隐藏用户文件夹生成快捷方式的病毒的一些问题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、下载快捷方式病毒专杀工具
然后按“ windows key + r ”
2、运行cmd 那么出现dos屏幕
运行命令attrib -s -h i:\*.* /s /d
i:\*.*是你的移动硬盘或u盘的地方,如果g driver的话修改g:\*.*
那么隐藏文件显示出来~
隐藏用户文件夹生成快捷方式的病毒的一些问题
近期发现很多客户的电脑感染了一种病毒,特征是病毒除了释放正常的 autorun.inf 外,还把用户电脑每个盘的文件夹都设置为隐藏/系统属性,并在根目录下生成和用户原来文件夹同名的快捷方式指向病毒vbs脚本。
这时,大多数用户都会还原系统,但是在双击打开其它盘,或打开那些快捷方式同名的文件夹时,系统可以又出现中毒现象。
有些杀毒软件根本无法识别这些病毒,有的识别并杀毒后出现很多东西打不开的现象。
下面是这些病毒的一些知识点的集中,希望大家有个参考:
一系统设置的更改
1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %*
2 我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒)
eg:
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command \
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\comm and
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" EMC
3 修改IE关联(原来挟持IE主页的方法,被此病毒用来启动自己)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage \Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE
二添加文件,主要是数据流文件到系统文件:(绕过安全软件的启动项目扫描,同时普通用户很难清除)
eg
%sys32%\smss.exe ---C:\WINDOWS\system32\smss.exe:.vbs
%windir%\explorer.exe---C:\WINDOWS\explorer:.vbs
%SystemRoot%\system\svchost.exe---C:\WINDOWS\system\svchost.exe 此文件本质上就是wscript.exe,可以删除
三病毒启动项目(这是病毒使用的常规启动项目,其实它不需要的)
HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows\Load
%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:.vbs"
四隐藏系统目录文件夹,并创建一个快捷方式指向原文件夹(这招毒啊,相当于windows之类的目录也会中毒)
五其他(欺负其他杀毒软件,保护自己,恶作剧等)
其他还包括创建保护进程(%SystemRoot%\system\svchost.exe)反复保护自己,通过NTSD命令结束某些进程。
********************************************
1 用第三方软件
比如wsyscheck之类
2 删除vbs关联,重启电脑(这个还需要进一步鉴定,比较麻烦自我学习中)
regsvr32 /u vbscript.dll
regsvr32 /u scrrun.dll
3 其他
修复:
1 系统设置的修复
sreng等工具的修复功能,最好自己整reg导入
regsvr32 /i shell32.dll可以用于修复我的电脑打开方式异常
2 隐藏文件夹恢复
显示隐藏文件以后删除1kb的快捷方式,然后新建一个批处理attrib /D /S -s -r -h
3 数据流据说winrar压缩一下下然后重新解压就可以恢复了或者使用其他软件删除数据流
4 删除分区根目录下的vbs和autorun.inf文件。
**********************************************
病毒会检查相应的参数并执行相应功能,让打开文件看上去正常的同时,执行病毒病毒"run" : 当执行磁盘根目录下的autorun.inf 时,默认打开磁盘根目录,并执行病毒内容
"txt", "log","ini" ,"inf":执行这些后缀名的文件时,调用notepad打开文件,并执行病毒内容
"bat", "cmd":执行此类后缀名的添加信息”Hi!I'm here!“,并执行病毒内容"reg","chm","hlp"没啥好说的
"dir",病毒创建的快捷方式,该参数用来打开相应的文件夹并执行病毒内容
"oie",模拟打开IE,并执行病毒内容
"omc" "emc" ,模拟打开我的电脑,并执行病毒内容
************************************************
这两天,学校各科室的电脑差不多都因使用U盘而感染了病毒,其中一个就是Autoran 病毒的变种,它的症状我就不再描述了,另外一个病毒的症状是所有文件夹都变成了1KB文件夹快捷方式,各盘无法双击打开(但右击打开可用),存放的文件夹无法复制、删除等,按说对系统的影响不算太大,也可以进行相关的操作,但是感觉不爽,毕竟已经中了毒,害怕越来越严重,于是上百度搜,发现也有网友中了这样的病毒,但是病毒的清除方法都不很明确,我浏览查阅了相关网页内容,结合自己的实际操作,总算把它给搞定了,现将我的手动清除过程