隐藏用户文件夹生成快捷方式的病毒的一些问题

隐藏用户文件夹生成快捷方式的病毒的一些问题 近期发现很多客户的电脑感染了一种病毒，特征是病毒除了释放正常的 autorun.inf 外，还把用户电脑每个盘的文件夹都设置为隐藏/系统属性，并在根目录下生成和用户原来文件夹同名的快捷方式指向病毒 vbs脚本。 这时，大多数用户都会还原系统，但是在双击打开其它盘，或打开那些快捷方式同名的文件夹时，系统可以又出现中毒现象。 有些杀毒软件根本无法识别这些病毒，有的识别并杀毒后出现很多东西打不开的现象。 下面是这些病毒的一些知识点的集中，希望大家有个参考： eg： HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %* eg： HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\ %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OMC HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" EMC eg： HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE eg %sys32%\smss.exe －－－C:\WINDOWS\system32\smss.exe:.vbs %windir%\explorer.exe－－－C:\WINDOWS\explorer:.vbs %SystemRoot%\system\svchost.exe－－－C:\WINDOWS\system\svchost.exe 此文件本质上就是wscript.exe，可以删除 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load %SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:.vbs" 其他还包括创建保护进程（%SystemRoot%\system\svchost.exe)反复保护自己，通过NTSD命令结束某些进程。 ******************************************** 1 用第三方软件 比如wsyscheck之类 2 删除vbs关联，重启电脑(这个还需要进一步鉴定，比较麻烦 自我学习中) regsvr32 /u vbscript.dll regsvr32 /u scrrun.dll 3 其他 修复： 1 系统设置的修复 sreng等工具的修复功能，最好自己整reg导入 regsvr32 /i shell32.dll可以用于修复我的电脑打开方式异常 2 隐藏文件夹恢复 显示隐藏文件以后 删除1kb的快捷方式，然后新建一个批处理attrib /D /S -s -r -h 3 数据流 据说winrar压缩一下下然后重新解压就可以恢复了或者使用其他软件删除数据流 4 删除分区根目录下的vbs和autorun.inf文件。 ********************************************** 病毒会检查相应的参数并执行相应功能，让打开文件看上去正常的同时，执行病毒病毒 "run" : 当执行磁盘根目录下的autorun.inf 时，默认打开磁盘根目录，并执行病毒内容 "txt", "log","ini" ,"inf"：执行这些后缀名的文件时，调用notepad打开文件，并执行病毒内容 "bat", "cmd"： 执行此类后缀名的添加信息 ”Hi!I'm here!“，并执行病毒内容 "reg"，"chm"，"hlp"没啥好说的 "dir"，病毒创建的快捷方式，该参数用来打开相应的文件夹并执行病毒内容 "oie"，模拟打开IE，并执行病毒内容 "omc" "emc" ，模拟打开我的电脑，并执行病毒内容 ************************************************ 这两天，学校各科室的电脑差不多都因使用U盘而感染了病毒，其中一个就是Autoran病毒的变种，它的症状我就不再描述了，另外一个病毒的症状是所有文件夹都变成了1KB文件夹快捷方式，各盘无法双击打开（但右击打开可用），存放的文件夹无法复制、删除等，按说对系统的影响不算太大，也可以进行 相关的操作，但是感觉不爽，毕竟已经中了毒，害怕越来越严重，于是上百度搜，发现也有网友中了这样 的病毒，但是病毒的清除方法都不很明确，我浏览查阅了相关网页内容，结合自己的实际操作，总算把它 给搞定了，现将我的手动清除过程总结如下： 1）先用杀毒软件或U盘专杀等清除Autoran病毒 2）重装系统（或备份还原系统），完成后重启电脑，注意：启动后，千万不要打开任何分区 3）右击“我的电脑”，用“资源管理器”打开，执行“工具”-->“文件夹选项”，显示隐藏系统文件和隐藏文件，在各分区根目录下找到所有以.vbs为扩展名的文件（我的是除了C盘外各分区下都 有一个），彻底删除后重启电脑。 4）重启电脑进入系统后，右击“我的电脑”，同样用“资源管理器”打开，会发现除系统盘外 其他各分区根目录下都有一个相同文件名的文件夹和1KB的文件夹快捷方式，且文件夹都是隐藏的，并且 隐藏属性为灰色不可更改，1KB的文件夹快捷方式的文件属性为不隐藏的 5）选中所有的1KB文件夹快捷方式，彻底删除。 6）更改文件夹的隐藏属性，是隐藏属性为不隐藏，具体操作是： 依次打开“开始”----“运行”，输入cmd后回车，打开MS-DOS，在命令提示行中输入以下命令： attrib /d /s d:\* -h attrib /d /s e:\* -h 如果有f盘、g盘等的话可以依次输入： attrib /d /s f:\* -h attrib /d /s g:\* -h 其他的依次类推.（注：有的在MS-DOS下无法更改文件的隐藏属性，那就安装一个DOS工具或者使用带DOS引导的系统盘吧） 以上就是我手动清除1KB文件夹快捷方式病毒的具体操作步骤，希望对那些同样深受其害的wy有所帮助，如果您有更好的方法法，也可以留言给我的„„ *************************************************