|
|
最近流行的一种病毒) q" }, c0 w7 E4 E& t5 y
下面是手工杀的办法,有点麻烦.大家可以直接看附件的.批量处理文件.运行下就可以了.
! f `" F3 R7 a" A/ A8 w. ^8 I5 D5 F- ?1 {; s2 B6 \* r
中此病毒之后,症状为双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件" ,但是通过在地址栏输入"C:\"路径可以打开. 当插上U盘立刻提示"无法打开软盘"并且在同时U盘也已经被感染,打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。 6 I2 `3 m% \0 Z' O& U
其中autorun.inf文件内容如下: $ y! U" o' D+ I) o" ^
autorun风暴
+ P6 j* L$ p/ m# E5 K[autorun] + g$ V: P' S( Q) }) r
open=
/ j8 s( w+ _0 Q3 p0 R, X u+ U" u2 r2 a
shell\open=打开(&O) L: W0 l! T0 b( P; t j9 n
shell\open\Command=WScript.exe .\autorun.vbs * S- U g% k+ |. ^
shell\open\Default=1 % w5 w- u- b) q
shell\explore=资源管理器(&X) 0 q5 S. o" ~3 f, d
shell\explore\Command=WScript.exe .\autorun.vbs
/ `8 P5 ^/ _) o7 K) R9 {
W# K6 ^0 _5 J: s8 _第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了 ! I. X* I! e. n7 k. Y
然后停止wscript那个进程停止脚本调用
0 z: R3 {# ?4 B3 w, P Q& j然后把各盘及system32里面的7个文件全部删掉 - b8 b8 x- X, L! D: A, H
重新启动
( a6 y& B. F2 H% X4 _这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马 / X) f3 l3 k9 B( s3 J: p( {
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复
- s) o$ ]; x4 S. W% w; t. R4 |, @# L/ g/ b9 d% W
再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看, $ \2 [" X9 g! D. E _# T
. k5 m# w1 k9 c最后附上解决方法,大家可以按照此办法去清除病毒。9 P* R% e& l- J3 ? r( D
q \7 f4 d5 \7 n, c1、打开注册表,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
+ Y" K. P( L7 F4 @1 @( K1 W"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除,
& Z) ?% [; ~" K$ R D+ k# @+ [% r: Z& s2、打开任务管理器,中止进程“wscript.exe”
2 X% z; J- t# D% V( o. q' w3、修改目录属性,以查看系统隐藏文件,不要用缩略图, + C! w; R: U+ n* L
4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件,
4 T, T$ a, T) L2 x' I8 z; X5、重新启动电脑 and bless!
% C( _' M; V8 A, W( ]9 PPS:操作过程中不要双击磁盘根目录,以免激活autorun文件。
1 }* f* S0 c$ s: x
, s* w7 ^1 s" T. e4 {以上是网上有朋友介绍的手工杀毒,其实我杀此病毒很简单,把进程结束之后,直接搜索“autorun”,自己的电脑自己知道,多出来了几个文件,当然都是病毒了,直接删除就行了,最后进入注册表删除那个建值就可以了。
- {3 r, {. K" _) d& q5 H2 ]" f5 V; v& |- c
在网上找了找,已经有人写出批处理文件,可以方便的专杀这种病毒. 软件的来源已经找不到了,在此感谢这些电脑卫士!
* R' r K* h( C, N" y- k8 Z. }
6 `7 ^* m. N2 l) E4 ]5 I0 ~关于autorun.vbs病毒的修复办法
' m5 a9 Q0 E5 d# Q* I5 A 最近好多朋友找我修理电脑的一些小毛病,得到了很多宝贵的经验,拿出来给大家分享.最近相信大家都有受到过autorun这个病毒的困扰吧.症状:无法双击打开磁盘,提示脚本出错或缺少autorun.vbs脚本文件. 可用卡巴斯基等杀毒软件查杀,但是查杀的结果是系统的autorun也被一同删除.所以杀完后同样双击打不开磁盘.
' Z4 d4 j W* _! H治标方法: 右键点击磁盘,选择资源管理器.8 R5 @$ }$ Y$ Q9 v. ]0 L6 }
从地址栏选择磁盘./ R: H3 B: ^% X* L
治本方法: 在桌面上新建一个记事本文件,打开,复制下列代码进去:4 P. t$ a* I6 z1 J
@echo on
! q3 M! _$ b9 n3 z" wtaskkill /im explorer.exe /f
6 _9 R0 j; p. [2 O+ @taskkill /im wscript.exe
; z1 [3 s2 t# L% L! J' ystart reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f+ u# z9 Q @! [( S' W1 O
start reg import kill.reg* ?( F( P. R! G6 f: {
del c:\autorun.* /f /q /as
3 n- b) J0 a! i% i8 T2 Udel %SYSTEMROOT%\system32\autorun.* /f /q /as; i, `( Q% a* V8 U- d
del d:\autorun.* /f /q /as
1 v' J! c" a4 f; rdel e:\autorun.* /f /q /as
5 M, B1 r6 r& g3 V3 ]del f:\autorun.* /f /q /as, z/ `2 P, u: c0 D# X! P( f1 I# X Z
del g:\autorun.* /f /q /as3 T7 B" |/ Q+ X: h# C: b
del h:\autorun.* /f /q /as0 n6 K& k$ [6 @% ~$ `
del i:\autorun.* /f /q /as) f n0 q. s' O
del j:\autorun.* /f /q /as" o! q- O0 m$ V- N
del k:\autorun.* /f /q /as; P4 B6 W; ]' {; ]! X0 K3 h4 X, n
del l:\autorun.* /f /q /as
4 t; B% u0 l: Sstart explorer.exe6 z8 [3 G# ]2 u' `; ^
8 G) N$ F1 u/ _/ r" m+ G
然后保存为 .bat文件 ,后双击文件运行,短暂闪屏后即可正常打开磁盘了.' {$ G: [8 _8 N6 J. ^. h2 K
这也是我上论坛找到的一种解决方法,希望对大家会有用.) z) I# |: ^" M* D* H
大家有好的解决方案和其他电脑技巧欢迎和我交流哦.+ [7 P: O/ k2 ^% y- g
今天开始我也会多多分享我的一些心得.希望大家支持.
% q* `1 ~; ^/ c" e! ]
, E6 B& e# a- q O- c7 ?$ a; D" V6 \) l, U1 Q; O
下面是病毒的专杀工具,解压后双击运行,会出现DOS运行框,然后屏幕上图标全部消失,过一会儿会恢复,杀毒完成. |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-5-6 13:43:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-5-6 15:05:57
发表于 2007-5-6 16:45:04
楼主