今天中午看了一台式,主要问题是资源管理器下右键默认为打开,(正常情况下为“资源管理器”),或者在我的电脑中双击任何盘符,都是停顿一会之后然后就打开新窗口了,每个分区下面有八个系统、隐藏属性扩展名不同的autorun文件,删除会重新生成,任务管理器中多了一个wscript.exe脚本调用进程,
危害:让人看着很不爽!别的危害倒是没有,估计是哪个恶作剧的家伙写出来的。
随后上网找到了解决方法,网址如下http://hi.baidu.com/robertcome/blog/item/0d0ab112a9c7e3cec3fd7831.htm
先转贴
病毒autorun.vbs查杀方法
2006-09-10 13:05
Q:最近机器有个怪现象,打开“我的电脑”以后,无论双击哪个盘的图标,系统都会重新打开一个窗口,同时杀毒软件报告:regedit.exe程序试图修改注册表XXX键值,已被拦截。
然后我打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
其中autorun.inf文件内容如下:
autorun风暴
[autorun]
open=
shell/open=打开(&O)
shell/open/Command=WScript.exe ./autorun.vbs
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=WScript.exe ./autorun.vbs
注册表启动项:
A:第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了
然后停止wscript那个进程停止脚本调用
然后把各盘及system32里面的7个文件全部删掉
重新启动
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复
再反思,研究了一下autorun.reg文件,发现竟然如此的简单,上网查询之前我对这个病毒已经有了初步的了解,大体知道它的工作机理,知道肯定修改了注册表,但苦于不知道到底修改了注册表哪个位置,现在知道了,嘿嘿,其实很多病毒都很简单,都可以轻松的发现,手动解决也是很容易的,下次尽量碰到病毒不上网试试看,
最后附上解决方法,转贴不便于修改,于是帮他解释的更具体一点,
1、打开注册表,找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit"="userinit.exe,autorun.bat",把autorun.bat键值删除,
2、打开任务管理器,中止进程“wscript.exe”
3、修改目录属性,以查看系统隐藏文件,不要用缩略图,
4、用从资源管理器输入地址的方式(这个方法比较安全,不会激活autorun文件)分别进入各个驱动器根目录与system32目录,删除所有名称为autorun的文件,
5、重新启动电脑 and bless!
PS:操作过程中不要双击磁盘根目录,以免激活autorun文件,
104
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
