俗称“1KB快捷方式病毒”,学名叫做“VBS病毒”具体的症装及资料,此日志不再多说。
最近我公司此病毒相当狂,刚一开始实在没有办法,只好重装系统,试过卡巴斯基虽能杀此病毒,但同时会除掉操作系统文件,或某个脚本程序,它导致的直接后果就是毒没有了,“我的电脑”程序也打不开了!当然还存在其它现象,在此我就不一一列举了。到这里,目前我的解决办法只有重做系统。当然了,也没有这么绝对,如果本机没有装卡巴斯,我不建议重装再杀!这样会浪费你很多时间。后来从网上找了关于这个病毒的资料原理以及查杀方法,简单了试了一下,也没见什么效果。网上的方法是这样的,有兴趣的可以试一下:
手工删除些病毒方法(有点繁琐,没有认真试)
1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue"=dword:00000001
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN "CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
还有另一种方法:
用以下文字编成语言,保存为“.reg"的注册表文件。(我试过这个方法,没有成功,具体原因,尚未查清)
[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"
@="lnkfile"
[HKEY_CLASSES_ROOT\.lnk\ShellEx]
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"
@="{00021401-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
我当时试的现象就是:
!呵呵,不再多说。
其实解决这个病毒的方法很简单,我们都绕了个弯路,用“360系统急救箱”“360安全卫士”都可以扫描到,将扫描到的***清除即可见效。虽然免费,还有点效果。声明:我不是为360做广告!我很怀疑360,为什么这么多续费的杀软没起做用,一个360况且是免费,怎么跟专杀似的?我只是怀疑,我可什么都没说……呵呵,就说这么多
写了这么多,总结一点:360安全卫士可以解决"VBS"病毒!
若有不足之处,请指正