文件夹变1K快捷方式病毒的处理办法!
文件夹变1K快捷方式病毒的处理办法
十一长假已近结束,拖着兴奋且有点倦怠的身体回到家,打开电脑,出人意料,所有盘里面的所有文件夹都被隐藏掉,出现一个同名的1K大小的快捷方式,费了近一个小时,方清理完毕!
首先笔者没有很莽撞的对系统进行重装,没有对所有的分区格式化,毕竟这种病毒是一种感染文件夹的文件型病毒,磁盘所有文件夹均虽被隐藏,但用DOS的CD命令依旧可以进去,所有的的文件夹及文件内容均没有发生实质性的破坏!
我用干净的系统盘引导电脑,用DOS的ATTRIB命令将各个盘的扩展名是vbs(主要集中在各根目录下和system、system32文件夹下)的A、S、H、R属性去掉,并删除,随后将各个盘根目录下的扩展名是LNK的文件全部删除。在各个分区的根目录下建立autorun.inf文件,并设置H、R属性,重启电脑,调出组策略将自动运行这行关掉(在"运行"中输入"gpedit.msc"打开组策略,依次展开"计算机配置->管理模板->系统",在右边到"关闭自动播放"双击打开,选择"已启用",在"关闭自动播放"下拉列表中选择"所有驱动器",单击确定即可)。当然,不很熟悉DOS命令的朋友也可借助WINPE引导电脑,而后查扩展名是VBS 和LNK的文件并删除,切记不能双击打开这些文件及快捷方式。重启电脑,问题即可解决!
vbs脚本病毒
此病毒感染电脑文件夹的原理是:通过AutoRun.inf指向*.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,预防这种病毒就是要禁用系统的自动运行功能。
不想麻烦的网友也可使用文件夹病毒专杀工具kill_folder2.12及kill_lnk来清除。
网上手工清除的方法
1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE 和移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F older\Hidden\SHOWALL "CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F older\Hidden\NOHIDDEN "CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除load键值项的数据。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论