开磁盘,提示脚本出错或缺少autorun.vbs脚本文件. 可用卡巴斯基等杀毒软件查杀,但是查杀的结果是系统的autorun也被一同删除.所以杀完后同样双击打不开磁盘.7 X+ }$ Z, ?* { p; K. l0 m) P2 h
治标方法: 右键点击磁盘,选择资源管理器.
2 G8 Z) [3 X6 v! p' D U9 ?9 ] Y% \ 从地址栏选择磁盘.
7 B- [, r+ {$ N2 [% n2 O. Y" o治本方法: 在桌面上新建一个记事本文件,打开,复制下列代码进去:
% |$ Q; t& G: J3 g+ ?$ v" ~/ z @echo on" Y' {3 i& ~( G) v) d0 g
taskkill /im explorer.exe /f
0 K. _9 g: o1 T8 [+ j9 E" ~taskkill /im wscript.exe: ~% u8 f8 L# Y; ?- z
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f# U& X( @7 Y# o9 J5 ^. F
start reg import kill.reg7 [' l' j# x6 ?% M- L
del c:\autorun.* /f /q /as: o! u, n* {/ J1 Q& M+ k5 n" t/ j
del %SYSTEMROOT%\system32\autorun.* /f /q /as
- w* Q- r( b- n- Edel d:\autorun.* /f /q /as
* F( o0 J! F i0 H' }& L& a/ sdel e:\autorun.* /f /q /as
$ F) \7 k: O! c- g' z' c9 Edel f:\autorun.* /f /q /as
" ~. R9 ]2 K- @9 V0 bdel g:\autorun.* /f /q /as0 U- n- n7 l+ _2 H
del h:\autorun.* /f /q /as" k/ ^: e6 X% I$ n7 X- A
del i:\autorun.* /f /q /as
+ ?; Z! {) y4 i' j% j' v" Zdel j:\autorun.* /f /q /as
Q) C7 ~( Y+ G/ m9 zdel k:\autorun.* /f /q /as" w0 j0 e: Q' ~8 _
del l:\autorun.* /f /q /as
! q% w- i# b: e. v0 W8 zstart explorer.exe, \4 S) t/ ]! `* k5 }
2 E8 Q1 ]6 |9 ]* C; t然后保存为 .bat文件 ,后双击文件运行,短暂闪屏后即可正常打开磁盘了.
0 U. B# g; [% {2 k. ~这也是我上论坛找到的一种解决方法,希望对大家会有用.% O/ V4 u& T3 P# P: g
大家有好的解决方案和其他电脑技巧欢迎和我交流哦.. P4 Z9 S; m0 Z
今天开始我也会多多分享我的一些心得.希望大家支持. / L1 C: ^; f e7 a0 y4 R1 e" d
' l5 Q6 Q v, n$ E: `: S4 N( O2 l" }
下面是病毒的专杀工具,解压后双击运行,会出现DOS运行框,然后屏幕上图标全部消失,过一会儿会恢复,杀毒完成. |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
评分
-
查看全部评分
|