VBS病毒的解決辦法!
最近電腦中了VBS病毒,都被它搞死了,試了多種方法都搞不定!在網上查了多種的方法,終於把它給查殺了,現在把它總結一下與大家分享.
Worm.VBS.headtail.a病毒分析
Worm.VBS.headtail.a病毒分析
Worm.VBS.headtail.a病毒分析病毒名稱:Worm.VBS.headtail.a
病毒型別:蠕蟲病毒病毒語言:Visual Basic
關聯檔案:WScript.exe
多個HTML檔案(以ActiveX控制元件形式)生成檔案:各個盤下的autorun.inf 及管理員名.vbs
%systemroot%/ autorun.inf 及管理員名.vbs
%systemroot%/system32/ autorun.inf
病毒機理病毒首先將自己的屬性改為只讀、隱藏與系統檔案通過設定登錄檔中的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Hidden
Call CopyFile(objfso, vbsCode, path_vbs)
Call SetFileAttr(objfso, path_vbs)
inf_autorun = "[AutoRun]" & VBCRLF & "Shellexecute=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell/AutoRun=開啟(&O)" & VBCRLF & "shell/AutoRun/command=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell/AutoRun1=資源管理器(&X)" & VBCRLF & "shell/AutoRun1/command=WScript.exe " & Name_V1 & " ""AutoRun"""
Call CopyFile(objfso, inf_autorun, path_autorun)
Call SetFileAttr(objfso, path_autorun)
以上這段語句就是用來建立一個autorun.inf檔案。他將右鍵開啟的檔案設為了windows用來解析vbs指令碼的WScirpt.exe檔案。然後,病毒對自身又加了一些可被開啟的機率,就是將.txt
.chm
.reg
.exe
.hlp副檔名的檔案關聯轉向自身,使用者只要開啟此類檔案,就會在一次感染病毒。下一步便是幹掉防毒軟體與安全工具。在這個病毒中,病毒呼叫了killprocess命令,強制結束了"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"這些程序,這些症狀也是中了AV終結者病毒最常見的現象。在下一步是感染網頁問價,使用了ActiveX控制元件方式載入病毒。這一步是最危險的。只要使用者不小心允許了帶有病毒自身的ActiveX控制元件,病毒還會死灰復燃。最後,病毒對從前的設定進行了檢查,對沒有發揮作用的項進行了修正,這個病毒指令碼到此就結束了。清除方法:用IceSword禁止WScript.exe程式執行,然後再依次刪除各個盤下的autorun.inf 及管理員名.vbs
%systemroot%/ autorun.inf 及管理員名.vbs
%systemroot%/system32/ autorun.inf 及管理員名.vbs
最後注意自己的網頁檔案有無異常,清除受感染的網頁檔案,升級防毒軟體病毒庫,全面查殺重啟後,應會一切正常。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
vbs病毒
VBS病毒是用VB Script編寫而成,該指令碼語言功能非常強大,它們利用Windows系統的開放性特點,通過呼叫一些現成的Windows物件、元件,可以直接對檔案系統、登錄檔等進行控制,功能非常強大。應該說病毒就是一種思想,但是這種思想在用VBS實現時變得極其容易。VBS指令碼病毒具有如下幾個特點:編寫簡單、破壞力大、感染力強、傳播範圍廣、變種多、欺騙性強;可以通過通過Email附件傳播;通過區域網共享傳播;通過感染htm、asp、jsp、php等網頁檔案傳播;通過IRC聊天通道傳播;如何預防和解除vbs指令碼病毒針對以上提到的VBS指令碼病毒的弱點,筆者提出如下集中防範措施:1)禁用檔案系統物件FileSystemObject
方法:用regsvr32 scrrun.dll /u這條命令就可以禁止檔案系統物件。其中regsvr32是Windows/System下的可執行檔案。或者直接查詢scrrun.dll檔案刪除或者改名。還有一種方法就是在登錄檔中HKEY_CLASSES_ROOT/CLSID/下找到一個主鍵{0D43FE01-F093-11CF-8940-00A0C9054228}的項,咔嚓即可。
2)解除安裝Windows Scripting Host
在Windows 98中(NT 4.0以上同理),開啟[控制面板]→[新增/刪除程式]→[Windows安裝程式]→[附件],取消“Windows Scripting Host”一項。和上面的方法一樣,在登錄檔中HKEY_CLASSES_ROOT/CLSID/下找到一個主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的項,咔嚓。
3)刪除VBS、VBE、JS、JSE檔案字尾名與應用程式的對映點選[我的電腦]→[檢視]→[資料夾選項]→[檔案型別],然後刪除VBS、VBE、JS、JSE檔案字尾名與應用程式的對映。
4)在Windows目錄中,找到WScript.exe,更改名稱或者刪除,如果你覺得以後有機會用到的話,最好更改名稱好了,當然以後也可以重新裝上。
5)要徹底防治VBS網路蠕蟲病毒,還需設定一下你的瀏覽器。我們首先開啟瀏覽器,單擊選單欄裡“Internet 選項”安全選項卡里的[自定義級別]按鈕。把“ActiveX控制元件及外掛”的一切設為禁用,這樣就不怕了。呵呵,譬如新歡樂時光的那個ActiveX元件如果不能執行,網路傳播這項功能就玩完了。
6)禁止OE的自動收發郵件功能
7)由於蠕蟲病毒大多利用副檔名作文章,所以要防範它就不要隱藏系統中已知檔案型別的副檔名。Windows預設的是“隱藏已知檔案型別的副檔名稱”,將其修改為顯示所有檔案型別的副檔名稱。
8)將系統的網路連線的安全級別設定至少為“中等”,它可以在一定程度上預防某些有害的Java程式或者某些ActiveX元件對計算機的侵害。
9)最後就是使用防毒軟體。比如:autoguarder