快捷方式病毒的解决方法

《快捷方式病毒的解决方法》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、所有文件夹都变成1KB文件夹快捷方式病毒的解决方法2009-12-1213:12病毒说明：此病毒是这样运行的。通过AutoRun.inf指向*********.vbs这个脚本文件，来自动运行病毒，感染全部磁盘根目录，这些目录变成快捷方式，再指向那个vbs文件，以后要预防这种病毒就是要禁用系统的自动运行功能。此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后，病毒被激活。这是个.vbs＋数据流双料病毒。一系统设置的更改1系统文件关联修改txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他（当你打

2、开这些文件的时候，相当于执行了一遍病毒）eg：HKEY_LOCAL_MACHINESOFTWAREClassesbatfileshellopencommand%SystemRoot%System32WScript.exe"C:WINDOWSexplorer.exe:.vbs"%1%*2我的电脑打开方式被修改（双击我的电脑，同样相当于执行了一遍病毒）eg：HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellopencommand%SystemRoot%System32WScri

3、pt.exe"C:WINDOWSexplorer.exe:.vbs"OMCHKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellexplorecommand%SystemRoot%System32WScript.exe"C:WINDOWSexplorer.exe:.vbs"EMC3修改IE关联（原来挟持IE主页的方法，被此病毒用来启动自己）eg：HKEY_LOCAL_MACHINESOFTWAREClassesApplicationsiexplore.exeshellopenc

4、ommand%SystemRoot%System32WScript.exe"C:WINDOWSexplorer.exe:.vbs"OIEHKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand%SystemRoot%System32WScript.exe"C:WINDOWSexplorer.exe:.vbs"OIE二添加文件，主要是数据流文件到系统文件：（绕过安全软件的启动项目扫描，同时普通用户很难清除）eg%sys32%smss.exe－－－C:

5、WINDOWSsystem32smss.exe:.vbs%windir%explorer.exe－－－C:WINDOWSexplorer:.vbs%SystemRoot%systemsvchost.exe－－－C:WINDOWSsystemsvchost.exe此文件本质上就是wscript.exe，可以删除三病毒启动项目（这是病毒使用的常规启动项目，其实它不需要的）HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsLoad%SystemRoot%systemsvchost.exe"C:WINDOW

6、Ssystem32smss.exe:.vbs"四隐藏系统目录文件夹，并创建一个快捷方式指向原文件夹（这招毒啊，相当于windows之类的目录也会中毒）五其他（欺负其他杀毒软件，保护自己,恶作剧等）其他还包括创建保护进程（%SystemRoot%systemsvchost.exe)反复保护自己，通过NTSD命令结束某些进程此毒还有一个特点：如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe（实为系统程序wscript.exe）、删除了被病毒改写过的系统程序smss.exe（用备份替换）、删除了病毒创建的所有.lnk，当你双击“我的电脑”

7、时，病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行，则双击我的电脑后系统报错，自然不能通过正常途径打开各个分区及各级目录。解决方法：方法一：1、光盘启动，重装系统，不动除C盘外的其它盘。完成后不要做任何其它操作。（如果C盘、桌面有重要文件，请先备份）2、关闭所有驱动器的自动运行功能，这步非常重要。在组策略中将自动运行这项功能关掉：在"运行"中输入"gpedit.msc"打开组策略，依次展开"计算机配置-