注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

手札' 飞翔的石头

兔年 新兔样

 
 
 

日志

 
 

暴风1号  

2010-01-26 16:07:23|  分类: 积累点滴 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

上午女朋友跟我说电脑中病毒,所有分区的文件夹全部变成了快捷方式!所有东西都打不开。

乍一看,全部属性里都有以.vbs为后缀的文件名。 改回属性后可以打开,但仍然是快捷方式。

于是网上搜索 发现这个是一种病毒“暴风1号”,是最近比较肆虐的病毒,据介绍称,“暴风一号”病毒不同于目前主流病毒,不进行盗号、下载木马等常见病毒行为。 (原话http://tech.sina.com.cn/s/2010-01-05/14581202025.shtml

它是一个由VBS脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。

 有网友称 ghost还原对这种病毒也没有效果。。。

 

以下是解决方法:

我的解决方法:1。 Wsyscheck 修复构建安全环境,修复隐藏文件,禁止磁盘自动播放。

                        2。 专杀:暴风一号(BoyFine)U盘病毒专杀工具 BoyFineKiller。关联工具:beikescan贝壳木马专杀。

               在这里就恢复了系统的稳定性了,安全了!

                 接下来清理下垃圾和做下优化,像360,金山,和鲁大师,都有一键清理,一键优化之类的功能。易操作!

 

下面附上网友的方法: (源地址http://bbs.sycatv.net/archiver/tid-209586.html

方法一:

1、光盘启动,重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)

2、关闭所有驱动器的自动运行功能,这步非常重要。

在组策略中将自动运行这项功能关掉:在"运行"中输入"gpedit.msc"打开组策略,依次展开"计算机配置->管理模板->系统",在右边找到"关闭自动播放"双击打开,选择"已启用",在"关闭自动播放"下拉列表中选择"所有驱动器",单击确定即可。

在每个盘的根目录下面建一个文件夹,重命名为"autorun.inf",将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建autorun.inf这个文件).

3、用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些可以全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了)

4、到这个网站:[url]http://www.rensoft.com.cn/zhuansha/kill_folder.html[/url]  下载这个专杀工具可恢复所有被隐藏的内容。

经本人使用使用,证明此法简单可行。

方法二:不用重装系统也能彻底清除此病毒的方法,操作比较专业。是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式,病毒的问题就可以解决了!!很管用的,大家遇到这种情况可以试试!用光盘进winpe(如果硬盘上装有winpe则开机时选择进入winpe即可),搜索*.vbs(*表示任意文件名),将搜索出来的结果全部删除。
  其实,这病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。

      此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。

       此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。

       用Tiny,将wscript.exe由信任组转入特殊组,设置文件访问及注册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然后,再双击“我的电脑”,此毒不能复活,且“我的电脑”以及各级目录可以顺利打开。

    方法三:手工彻底杀灭此毒的流程应该是:

1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
 
 
相关资料阅读:
 

 

  评论这张
 
阅读(55)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017