U盘病毒-.
机子又中毒了,这次中的是U盘病毒。前几天在九六设计室拷文件的时候发现他们那边机子上的word文档不能正常打开,当时也没怎么在意,等把东西拷到我的电脑里面的时候才发现大事不妙,终于不得不承认我又中标了。
vbs病毒生成器先说说症状:
1.卡巴斯基不断的报警,有四五个病毒不断的复制,始终杀不完。在每个盘里新建一个antorun.inf文件夹才得以解决。
2.360杀毒软件没运行多长时间自动关闭。
3.病毒名中有vbs,杀完毒后删除的文件是administrator.vbs
4.启动项里有administrator.vbs
5.运行任务管理器,可以看到有进程,几秒钟后任务管理器自动关闭。
6.机子卡,像QQ这样的文件也会自动关闭。
做一下准备工作:
1.首先准备一个没有被感染的文件,为了恢复被病毒感染的程序(可以到其它机子上,安装盘里也有,上网下载也可以).
2.将如下代码复制到一个新建文本文档里.并改名为,用处是:修改被病毒破坏的显示系统隐藏文件的注册表
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
'Text'='@shell32.dll,-30499'
'Type'='group'
'Bitmap'=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
'HelpID'='shell.hlp#51131'
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced'
'Text'='@shell32.dll,-30501'
'Type'='radio'
'CheckedValue'=dword:00000002
'ValueName'='Hidden'
'DefaultValue'=dword:00000002
'HKeyRoot'=dword:80000001
'HelpID'='shell.hlp#51104'
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced'
'Text'='@shell32.dll,-30500'
'Type'='radio'
'CheckedValue'=dword:00000001
'ValueName'='Hidden'
'DefaultValue'=dword:00000002
'HKeyRoot'=dword:80000001
'HelpID'='shell.hlp#51105'
当然也可以直接查到注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值改为1
3.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat).
@echo off
@echo 在其它任务管理器查(如:超级兔子)看时有程序
@echo PS: 在windows任务管理器中无法到此程序
pause
@echo 下一步会结束桌面,属于正常,等查杀结束将会恢复!
taskkill / /f
taskkill / /t /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run /va /f
@echo 请耐心等待,可能过程有点长....
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del c:\.vbs /f /q /s /as
del c:\.vbe /f /q /s /as
del c:\ /f /q /s
del d:\autorun.* /f /q /s /as
del e:\autorun.* /f /q /s /as
del f:\autorun.* /f /q /s /as
del g:\autorun.* /f /q /s /as
del h:\autorun.* /f /q /s /as
del i:\autorun.* /f /q /s /as
del j:\autorun.* /f /q /s /as
del k:\autorun.* /f /q /s /as
del l:\autorun.* /f /q /s /as
@echo 请单击确定,以修复注册表!

%SYSTEMROOT%\system32\

@echo 病毒已经清理完毕:)
pause
批处理作用原理是:关闭程序(很多病毒喜欢加载到这个进程中)关闭病毒程序进程,删除其自启动项,删除病毒文件本体和被感染的文件删除各个硬盘自启动文件autorun.inf 修复系统隐藏注册表项重新拷贝一个未被感染的文件到system32文件夹中建立桌面程序退出
4.将做好的的和*.bat文件和文件放到同一个文件夹中.
注意事项:
注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win文件管理器 或者在地址栏打开
1.开始运行后会出现桌面消失的现象,情况属于正常,等杀毒结束,会新建桌面.
2.删除自启动文件是可能有点慢,请耐心等候.
3.在删除文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件
4.在修复注册表是会提示是否加入,点确定即可.
步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了!
善后工作:
1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒)
方法:开始-运行-输入'gpedit.msc'打开策略组-到:'用户配置-系统模板-系统'-单击系统在右侧到'关闭自动播放'一项-右键单击点属性-选择'已使用'-下面的关闭自动播放选项选择所有硬盘-应用确定
2.如果u盘有毒的话.删除u盘的病毒
方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入. 其中X为u盘盘符
del X:\.vbs /f /q /s /as
del X:\.vbe /f /q /s /as
del X:\autorun.* /f /q /s /as
3.建议重启
OKEY 要清除的病毒搞定了 呵呵:)

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。