爱华网机子又中毒了,这次中的是U盘病毒。前几天在九六设计室拷文件的时候发现他们那边机子上的word文档不能正常打开,当时也没怎么在意,等把东西拷到我的电脑里面的时候才发现大事不妙,终于不得不承认我又中标了。
先说说症状:
1.卡巴斯基不断的报警,有四五个病毒不断的复制,始终杀不完。在每个盘里新建一个antorun.inf文件夹才得以解决。
2.360杀毒软件没运行多长时间自动关闭。
3.病毒名中有vbs,杀完毒后删除的文件是administrator.vbs
4.启动项里有administrator.vbs
5.运行任务管理器,可以看到有wscript.exe进程,几秒钟后任务管理器自动关闭。
6.机子卡,像QQ这样的文件也会自动关闭。
做一下准备工作:
1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以).
2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
当然也可以直接查找到注册表中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL中的CheckedValue值改为1
3.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat).
@echo off
@echo 在其它任务管理器查(如:超级兔子)看时有wscript.exe程序
@echo PS: 在windows任务管理器中无法找到此程序
pause
@echo 下一步会结束桌面,属于正常,等查杀结束将会恢复!
taskkill /im explorer.exe /f
taskkill /im wscript.exe /t /f
reg deleteHKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerrun/va /f
@echo 请耐心等待,可能过程有点长....
del c:autorun.* /f /q /as
del %SYSTEMROOT%system32autorun.* /f /q /as
del c:.vbs /f /q /s /as
del c:.vbe /f /q /s /as
del c:wscript.exe /f /q /s
del d:autorun.* /f /q /s /as
del e:autorun.* /f /q /s /as
del f:autorun.* /f /q /s /as
del g:autorun.* /f /q /s /as
del h:autorun.* /f /q /s /as
del i:autorun.* /f /q /s /as
del j:autorun.* /f /q /s /as
del k:autorun.* /f /q /s /as
del l:autorun.* /f /q /s /as
@echo 请单击确定,以修复注册表!
call hidden.reg
copy wscript.exe %SYSTEMROOT%system32
start explorer.exe
@echo 病毒已经清理完毕:)
pause
批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中)关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出
4.将做好的的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中.
注意事项:
注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win文件管理器 或者在地址栏打开
1.开始运行后会出现桌面消失的现象,情况属于正常,等杀毒结束,会新建桌面.
2.删除自启动文件是可能有点慢,请耐心等候.
3.在删除wscript.exe文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件
4.在修复注册表是会提示是否加入,点确定即可.
步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了!
善后工作:
1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒)
方法:开始-运行-输入"gpedit.msc"打开策略组-找到:"用户配置-系统模板-系统"-单击系统在右侧找到"关闭自动播放"一项-右键单击点属性-选择"已使用"-下面的关闭自动播放选项选择所有硬盘-应用确定
2.如果u盘有毒的话.删除u盘的病毒
方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入. 其中X为u盘盘符
del X:.vbs /f /q /s /as
del X:.vbe /f /q /s /as
del X:autorun.* /f /q /s /as
3.建议重启
OKEY 要清除的病毒搞定了 呵呵:)
