U盘病毒-.vbs-wscript清除方法

U盘病毒-.vbs-wscript.exe机子又中毒了，这次中的是U盘病毒。前几天在九六设计室拷文件的时候发现他们那边机子上的word文档不能正常打开，当时也没怎么在意，等把东西拷到我的电脑里面的时候才发现大事不妙，终于不得不承认我又中标了。先说说症状：1.卡巴斯基不断的报警，有四五个病毒不断的复制，始终杀不完。在每个盘里新建一个antorun.inf文件夹才得以解决。2.360杀毒软件没运行多长时间自动关闭。3.病毒名中有vbs，杀完毒后删除的文件是administrator.vbs4.启动项里有administrator.vbs5.运行任务管理器，可以看到有wscript.exe进程，几秒钟后任务管理器自动关闭。6.机子卡，像QQ这样的文件也会自动关闭。做一下准备工作:1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以).2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]'Text'='@shell32.dll,-30499''Type'='group''Bitmap'=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\00'HelpID'='shell.hlp#51131'[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced''Text'='@shell32.dll,-30501''Type'='radio''CheckedValue'=dword:00000002'ValueName'='Hidden''DefaultValue'=dword:00000002'HKeyRoot'=dword:80000001'HelpID'='shell.hlp#51104'[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced''Text'='@shell32.dll,-30500''Type'='radio''CheckedValue'=dword:00000001'ValueName'='Hidden''DefaultValue'=dword:00000002'HKeyRoot'=dword:80000001'HelpID'='shell.hlp#51105'当然也可以直接查找到注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值改为13.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat).@echooff@echo在其它任务管理器查(如:超级兔子)看时有wscript.exe程序@echoPS:在windows任务管理器中无法找到此程序pause@echo下一步会结束桌面,属于正常,等查杀结束将会恢复!taskkill/imexplorer.exe/ftaskkill/imwscript.exe/t/fregdeleteHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run/va/f@echo请耐心等待,可能过程有点长....delc:\autorun.*/f/q/asdel%SYSTEMROOT%\system32\autorun.*/f/q/asdelc:\.vbs/f/q/s/asdelc:\.vbe/f/q/s/asdelc:\wscript.exe/f/q/sdeld:\autorun.*/f/q/s/asdele:\autorun.*/f/q/s/asdelf:\autorun.*/f/q/s/asdelg:\autorun.*/f/q/s/asdelh:\autorun.*/f/q/s/asdeli:\autorun.*/f/q/s/asdelj:\autorun.*/f/q/s/asdelk:\autorun.*/f/q/s/asdell:\autorun.*/f/q/s/as@echo请单击确定,以修复注册表!callhidden.regcopywscript.exe%SYSTEMROOT%\system32\startexplorer.exe@echo病毒已经清理完毕:)pause批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中)关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出4.将做好的的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中.注意事项:注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win文件管理器或者在地址栏打开1.开始运行后会出现桌面消失的现象,情况属于正常,等杀毒结束,会新建桌面.2.删除自启动文件是可能有点慢,请耐心等候.3.在删除wscript.exe文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件4.在修复注册表是会提示是否加入,点确定即可.步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了!善后工作:1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒)方法:开始-运行-输入'gpedit.msc'打开策略组-找到:'用户配置-系统模板-系统'-单击系统在右侧找到'关闭自动播放'一项-右键单击点属性-选择'已使用'-下面的关闭自动播放选项选择所有硬盘-应用确定2.如果u盘有毒的话.删除u盘的病毒方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入.其中X为u盘盘符delX:\.vbs/f/q/s/asdelX:\.vbe/f/q/s/asdelX:\autorun.*/f/q/s/as3.建议重启OKEY要清除的病毒搞定了呵呵:)