|
|
最近流行的一种病毒6 o+ C2 B) q9 L
下面是手工杀的办法,有点麻烦.大家可以直接看附件的.批量处理文件.运行下就可以了.! i+ v$ C% E; m0 w
& y4 B9 G; M/ v( C2 k中此病毒之后,症状为双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件" ,但是通过在地址栏输入"C:\"路径可以打开. 当插上U盘立刻提示"无法打开软盘"并且在同时U盘也已经被感染,打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
3 O0 V/ U* a( X4 a+ }6 Y7 k其中autorun.inf文件内容如下:
0 K- l9 k7 P) n# Rautorun风暴
3 b$ O" Q) k9 R: C[autorun]
w( F+ }9 a- P) fopen=
+ O" A/ t' ]. X9 n1 ~1 }, \
C* h, B9 [$ R7 s0 D$ eshell\open=打开(&O) 4 u1 \; P' i3 z; t) P; Q$ F0 t% X# F* M
shell\open\Command=WScript.exe .\autorun.vbs
$ n0 i. a( t# _: p1 V+ x" J. \6 }3 l) Pshell\open\Default=1
# m7 B7 q# L/ j& Rshell\explore=资源管理器(&X) % n) U- o i+ t: e/ _, [
shell\explore\Command=WScript.exe .\autorun.vbs : x" s& _0 K$ C0 c: K8 m
# K( n5 y2 j6 A. x" f& B
第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了 * r" U& C# I# ? Y$ [9 f1 W# U
然后停止wscript那个进程停止脚本调用 2 E) t' c* k8 c5 v4 B# P; |
然后把各盘及system32里面的7个文件全部删掉 6 i" u5 t( N( [! z9 f- T# D
重新启动
* L2 S- a6 w& k4 h这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马 ) G. R# s o+ |
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复
9 P6 l- G2 O# b; a2 n4 d' s3 B
' c W. J) u3 }% Y8 ]& y再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看, 0 I8 R J, [1 M7 `, d
6 u' c6 \6 Q* b4 Y. N
最后附上解决方法,大家可以按照此办法去清除病毒。; ~' p3 _0 g- s. |) W
7 g. B0 ?( Q+ P2 d6 I
1、打开注册表,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
' Y# n. p; e% M4 u' i& I"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除, # y. v: u. ^. Q
2、打开任务管理器,中止进程“wscript.exe”
4 ]8 U* U6 c$ n# P- E( F7 ^3、修改目录属性,以查看系统隐藏文件,不要用缩略图,
& G3 ]& Y0 _( _& ~6 n4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件,
9 i& k% C" E% `8 u6 ^5、重新启动电脑 and bless!
6 j( A5 ^" p# mPS:操作过程中不要双击磁盘根目录,以免激活autorun文件。1 T# \! M3 L0 q, X' v* p
& U* {" S9 z, a- G h' @' Z0 ~以上是网上有朋友介绍的手工杀毒,其实我杀此病毒很简单,把进程结束之后,直接搜索“autorun”,自己的电脑自己知道,多出来了几个文件,当然都是病毒了,直接删除就行了,最后进入注册表删除那个建值就可以了。
9 f6 E5 i% r) w+ G% X5 A
: n* d7 W% B0 u9 t4 c4 h在网上找了找,已经有人写出批处理文件,可以方便的专杀这种病毒. 软件的来源已经找不到了,在此感谢这些电脑卫士!/ G7 u# R; r. y- S+ e1 ~
; ^5 Y$ r( a, y6 d: K+ ^5 J0 M
关于autorun.vbs病毒的修复办法
4 }: `" N5 m; M 最近好多朋友找我修理电脑的一些小毛病,得到了很多宝贵的经验,拿出来给大家分享.最近相信大家都有受到过autorun这个病毒的困扰吧.症状:无法双击打开磁盘,提示脚本出错或缺少autorun.vbs脚本文件. 可用卡巴斯基等杀毒软件查杀,但是查杀的结果是系统的autorun也被一同删除.所以杀完后同样双击打不开磁盘.
; O9 y' S% g8 ^+ t治标方法: 右键点击磁盘,选择资源管理器.& @; r1 c5 S) w* L* X# u9 d) m6 W
从地址栏选择磁盘.
1 Z- F) X1 T# X; B9 v# Y治本方法: 在桌面上新建一个记事本文件,打开,复制下列代码进去:( _% V# G: L- {0 i0 _1 q# K
@echo on
u, K5 Y! e/ {6 F* y. Staskkill /im explorer.exe /f; ~8 n% w9 ?3 I8 o
taskkill /im wscript.exe
8 O$ s6 @2 H5 m6 ^) Mstart reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f8 b+ t( }; d$ m# B
start reg import kill.reg6 f7 A! W& R3 l! D
del c:\autorun.* /f /q /as4 R0 F( i4 e b$ A! \
del %SYSTEMROOT%\system32\autorun.* /f /q /as
; M- E0 P: b3 A+ Z) Idel d:\autorun.* /f /q /as
5 h# D7 L) e- i1 m6 pdel e:\autorun.* /f /q /as8 G1 l/ ^( k$ f x7 |2 f) H
del f:\autorun.* /f /q /as
( I/ W) [' o/ D2 ]del g:\autorun.* /f /q /as
. C" G1 P" X6 ~2 E) |$ k. }del h:\autorun.* /f /q /as7 \3 E& X& S/ Q( ?9 `/ }
del i:\autorun.* /f /q /as# U& m& x H2 Z
del j:\autorun.* /f /q /as% H; e! e* |3 Z/ B; c: N3 l9 {( C8 ^
del k:\autorun.* /f /q /as. e! Q- b2 Q* j6 I
del l:\autorun.* /f /q /as
1 o) ~, ? z7 X6 {4 B; rstart explorer.exe1 X$ `1 L+ J. v: S7 E- ~
s( b' |) ^" L
然后保存为 .bat文件 ,后双击文件运行,短暂闪屏后即可正常打开磁盘了.
: j, C( ~7 p& k; s; v u这也是我上论坛找到的一种解决方法,希望对大家会有用.
# Z) V3 d4 g5 W" q" P- x大家有好的解决方案和其他电脑技巧欢迎和我交流哦.. d, N( |* X2 h- S. U6 I
今天开始我也会多多分享我的一些心得.希望大家支持.
4 ` f- W J% ^1 }. D4 k: n/ b( ?& y! s: t; P1 Q
& C! ?. }3 N) g6 x0 S+ R5 l下面是病毒的专杀工具,解压后双击运行,会出现DOS运行框,然后屏幕上图标全部消失,过一会儿会恢复,杀毒完成. |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-5-6 13:43:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-5-6 15:05:57
发表于 2007-5-6 16:45:04
楼主