|
|
最近流行的一种病毒
- ~8 O3 o9 O% j. f( d6 T9 b3 `下面是手工杀的办法,有点麻烦.大家可以直接看附件的.批量处理文件.运行下就可以了.
?5 p7 Z3 D! ^4 M
0 H" P9 @2 x4 f中此病毒之后,症状为双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件" ,但是通过在地址栏输入"C:\"路径可以打开. 当插上U盘立刻提示"无法打开软盘"并且在同时U盘也已经被感染,打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。 2 R1 B) |; R9 \ w3 F
其中autorun.inf文件内容如下: 9 b( e" R9 V" l
autorun风暴 , v1 m2 `2 u% r8 _" n( p
[autorun]
+ V0 G9 i& l$ k; R" Z/ S! r* Aopen=
! ~$ K( h$ S) Z2 ~' y3 |3 W$ }8 L5 e5 W! Q7 n9 ]7 _
shell\open=打开(&O) 9 M, }" q) X8 `8 h- S0 }
shell\open\Command=WScript.exe .\autorun.vbs 4 l3 h& ~3 U; J. K' y- b! H2 a
shell\open\Default=1
; \! Q5 ~" V6 pshell\explore=资源管理器(&X) 0 }# o4 L& s" J# K
shell\explore\Command=WScript.exe .\autorun.vbs
' F) B* ^ @$ |' i4 v8 @7 V9 a G/ P# {3 l5 o) I9 P" C& X) P' C
第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了
: c" w' g+ |+ ^* d然后停止wscript那个进程停止脚本调用
8 z" i1 ^& H. l7 _$ _然后把各盘及system32里面的7个文件全部删掉 0 x0 i2 `8 W) z
重新启动 1 g& s3 X) h7 v% d7 P
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
1 P' o7 n4 n3 w$ u! J首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复
7 B1 w8 H+ \5 e. F. D. F! f
, ]5 g* i& Y: C& T" S: o1 i B9 X再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看, 5 s' _! f. u+ C. \' t& _
7 k$ j, o4 Z7 B( D6 o! J
最后附上解决方法,大家可以按照此办法去清除病毒。
6 ^# Y9 l, m1 I, O& j" [/ ?9 M$ X- v6 S" l% |+ D% T0 a
1、打开注册表,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 2 h6 B% ^! C3 j# g7 p* G
"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除, 2 v8 y }7 h6 m" h7 j9 z
2、打开任务管理器,中止进程“wscript.exe”
$ H5 r; w n7 l$ L# ~7 k7 g' y3、修改目录属性,以查看系统隐藏文件,不要用缩略图, 0 K1 B! k0 [; J1 U7 F* J
4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件,
4 Q1 }1 e, w/ E5 o& }; i2 A5、重新启动电脑 and bless! : j7 x+ }4 [1 s) n# d
PS:操作过程中不要双击磁盘根目录,以免激活autorun文件。+ B" j- B# X y: U" [; W
8 F9 ]2 P8 d y$ Y
以上是网上有朋友介绍的手工杀毒,其实我杀此病毒很简单,把进程结束之后,直接搜索“autorun”,自己的电脑自己知道,多出来了几个文件,当然都是病毒了,直接删除就行了,最后进入注册表删除那个建值就可以了。
4 n8 l9 Q" Y0 r9 k. Y" L, j
' {% n1 c$ h [8 s2 _在网上找了找,已经有人写出批处理文件,可以方便的专杀这种病毒. 软件的来源已经找不到了,在此感谢这些电脑卫士!
0 T: r: N0 m( @" Y: O
/ a3 b+ a0 o6 J* q/ v关于autorun.vbs病毒的修复办法
* M) f0 a2 v: |- }: X* H 最近好多朋友找我修理电脑的一些小毛病,得到了很多宝贵的经验,拿出来给大家分享.最近相信大家都有受到过autorun这个病毒的困扰吧.症状:无法双击打开磁盘,提示脚本出错或缺少autorun.vbs脚本文件. 可用卡巴斯基等杀毒软件查杀,但是查杀的结果是系统的autorun也被一同删除.所以杀完后同样双击打不开磁盘.
! ~% X- @6 |& f. A" O: g治标方法: 右键点击磁盘,选择资源管理器.
8 f- ]$ e9 w* T Y3 Y 从地址栏选择磁盘.& J5 K4 L. v! w- a$ J* U. X
治本方法: 在桌面上新建一个记事本文件,打开,复制下列代码进去:5 m* b! _/ Q: b8 g- b
@echo on# p9 m3 ]1 n! h! h2 B M5 S- s
taskkill /im explorer.exe /f
+ Y5 _% `5 E% d! g0 Ftaskkill /im wscript.exe* X8 [8 }& w& K0 K9 i
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
5 n- |/ F8 r ]! Kstart reg import kill.reg( {. C- E- D: }! q3 `1 F; L0 N H
del c:\autorun.* /f /q /as1 a" e' }; W0 I+ b) B2 W+ S/ r2 F
del %SYSTEMROOT%\system32\autorun.* /f /q /as, R1 }% C; b @( B' p+ j
del d:\autorun.* /f /q /as
m1 h% E# f6 Q6 cdel e:\autorun.* /f /q /as# C* X( i- d+ H4 M6 C
del f:\autorun.* /f /q /as' T* K/ q0 n0 ?& b2 j/ ?
del g:\autorun.* /f /q /as
; c: ^. W1 o9 c" Ldel h:\autorun.* /f /q /as/ X5 d( E0 J' N8 m' _
del i:\autorun.* /f /q /as: h4 z( u# ]- g7 @9 v8 @# Y+ }
del j:\autorun.* /f /q /as# o T r/ ]; P3 x6 D
del k:\autorun.* /f /q /as
! i6 n, W/ `2 H1 C9 vdel l:\autorun.* /f /q /as9 d8 ~8 O! q! k! ~, Q& i
start explorer.exe0 t( t( S$ k; j" A5 V
; ^2 v4 o6 K. y# T8 \8 X
然后保存为 .bat文件 ,后双击文件运行,短暂闪屏后即可正常打开磁盘了.
/ _9 O/ v) L" {3 m: } o这也是我上论坛找到的一种解决方法,希望对大家会有用.+ Q. ^* R3 G7 A3 o/ U* W$ i) s
大家有好的解决方案和其他电脑技巧欢迎和我交流哦.* t% Q: l$ D5 m) C# W
今天开始我也会多多分享我的一些心得.希望大家支持. ( D! W& }$ k8 y' A6 Y* u
; |* p q: P5 U R6 a" K1 n
4 Q2 U, y8 q! R$ L下面是病毒的专杀工具,解压后双击运行,会出现DOS运行框,然后屏幕上图标全部消失,过一会儿会恢复,杀毒完成. |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-5-6 13:43:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-5-6 15:05:57
发表于 2007-5-6 16:45:04
楼主