开机弹出这个对话框是怎么会事??
- 提问者网友:龅牙恐龙妹
- 2021-04-27 01:10
- 五星知识达人网友:等灯
- 2021-04-27 02:08
- 1楼网友:何以畏孤独
- 2021-04-27 03:16
- 2楼网友:有你哪都是故乡
- 2021-04-27 02:33
先说说症状:
1.卡巴斯基不断的报警,有四五个病毒不断的复制,始终杀不完。在每个盘里新建一个antorun.inf文件夹才得以解决。
2.360杀毒软件没运行多长时间自动关闭。
3.病毒名中有vbs,杀完毒后删除的文件是administrator.vbs
4.启动项里有administrator.vbs
5.运行任务管理器,可以看到有wscript.exe进程,几秒钟后任务管理器自动关闭。
6.机子卡,像QQ这样的文件也会自动关闭。 做一下准备工作: 1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以). 2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden] "Text"="@shell32.dll,-30499" "Type"="group" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51131" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 当然也可以直接查找到注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值改为1 3.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat).
@echo off @echo 在其它任务管理器查(如:超级兔子)看时有wscript.exe程序 @echo PS: 在windows任务管理器中无法找到此程序 pause @echo 下一步会结束桌面,属于正常,等查杀结束将会恢复! taskkill /im explorer.exe /f taskkill /im wscript.exe /t /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run /va /f @echo 请耐心等待,可能过程有点长.... del c:\autorun.* /f /q /as del %SYSTEMROOT%\system32\autorun.* /f /q /as del c:\.vbs /f /q /s /as del c:\.vbe /f /q /s /as del c:\wscript.exe /f /q /s del d:\autorun.* /f /q /s /as del e:\autorun.* /f /q /s /as del f:\autorun.* /f /q /s /as del g:\autorun.* /f /q /s /as del h:\autorun.* /f /q /s /as del i:\autorun.* /f /q /s /as del j:\autorun.* /f /q /s /as del k:\autorun.* /f /q /s /as del l:\autorun.* /f /q /s /as @echo 请单击确定,以修复注册表! call hidden.reg copy wscript.exe %SYSTEMROOT%\system32\ start explorer.exe @echo 病毒已经清理完毕:) pause 批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中)关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf 修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出 4.将做好的的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中. 注意事项: 注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win文件管理器 或者在地址栏打开 1.开始运行后会出现桌面消失的现象,情况属于正常,等杀毒结束,会新建桌面. 2.删除自启动文件是可能有点慢,请耐心等候. 3.在删除wscript.exe文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件 4.在修复注册表是会提示是否加入,点确定即可. 步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了! 善后工作: 1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒) 方法:开始-运行-输入"gpedit.msc"打开策略组-找到:"用户配置-系统模板-系统"-单击系统在右侧找到"关闭自动播放"一项-右键单击点属性-选择"已使用"-下面的关闭自动播放选项选择所有硬盘-应用确定 2.如果u盘有毒的话.删除u盘的病毒 方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入. 其中X为u盘盘符 del X:\.vbs /f /q /s /as del X:\.vbe /f /q /s /as del X:\autorun.* /f /q /s /as 3.建议重启 OKEY 要清除的病毒搞定了 呵呵:)