《U盘病毒-vbs-wscript清除方法》由会员分享,可在线阅读,更多相关《U盘病毒-vbs-wscript清除方法(6页珍藏版)》请在金锄头文库上搜索。
1、U盘病毒-.vbs-wscript.exe机子又中毒了,这次中的是U盘病毒。前几天在九六设计室拷文件的时候发现他们那边机子上的word文档不能正常打开,当时也没怎么在意,等把东西拷到我的电脑里面的时候才发现大事不妙,终于不得不承认我又中标了。先说说症状:1.卡巴斯基不断的报警,有四五个病毒不断的复制,始终杀不完。在每个盘里新建一个antorun.inf文件夹才得以解决。2.360杀毒软件没运行多长时间自动关闭。3.病毒名中有vbs,杀完毒后删除的文件是administrator.vbs4.启动项里有administrator.vbs5.运行任务管理器,可以看到有wscript.exe进程,几秒
2、钟后任务管理器自动关闭。6.机子卡,像QQ这样的文件也会自动关闭。做一下准备工作:1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以).2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenText=shell32.
3、dll,-30499Type=groupBitmap=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,00HelpID=shell.hlp#51131HKEY_LOCAL_MACHINESOFTWAREMic
4、rosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30501Type=radioCheckedValue=dword:00000002ValueName=HiddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51104HKEY_LOCAL_MACHINESOFTWAREM
5、icrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30500Type=radioCheckedValue=dword:00000001ValueName=HiddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51105当然也可以直接查找到注册表中的HKEY_LOCAL_
6、MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL中的CheckedValue值改为13.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat).echo offecho 在其它任务管理器查(如:超级兔子)看时有wscript.exe程序echo PS: 在windows任务管理器中无法找到此程序pauseecho 下一步会结束桌面,属于正常,等查杀结束将会恢复!taskkill /im explorer.exe /ftaskkill /im wscript.ex
7、e /t /freg delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerrun /va /fecho 请耐心等待,可能过程有点长.del c:autorun.* /f /q /asdel %SYSTEMROOT%system32autorun.* /f /q /asdel c:.vbs /f /q /s /asdel c:.vbe /f /q /s /asdel c:wscript.exe /f /q /sdel d:autorun.* /f /q /s /asdel e:autorun.* /f /q /s /a
8、sdel f:autorun.* /f /q /s /asdel g:autorun.* /f /q /s /asdel h:autorun.* /f /q /s /asdel i:autorun.* /f /q /s /asdel j:autorun.* /f /q /s /asdel k:autorun.* /f /q /s /asdel l:autorun.* /f /q /s /asecho 请单击确定,以修复注册表!call hidden.regcopy wscript.exe %SYSTEMROOT%system32start explorer.exeecho 病毒已经清理完毕:)
9、pause批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中)关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf 修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出4.将做好的的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中.注意事项:注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win文件管理器 或者在地址栏打开1.开始运行后会出现桌面消失的现象,情
10、况属于正常,等杀毒结束,会新建桌面.2.删除自启动文件是可能有点慢,请耐心等候.3.在删除wscript.exe文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件4.在修复注册表是会提示是否加入,点确定即可.步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了!善后工作:1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒)方法:开始-运行-输入gpedit.msc打开策略组-找到:用户配置-系统模板-系统-单击系统在右侧找到关闭自动播放一项-右键单击点属性-选择已使用-下面的关闭自动播放选项选择所有硬盘-应用确定2.如果u盘有毒的话.删除u盘的病毒方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入. 其中X为u盘盘符del X:.vbs /f /q /s /asdel X:.vbe /f /q /s /asdel X:autorun.* /f /q /s /as3.建议重启OKEY 要清除的病毒搞定了 呵呵:)
