VBS病毒的解决办法！

最近电脑中了VBS病毒，都被它搞死了，试了多种方法都搞不定！在网上查了多种的方法，终于把它给查杀了，现在把它总结一下与大家分享.
Worm.VBS.headtail.a病毒分析
Worm.VBS.headtail.a病毒分析
Worm.VBS.headtail.a病毒分析
病毒名称：Worm.VBS.headtail.a
病毒类型：蠕虫病毒
病毒语言：Visual Basic
关联文件：WScript.exe
多个HTML文件（以ActiveX控件形式）
生成文件：各个盘下的autorun.inf 及  管理员名.vbs
%systemroot%/ autorun.inf 及  管理员名.vbs
%systemroot%/system32/ autorun.inf 及  管理员名.vbs
病毒机理
  病毒首先将自己的属性改为只读、隐藏与系统文件通过设置注册表中的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Hidden
项中的键值从而达到隐藏自己的目的。
在经过感染后，染毒计算机成为了黑客的肉鸡，这时它会发送一个数据包，并将肉鸡与远程控制的客户端进行连接。从而达到监视系统、传染文件与supervirus脚本测试的目的。
接着，病毒又通过ActiveX的方式对自己进行保护，同时也在注册表中加载了自己的启动项（HKEY_CURRENT_USER/SoftWare/Microsoft/Windows NT/CurrentVersion/Windows/Load）。
在如下HKEY_CURRENT_USER/Software/Microsoft/Active Setup/Installed Components/{44BBA840-CC51-11CF-AAFA-00AA00B 6015C }/Username
这个项中，病毒获取了系统管理员和普通用户的名称，为自己的自动运行病毒创造了文件名。
接下来又是一个关键命令：
Call CopyFile(objfso, vbsCode, path_vbs)
Call SetFileAttr(objfso, path_vbs)
inf_autorun = "[AutoRun]" & VBCRLF & "Shellexecute=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell/AutoRun=打开(&O)" & VBCRLF & "shell/AutoRun/command=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell/AutoRun1=资源管理器(&X)" & VBCRLF & "shell/AutoRun1/command=WScript.exe " & Name_V1 & " ""AutoRun"""
Call CopyFile(objfso, inf_autorun, path_autorun)
Call SetFileAttr(objfso, path_autorun)
以上这段语句就是用来创建一个autorun.inf文件。他将右键打开的文件设为了windows用来解析vbs脚本的WScirpt.exe文件。
然后，病毒对自身又加了一些可被打开的几率，就是将.txt
.chm
.reg
.exe
.hlp扩展名的文件关联转向自身，用户只要打开此类文件，就会在一次感染病毒。
下一步便是干掉杀毒软件与安全工具。在这个病毒中，病毒调用了killprocess命令，强制结束了"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"这些进程，这些症状也是中了AV终结者病毒最常见的现象。
在下一步是感染网页问价，使用了ActiveX控件方式加载病毒。这一步是最危险的。只要用户不小心允许了带有病毒自身的ActiveX控件，病毒还会死灰复燃。
最后，病毒对从前的设置进行了检查，对没有发挥作用的项进行了修正，这个病毒脚本到此就结束了。
清除方法：
用IceSword禁止WScript.exe程序运行，然后再依次删除
各个盘下的autorun.inf 及  管理员名.vbs
%systemroot%/ autorun.inf 及  管理员名.vbs
%systemroot%/system32/ autorun.inf 及  管理员名.vbs
最后注意自己的网页文件有无异常，清除受感染的网页文件，升级杀毒软件病毒库，全面查杀重启后，应会一切正常。

 

 

vbs病毒

VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows 对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思想，但是这种思想在用 VBS实现时变得极其容易。VBS 脚本病毒具有如下几个特点：
编写简单、破坏力大、感染力强、传播范围广、变种多、欺骗性强；可以通过通过Email附件传播；通过局域网共享传播；通过感染htm、asp、jsp、php等网页文件传播；通过IRC聊天通道传播；
如何预防和解除vbs 脚本病毒
针对以上提到的VBS 脚本病毒的弱点，笔者提出如下集中防范措施：
1）禁用文件系统对象 FileSystemObject
方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows/System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。
还有一种方法就是在注册表中HKEY_CLASSES_ROOT/CLSID/下找到一个主键{0D43FE01-F093-11CF-8940 -00A 0C 9054228}的项，咔嚓即可。
2）卸载 Windows Scripting Host
在Windows 98中（NT 4.0以上同理），打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］，取消“Windows Scripting Host”一项。
和上面的方法一样，在注册表中HKEY_CLASSES_ROOT/CLSID/下找到一个主键{F935DC22-1CF0-11D0-ADB9 -00C 04FD 58A 0B}的项，咔嚓。
3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。
4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。
5）要彻底防治VBS 网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里 “Internet 选项”安全选项卡里的［自定义级别］按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。呵呵，譬如新欢乐时光的那个ActiveX组件如果不能运行，网络传播这项功能就玩完了。
6）禁止OE的自动收发邮件功能
7 ）由于蠕虫病毒大多利用文件扩展名作文章，所以要防范它就不要隐藏系统中已知文件类型的扩展名。 Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。
8）将系统的网络连接的安全级别设置至少为“中等”，它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。
9）最后就是使用杀毒软件。比如：autoguarder