今天我们工程师林芳忠在省供销社的客户处遇到一奇怪病毒现象:
所有的文件都打不开,我的电脑也打不开。此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。
报错如图所示:
手工杀毒太累了,正好无意间搜到了一些小软件,拿出来分享一下。
【1KB文件夹快捷方式病毒清除专用附件包含四部分】
1、清理工具
2、数据流清除工具
3、wscript文件权限恢复
4、恢复文件夹属性工具
在系统盘为FAT32的系统内,只需要使用“清理工具”清理即可。然后用“恢复文件夹属性工具”恢复被隐
藏的各盘文件夹。
在系统盘为NTFS的系统内,首先使用“清理工具”清理,然后再用“数据流清除工具”清除检测到的数据
流。
最后再使用“wscript文件权限恢复”恢复wscript文件权限即可。然后用“恢复文件夹属性工具”恢复被隐
藏的各盘文件夹。
方法2:1用winpe启动,删除病毒产生的vbs文件。右击“我的电脑”,打开,执行“工具”-->“文件夹选项”,显示
隐藏系统文件和隐藏文件,在各分区根目录下找到所有*.vbs为扩展名的文件和各个盘根目录下的
autorun.inf和文件夹的*.lnk文件。彻底删除后重启电脑。
2 重装系统。开机后,先关闭自动运行,步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑
器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配
置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入
gpupdate,确定后,该策略就生效了。
3 更改文件夹的隐藏属性,是隐藏属性为不隐藏,具体操作是:依次打开“开始”----“运行”,输入cmd后
回车,打开MS-DOS,在命令提示行中输入以下命令:
attrib /d /s d:\* -h
同理,输入attrib /d /s e:\* -h 等等,但U盘里的文件夹没有恢复过来,建议用方法一的专用软件,
或者将文件夹COPY出来新建一个文件夹。
4 装杀毒软件,再次查杀系统。
电脑维修专家·电脑服务专家——合肥新柏美·萤火虫 | 我们就在您身边!