admin管理员组

文章数量:1530845

2024年6月29日发(作者:)

1KB文件夹快捷方式病毒清除专用附件

最近我校有几台电脑中了一种奇怪的病毒,它会将所有硬盘分区

根目录下的所有文件夹属性设为隐藏且不可更改,然后创建跟那些文

件夹同名的快捷方式,一旦用户点了这些快捷方式,病毒就会被激活。

病毒的文件名是:“.vbs”可通过U盘传播。

病毒会自动监视任务管理器进程,并且会自动将其终止。

此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹

被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹

后,病毒被激活。

这是个.vbs+数据流双料病毒(病毒的数据流部分只在NTFS分区

有效)。

此.vbs比较有个性:运行一次后,其MD5发生改变。RIS2010便

不再认识它了(据网友反馈:KIS也是一样——杀旧不杀新);但病毒

行为不变。

此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文

件.vbs、删除了system目录下的(实为系统程序

)、删除了被病毒改写过的系统程序(用备份替

换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又

复活了。如果用“软件限制策略”的散列规则禁止运行,

则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及

各级目录。

用Tiny,将由信任组转入特殊组,设置文件访问及注

册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然

后,再双击“我的电脑”,此毒不能复活,且“我的电脑”以及各级

目录可以顺利打开。

下面是我在网上找到的一款专杀工具(来自:)按照其中的说明

操作即可。

附:手工彻底杀灭此毒的流程应该是

1、先打开C:windowssystem32和

C:windowssystem32dllcache目录。然后在组策略中用散列规则禁止

运行。

2、用IceSword禁止进程创建。结束和

进程。

3、删除所有分区根目录下的.vbs和。删除

4、删除硬盘各个分区中所有1KB的.lnk

5、将WINDOWS目录下的和系统目录下的

移动到U盘或FAT32分区的硬盘分区(自动脱毒)。

6、删除WINDOWS目录下以及dllcache目录下的

、%system%目录以及dllcache目录下的

(被病毒附加了数据流)。

7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)

的那个和移回系统目录以及dllcache目录。

8、修改注册表,显示被隐藏的正常文件夹。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurre

ntVersionExplorerAdvancedFolderHiddenSHOWALL

"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurre

ntVersionExplorerAdvancedFolderHiddenNOHIDDEN

"CheckedValue"=dword:00000002

9、删除病毒加载项:

展开HKEY_CURRENT_USERSoftwareMicrosoftWindows

NTCurrentVersionWindows

删除load键值项的数据。

本文标签: 病毒分区文件夹禁止删除

版权声明:本文标题:1KB文件夹快捷方式病毒清除专用附件 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1719670864a790651.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。