所有文件夹都变成1KB文件夹快捷方式病毒的解决方法

最新推荐文章于 2023-04-08 20:59:20 发布
最新推荐文章于 2023-04-08 20:59:20 发布
阅读量1.3w 收藏 19
点赞数 2
分类专栏: 常见问题处理 文章标签: windows c system 杀毒软件 chm emc

此病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。

      此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。

一 系统设置的更改

1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒)

eg:

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/batfile/shell/open/command

%SystemRoot%/System32/WScript.exe "C:/WINDOWS/explorer.exe:.vbs" %1 %*

2 我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒)

eg:

HKEY_CLASSES_ROOT/CLSID/{20D04FE0-3AEA-1069-A2D8-08002B30309D}/shell/open/command/

%SystemRoot%/System32/WScript.exe "C:/WINDOWS/explorer.exe:.vbs" OMC

HKEY_CLASSES_ROOT/CLSID/{20D04FE0-3AEA-1069-A2D8-08002B30309D}/shell/explore/command

%SystemRoot%/System32/WScript.exe "C:/WINDOWS/explorer.exe:.vbs" EMC

3 修改IE关联(原来挟持IE主页的方法,被此病毒用来启动自己)

eg:

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Applications/iexplore.exe/shell/open/command

%SystemRoot%/System32/WScript.exe "C:/WINDOWS/explorer.exe:.vbs" OIE

HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command

%SystemRoot%/System32/WScript.exe "C:/WINDOWS/explorer.exe:.vbs" OIE

二 添加文件,主要是数据流文件到系统文件:(绕过安全软件的启动项目扫描,同时普通用户很难清除)

eg

%sys32%/smss.exe ---C:/WINDOWS/system32/smss.exe:.vbs

%windir%/explorer.exe---C:/WINDOWS/explorer:.vbs

%SystemRoot%/system/svchost.exe---C:/WINDOWS/system/svchost.exe 此文件本质上就是wscript.exe,可以删除

三 病毒启动项目(这是病毒使用的常规启动项目,其实它不需要的)

HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/Load         

%SystemRoot%/system/svchost.exe "C:/WINDOWS/system32/smss.exe:.vbs"

四 隐藏系统目录文件夹,并创建一个快捷方式指向原文件夹(这招毒啊,相当于windows之类的目录也会中毒)

五 其他(欺负其他杀毒软件,保护自己,恶作剧等)

其他还包括创建保护进程(%SystemRoot%/system/svchost.exe)反复保护自己,通过NTSD命令结束某些进程

       此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。

解决方法:

方法一:

1、光盘启动,重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)

2、关闭所有驱动器的自动运行功能,这步非常重要。

在组策略中将自动运行这项功能关掉:在"运行"中输入"gpedit.msc"打开组策略,依次展开"计算机配置->管理模板->系统",在右边找到"关闭自动播放"双击打开,选择"已启用",在"关闭自动播放"下拉列表中选择"所有驱动器",单击确定即可。

在每个盘的根目录下面建一个文件夹,重命名为"autorun.inf",将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建autorun.inf这个文件).

3、用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了)

4、到这个网站:http://www.rensoft.com.cn/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

方法二:不用重装系统也能彻底清除此病毒的方法,操作比较专业。是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式,病毒的问题就可以解决了!!很管用的,大家遇到这种情况可以试试!用光盘进winpe(如果硬盘上装有winpe则开机时选择进入winpe即可),搜索*.vbs(*表示任意文件名),将搜索出来的结果全部删除。
用Tiny,将wscript.exe由信任组转入特殊组,设置文件访问及注册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然后,再双击“我的电脑”,此毒不能复活,且“我的电脑”以及各级目录可以顺利打开。

方法三:手工彻底杀灭此毒的流程应该是:

1、先打开C:/windows/system32/和C:/windows/system32/dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows/system/svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows/system/svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL
"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows
删除load键值项的数据。

方法四:

1、在安全模式下启动,删除有关“smss”及“vba”的启动项!
2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试),
    将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到winrar中

删除即可!
3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)
4、有的变种修改了“c:/windows/explorer.exe”及“c:/windows/system32/smss.exe”文件,
    最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。
5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹
6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!

方法五:

建立一个批处理文件:

del -f c:/*.lnk

del -f d:/*.lnk

del -f e:/*.lnk

del -f f:/*.lnk

del -f g:/*.lnk

del -f h:/*.lnk

然后保存为bat格式的文件。然后双击运行。然后找个u盘copy个usbclear 和foldercure ,先用

foldercure从u盘启动杀毒。即可。

 

最近从网上看到有的网友用文件夹图标病毒专杀软件FolderCure查杀一遍后,将所有硬盘里快捷方式的图标文件和文件夹全部删除,重启计算机,病毒清除就完成了。我没有试过不知道效果如何,有兴趣的网友可以试试。

波特王子
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1KB文件夹快捷方式病毒解决方法
twosecond
04-26 2633
解决方法】   1、开机按F8进入安全模式。   2、拷贝"360顽固木马查杀工具"及"文件夹恢复工具"到目标电脑,如"桌面"上。   3、运行WINRAR,删除所有硬盘根目录以及"c:/windows"、"c:/windows/system32"下的"AutoRun.inf"文件(AutoRun.inf文件是隐藏的)、".vbs"文件及所有快捷方式。   4、利用"文件夹恢复工具"恢复被病毒
文件夹的工具kill_folder.exe
02-07
kill_folder.exe 文件夹杀毒工具
1KB文件夹快捷方式病毒清除专用附件
07-15
说明: “1KB文件夹快捷方式病毒中毒后的处理 此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。 这是个.vbs+数据流双料病毒病毒的数据流部分只在NTFS分区有效)。 此.vbs比较有个性:运行一次后,其MD5发生改变。RIS2010便不再认识它了(据网友反馈:KIS也是一样——杀旧不杀新);但病毒行为不变。 此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe (本资料来源于瑞星卡卡安全论坛)
u盘中文件夹变成文件_u盘文件变成快捷方式解决方法【图文详解】
weixin_39564831的博客
12-14 1301
  打开u盘时,发现u盘文件和文件夹变成快捷方式,u盘文件变成快捷方式是不少用户遇到的问题,那么u盘文件变成快捷方式怎么办呢?下面就是解决办法。  1、首先,我们需要把隐藏文件显示出来,打开桌面上“计算机”,在计算机窗口中单击菜单栏上的“工具”,然后点击“文件夹选项”,如图:  2、在文件夹选项窗口中切换到“查看”标签,不勾选“隐藏受保护的操作系统文件(推荐)”复选框,然后在“隐藏文件和文件夹”...
1kb病毒解决方案
Hane
04-24 1382
       前几天,由于上实验课使用U盘而感染了病毒,刚开始的时候我没有注意到这个是病毒,还以为是系统出现问题造成的,因为用金山的杀毒软件也杀不出什么病毒来。之前的症状是使用电脑打开一些文件或者一些非系统盘时,总是提示无法加载脚本是由于缺失一些(.VBS)文件,结果把系统重装了。然而问题没有解决,并且所有文件夹变成1KB文件夹快捷方式(*.link),各盘无法双击打开,右击打开也不可用(但可
1KB快捷方式电脑病毒解决方法
lzhbxtt的博客
04-08 995
1KB快捷方式病毒专杀工具-各类资源分享社区-玩网社区-FancyPig's blog (iculture.cc)(记住一定要每个磁盘都扫一遍)
kill_folder 专杀
05-08
kill_folder 专杀文件病毒,特好用 kill_folder 专杀文件病毒,特好用
文件夹病毒专杀kill_folder2.12最新版
10-18
文件夹病毒专杀kill_folder2.12最新的版本
1KB文件夹快捷方式病毒清除专用.zip
11-29
标题中的“1KB文件夹快捷方式病毒清除专用.zip”表明这是一个专门用于清除1KB大小的文件夹快捷方式病毒的工具。这种病毒通常会将实际的文件夹替换为1KB大小的快捷方式,使得用户无法正常访问原来的文件。这种现象在...
kill folder 文件夹图标类病毒专杀
11-29
专门用于文件夹图标类病毒的清除工作。你的文件夹被隐藏时,使用它,可以快速便捷有效解决……任软工作室出品
文件夹病毒专杀
11-16
文件夹病毒专杀工具,消除系统或u盘上的文件夹病毒
文件夹病毒专杀工具 kill_folder
09-11
文件夹病毒专杀工具 kill_folder 文件夹病毒专杀工具 kill_folder
kill_folder文件夹杀毒恢复隐藏文件夹.rar
04-09
因u盘中毒,找了解决办法,kill_folder文件夹杀毒恢复隐藏文件夹,简单好用,有需要可以下载使用。
1KB文件夹快捷方式病毒
12-12
标题 "1KB文件夹快捷方式病毒" 描述的是一个针对计算机系统的恶意软件问题,这种病毒会将正常的文件夹替换为1KB大小的快捷方式,从而干扰用户对文件的正常访问和管理。这种病毒通常通过网络共享、U盘传播或者被伪装...
(“1KB文件夹快捷方式病毒”)自动化清除脚本
08-27
“暴风一号”(“1KB文件夹快捷方式病毒”)自动化清除脚本: 1. 完全由解密后的病毒源代码改写为清除程序,原汁原味 2. 决不会误删除快捷方式 3. 自动恢复文件关联、IE关联及其它被修改的注册表项目 4. 自动将隐藏...
文件夹1KB快捷方式(暴风一号)病毒解决办法
zuzhiang的博客
10-09 5335
欢迎关注我的个人博客:www.zuzhiang.cn 首先献上大神写的VBS脚本语言的病毒的源代码地址:1KB快捷方式病毒源代码。 把里面的代码复制粘贴到一个文本文档,然后将后缀名改为.vbs就可以了,由于这个病毒会影响所有的磁盘,并且后遗症比较多,所以不建议在本机打开,在虚拟机尝试一下还是可以的。另外,中毒后千万不要点击那些快捷方式,不然会再次触发病毒。 在说怎么解决...
u盘生成一个2kb的快捷方式 如何彻底杀掉
最新发布
08-30
要彻底清除一个U盘上生成的2KB快捷方式,您可以按照以下步骤操作: 1. 连接U盘:将U盘插入电脑的USB接口,并确保它被正确识别和挂载。 2. 显示隐藏文件和文件夹:打开资源管理器(或我的电脑),点击顶部的"查看"选项卡,勾选"隐藏项目"中的"隐藏受保护的操作系统文件(推荐)"和"显示隐藏的文件、文件夹和驱动器"选项。 3. 定位到U盘:在资源管理器中找到并进入U盘的根目录。 4. 查找快捷方式:查找并删除与U盘中任何快捷方式相关的文件,通常它们具有".lnk"扩展名。这可能包括与文件名相似的图标文件或隐藏的系统文件。 5. 清理注册表:按下"Win+R"组合键打开运行窗口,输入"regedit"以打开注册表编辑器。 6. 导航到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace,在该路径下找到与U盘快捷方式相关的项,并将其删除。 7. 清理病毒:运行一款可信赖的杀毒软件对整个U盘进行扫描,确保没有恶意软件或病毒存在。 8. 断开U盘:完成以上步骤后,可以安全地将U盘从电脑上断开。 请记住,在删除任何文件或修改注册表之前,务必备份重要数据,并确保您具备足够的计算机知识和技能以避免意外损坏系统文件或导致其他问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值