进入安全模式,在运行中输入MSConfig,到启动选项卡,把和VBS有关的全部取消
然后显示所有文件包括系统文件,搜索所有VBS拓展名的文件,以及每个分区下的autorun.inf文件,全部删除。
常见的VBS病毒
一、查杀蠢乱游此毒的关键是禁止c:\WINDOWS\system32\wscript.exe运行。wscript.exe是系统程序,不是病毒。但它是此毒运行的必要条件。
禁止wscript.exe的办法有:
1、在“软件限制策略”中禁掉c:\WINDOWS\system32\wscript.exe(图1)
2、将I386、dllcache、system32三个文件夹中wscript.exe的后缀去掉。这时,“windows文件保护”机制被触发,用户会收到系统报警:windows系统文件被替换为不可识别的版本。不必理会(因为这是用户去除wscript.exe后缀的结果)。在提示对话框中分别点击“取消”、“是”。
只要上述任何一种 *** 作成功,便打断了此毒“连环套”式的感染环节,病毒主体无法运行(图2)。
二、结束c:\WINDOWS\system32\wscript.exe进程。
三、用IceSword找到并删除下列病毒文件:
c:\windows\陪庆.vbe
c:\windows\system32\.vbe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动带销\.vbs
四、删除病毒添加的注册表内容:
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除: <LENOVO-CE316418><.vbe>[]
注1:这个服务名是病毒拷贝的本地计算机名。不同的电脑,此名不同。
注2:如果是采用第二种办法禁wscript.exe,杀完毒后,请恢复I386、dllcache、system32三个文件夹中wscript的后缀。
在任意一个TXT文件上点右键,选择打开方式。然后选择程序。在提示框下边有个,始终使用选择的程序打开这种文件,(打上勾勾)(也叫对号)。然后在上边的栏目里边选择记事本。OK 追问: 文件后缀 都变成 txt.vbs 回答: 应该是病毒引起的吧如果没有重要文件从新做下系统吧,如果有文件你试验下下边的方法! 这个vbs首先获取windows的三个特殊文件夹,默认情况铅物下分别是c:\旦激乱windowsc:\windows\system32c:\documents and settings\%username%\local settings\temp然后把自己拷贝到这三个文件夹下,文件名是随机六位数(每次开机都会变化)然后在注册表里添加如下键值HKEY_LOCAL_MACHINE\OFTWARE\Microsoft\Windows\CurrentVersion\Run"ctfmon"="c:\windows\system32\随机7位数文件名.vbsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon"LegalNoticeCaption"="hack"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinlogonHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoRun"=1 (禁止开始菜单)然后扫描所有硬盘,把所有txt替换成自己的内容,不过不是替换之后重命名,而是先更改内容,复制,然后删除原txt解决方法:1.找到vbs的名称开始菜单-运行-regedit,顺次打开HKEY_LOCAL_MACHINE\模档OFTWARE\Microsoft\Windows\CurrentVersion\Run在里面找到ctfmon这个项,就可以看到vbs的名字了顺手把刚才提到的注册表项都删了2.根据刚刚找到的vbs名字,删除c:\windowsc:\windows\system32c:\documents and settings\%username%\local settings\temp下的vbs文件这样以后就不会继续运行了点击左上角的“文件”乱孙“另存为...”,在“另存为”对话框的“保存类型”选择为“所有文件”,再在哗没链“文件名”位置,写上要保存的文件名。注意:察李必须带".vbs"扩展名。如: a.vbs 最后点保存即可。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)