|
|
最近流行的一种病毒& C5 e+ v7 w3 D
下面是手工杀的办法,有点麻烦.大家可以直接看附件的.批量处理文件.运行下就可以了.
" P) _, m! T: `1 g( `
9 ]" U; m l5 I" {' a& P4 [, q中此病毒之后,症状为双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件" ,但是通过在地址栏输入"C:\"路径可以打开. 当插上U盘立刻提示"无法打开软盘"并且在同时U盘也已经被感染,打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
$ p& o* V( @" }5 d5 b7 T其中autorun.inf文件内容如下: 0 y4 a- j5 `* f( q- N
autorun风暴 9 \3 z4 Y8 X1 K" Q) o/ T# D
[autorun]
, u3 u, k4 p9 P9 zopen= t; Q) N2 B' k, D1 d6 |
) `4 v L/ l3 ^0 U% W' Cshell\open=打开(&O) + \0 y0 R+ }! B) j9 v
shell\open\Command=WScript.exe .\autorun.vbs # w5 @8 Q' U: u" {- h1 `0 K" T
shell\open\Default=1
# j: \& ? W* E V ]shell\explore=资源管理器(&X) . ?, v8 z- K* c1 z. A! [
shell\explore\Command=WScript.exe .\autorun.vbs . Y. r/ ^7 F/ Y$ {' u
( T5 ]' r* z0 d/ M5 R. s6 B: p
第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了
& ]1 V' k/ f( `0 H' G K然后停止wscript那个进程停止脚本调用
; G8 a+ e% Z, e3 w( {然后把各盘及system32里面的7个文件全部删掉 2 y6 b( I4 `1 \
重新启动 ! X% ]) X6 U H+ N! i$ |) A: C3 W+ d
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马 ( ~0 T+ l" }1 c5 R1 F5 _. @* s
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复
( j, {& P) p3 b# Z- ~ \& R! F* U
- h7 @8 y. j. M9 y1 A再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看,
4 X( Y1 a6 S2 z0 t0 z6 \ X
5 h8 @4 q j6 P8 W最后附上解决方法,大家可以按照此办法去清除病毒。
' l& a6 M( r" S% B' ]
) v3 s4 [; j6 r0 b' v0 z# d& w1、打开注册表,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
# x! c6 A: O: g6 K0 q2 ?0 f"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除,
" r m3 C/ g0 l+ ] ^2、打开任务管理器,中止进程“wscript.exe” ' c, U, B N: U) j$ O8 o2 k
3、修改目录属性,以查看系统隐藏文件,不要用缩略图, ?% Q! {* ]$ u t; p, H3 |
4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件, . l( q- L0 n" R* F/ q! o7 _
5、重新启动电脑 and bless! , }) ?) q9 [* M- H
PS:操作过程中不要双击磁盘根目录,以免激活autorun文件。
+ O ?. y/ O) _' J1 v) [: O+ Y! G4 \! G; b" |# T" G2 v
以上是网上有朋友介绍的手工杀毒,其实我杀此病毒很简单,把进程结束之后,直接搜索“autorun”,自己的电脑自己知道,多出来了几个文件,当然都是病毒了,直接删除就行了,最后进入注册表删除那个建值就可以了。' N; ]# P6 y& u( s
, _% v- A3 _$ ]/ P$ a) e
在网上找了找,已经有人写出批处理文件,可以方便的专杀这种病毒. 软件的来源已经找不到了,在此感谢这些电脑卫士!
; R1 |! m! L Q! j9 ^1 ^( W5 t) z2 J4 s: M) {
关于autorun.vbs病毒的修复办法0 E5 U( U( l8 Y5 K; X! H: x
最近好多朋友找我修理电脑的一些小毛病,得到了很多宝贵的经验,拿出来给大家分享.最近相信大家都有受到过autorun这个病毒的困扰吧.症状:无法双击打开磁盘,提示脚本出错或缺少autorun.vbs脚本文件. 可用卡巴斯基等杀毒软件查杀,但是查杀的结果是系统的autorun也被一同删除.所以杀完后同样双击打不开磁盘.; q5 z4 w1 g) q
治标方法: 右键点击磁盘,选择资源管理器.
5 ?8 j6 h( m& _2 v d p7 w# t& x0 j 从地址栏选择磁盘.' c# d$ o' ]# A `* l
治本方法: 在桌面上新建一个记事本文件,打开,复制下列代码进去:+ A O* M2 Z$ o, R( j6 M5 Y, E2 s
@echo on
7 ] `5 e9 E" b: ktaskkill /im explorer.exe /f9 V' H5 g- f4 L+ D# a5 a
taskkill /im wscript.exe
4 d2 f2 d) \1 xstart reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f' L8 l/ k% I/ W; w5 s" E9 `, t% [
start reg import kill.reg
1 `: O0 a. r+ w% X' Fdel c:\autorun.* /f /q /as5 K. w: P0 `& l4 q$ P# e
del %SYSTEMROOT%\system32\autorun.* /f /q /as* `6 f9 z2 }, g$ E: T& c
del d:\autorun.* /f /q /as1 A7 D2 G, @' E- K7 l+ W, m7 k( v! j
del e:\autorun.* /f /q /as
5 I7 u& K6 h% A& zdel f:\autorun.* /f /q /as
~. [ s- q P+ t5 W3 K# ]6 Tdel g:\autorun.* /f /q /as
7 m) D2 B8 p) L, @. i% \- V. \6 udel h:\autorun.* /f /q /as
$ p- t- r$ [" `- s9 Odel i:\autorun.* /f /q /as/ i1 ]- R @; z8 V6 s
del j:\autorun.* /f /q /as3 B |! P0 c4 f0 r% y) s
del k:\autorun.* /f /q /as
; ^' H( X% ~$ a9 F' z% ]& Adel l:\autorun.* /f /q /as8 L2 |" X% |; T% ~
start explorer.exe
) x( T* b, y+ U( S) e% d
7 v n% T+ Y/ v* _# f5 l4 U然后保存为 .bat文件 ,后双击文件运行,短暂闪屏后即可正常打开磁盘了.
4 [. Q6 B! C0 m这也是我上论坛找到的一种解决方法,希望对大家会有用.
) Z2 p0 e6 V- E! }' t' f大家有好的解决方案和其他电脑技巧欢迎和我交流哦.
) t( `8 S) b3 `% K3 {今天开始我也会多多分享我的一些心得.希望大家支持.
( E6 K# ~5 M$ F4 G: u. ]5 U6 b, z! Q9 ^9 m! f0 P4 S: k
' Q2 }/ f# e6 [- s5 @# Y
下面是病毒的专杀工具,解压后双击运行,会出现DOS运行框,然后屏幕上图标全部消失,过一会儿会恢复,杀毒完成. |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-5-6 13:43:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-5-6 15:05:57
发表于 2007-5-6 16:45:04
楼主