|
|
最近流行的一种病毒/ @- j) B- h, k! T, v2 u' n
下面是手工杀的办法,有点麻烦.大家可以直接看附件的.批量处理文件.运行下就可以了.1 i9 _1 [5 a s( N1 b7 ~0 {
# I0 H" n- n0 n, n中此病毒之后,症状为双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件" ,但是通过在地址栏输入"C:\"路径可以打开. 当插上U盘立刻提示"无法打开软盘"并且在同时U盘也已经被感染,打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
* v! Y! c$ s" M. _其中autorun.inf文件内容如下: 2 Z: V) ]0 @: Y% k* j6 q8 j3 g% L
autorun风暴 ! S* r' `8 w/ h, T% ~8 ]
[autorun]
- u8 c) T, e J# u, |% {open= # m% P4 G$ q* `" s
2 L0 ~4 }& t4 }shell\open=打开(&O) % Y1 y8 Y0 c( l6 z
shell\open\Command=WScript.exe .\autorun.vbs * E2 {2 G! E# A/ R. Z- U2 a
shell\open\Default=1 ' w3 H* E" f4 Q/ v5 I
shell\explore=资源管理器(&X) . J \8 V9 U4 o: D6 U& o- d
shell\explore\Command=WScript.exe .\autorun.vbs ! z- w6 w$ Y& y9 q3 u" a
e9 p' Q) Q( Y9 r! [
第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了 1 Q! T0 X) J$ ^ r7 I3 W& a" v
然后停止wscript那个进程停止脚本调用
. c! l) [( t& T" F% ] x3 E% b: G然后把各盘及system32里面的7个文件全部删掉
o' q5 U& L7 s. V重新启动 & E# O' H5 J! Y% I/ n) k. L
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马 E* z5 w& k5 I9 H% w8 ^
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复
$ Q7 {( O" B+ H4 r, G/ {) ?) o6 p( ]& f8 g1 ?
再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看, 9 n2 Y* H) L8 B4 R
s/ c0 A4 h1 D3 z# P% n' X
最后附上解决方法,大家可以按照此办法去清除病毒。
$ l6 Q1 L1 T4 h3 G
7 F2 }3 U# f0 j0 _7 v! c6 r1、打开注册表,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
R" e. {) h) T0 @: L3 ~"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除, 3 q& U7 i u1 s+ I/ c9 Q9 K; Q
2、打开任务管理器,中止进程“wscript.exe” 0 S5 ?, N5 |' L' {' m
3、修改目录属性,以查看系统隐藏文件,不要用缩略图, % b; p# q3 i5 Q9 x9 \* Y
4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件,
; e, W- o5 A5 x g5、重新启动电脑 and bless!
# n: d0 Z+ z( c$ p- r7 b iPS:操作过程中不要双击磁盘根目录,以免激活autorun文件。
' g: G6 C5 S! w. F- ]+ G# M
: O: O, F# c4 l7 k0 x/ ]+ p0 @以上是网上有朋友介绍的手工杀毒,其实我杀此病毒很简单,把进程结束之后,直接搜索“autorun”,自己的电脑自己知道,多出来了几个文件,当然都是病毒了,直接删除就行了,最后进入注册表删除那个建值就可以了。9 X3 P3 p) C, I4 {2 u0 | J, o
& ]/ v( N) a5 O+ }' `3 n' H6 ]/ I+ x: A
在网上找了找,已经有人写出批处理文件,可以方便的专杀这种病毒. 软件的来源已经找不到了,在此感谢这些电脑卫士!
* @, v7 `# M% _) l/ \" a: P2 a' @0 d1 t) O' |2 v
关于autorun.vbs病毒的修复办法
" V3 ?" L- b7 d+ [8 `. S; e) ]4 J 最近好多朋友找我修理电脑的一些小毛病,得到了很多宝贵的经验,拿出来给大家分享.最近相信大家都有受到过autorun这个病毒的困扰吧.症状:无法双击打开磁盘,提示脚本出错或缺少autorun.vbs脚本文件. 可用卡巴斯基等杀毒软件查杀,但是查杀的结果是系统的autorun也被一同删除.所以杀完后同样双击打不开磁盘.- }$ a$ P% E x) ~9 g
治标方法: 右键点击磁盘,选择资源管理器.# `' a0 Y! ^( Q5 l
从地址栏选择磁盘.
; ~: { _# k, E$ g5 o/ Q治本方法: 在桌面上新建一个记事本文件,打开,复制下列代码进去:
; L2 x6 S- O2 ~1 V( ~ @echo on3 E8 P" ~9 q: y- h1 I
taskkill /im explorer.exe /f9 t" ]9 V/ w! o B# n X( w
taskkill /im wscript.exe# }) ?: A d4 |5 c2 g
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f- N) A# i" J0 O9 K
start reg import kill.reg7 p5 ]% R2 {' z: _
del c:\autorun.* /f /q /as
+ k8 B! [; L/ t, q) Vdel %SYSTEMROOT%\system32\autorun.* /f /q /as
1 a7 ~6 f: t$ Q" ?) z d7 i! q* `del d:\autorun.* /f /q /as
! R7 H0 A! d M3 o2 `4 w! p1 B; ]del e:\autorun.* /f /q /as
$ u9 `7 S$ [3 ?# ` ldel f:\autorun.* /f /q /as5 } y1 x' X& m9 b
del g:\autorun.* /f /q /as
6 |) a4 g$ H9 x7 A6 `del h:\autorun.* /f /q /as9 `; Q, L, t; e) h8 H
del i:\autorun.* /f /q /as7 ~* x: Z; o8 W% F
del j:\autorun.* /f /q /as6 j8 o/ q3 d( V; f; y
del k:\autorun.* /f /q /as* j; ~+ \1 E/ C2 K: f' f
del l:\autorun.* /f /q /as
3 Z/ A Q$ a( ~. c* W1 M- pstart explorer.exe
( K2 O S6 m+ u* v; ?
; H. Z& h, @2 ]# C" c/ v然后保存为 .bat文件 ,后双击文件运行,短暂闪屏后即可正常打开磁盘了.
6 }9 @4 u+ E' U/ f3 k+ U, I这也是我上论坛找到的一种解决方法,希望对大家会有用.2 n5 t7 E8 A4 S/ V h1 O2 D4 V' W
大家有好的解决方案和其他电脑技巧欢迎和我交流哦.$ j% J7 ]1 O- T
今天开始我也会多多分享我的一些心得.希望大家支持. 6 o* J" n5 ]" j
0 p. k2 v1 j# J6 @$ E
/ R9 D- R4 m) U4 T; q0 `下面是病毒的专杀工具,解压后双击运行,会出现DOS运行框,然后屏幕上图标全部消失,过一会儿会恢复,杀毒完成. |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-5-6 13:43:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-5-6 15:05:57
发表于 2007-5-6 16:45:04
楼主