此毒還有壹個特點:如果僅僅刪除了各分區根目錄下的病毒文件.vbs、刪除了system目錄下的svchost.exe(實為系統程序wscript.exe)、刪除了被病毒改寫過的系統程序smss.exe(用備份替換)、刪除了病毒創建的所有.lnk,當妳雙擊“我的電腦”時,病毒又復活了。如果用“軟件限制策略”的散列規則禁止wscript.exe運行,則雙擊我的電腦後系統報錯,自然不能通過正常途徑打開各個分區及各級目錄。解決方法:方法壹:1、光盤啟動,重裝系統,不動除C盤外的其它盤。完成後不要做任何其它操作。(如果C盤、桌面有重要文件,請先備份)2、關閉所有驅動器的自動運行功能,這步非常重要。在組策略中將自動運行這項功能關掉:在"運行"中輸入"gpedit.msc"打開組策略,依次展開"計算機配置->管理模板->系統",在右邊找到"關閉自動播放"雙擊打開,選擇"已啟用",在"關閉自動播放"下拉列表中選擇"所有驅動器",單擊確定即可。在每個盤的根目錄下面建壹個文件夾,重命名為"autorun.inf",將其屬性設為隱藏,也能起到壹定的預防作用(可以防止壹般的病毒創建autorun.inf這個文件).3、用點擊右鍵打開的方法,打開其它盤,就能看到快捷方式和病毒,這些全部刪掉。(千萬不要因為好奇或失誤雙擊啊,不然系統就白裝了)4、到這個網站: /zhuansha/kill_folder.html 下載這個專殺工具可恢復所有被隱藏的內容。方法二:不用重裝系統也能徹底清除此病毒的方法,操作比較專業。是windows PE下把所有vbs結尾的文件都刪掉包括所有顯示的快捷方式,病毒的問題就可以解決了!!很管用的,大家遇到這種情況可以試試!用光盤進winpe(如果硬盤上裝有winpe則開機時選擇進入winpe即可),搜索*.vbs(*表示任意文件名),將搜索出來的結果全部刪除。
用Tiny,將wscript.exe由信任組轉入特殊組,設置文件訪問及註冊表訪問規則,禁止非信任組程序的文件創建及註冊表改寫動作,然後,再雙擊“我的電腦”,此毒不能復活,且“我的電腦”以及各級目錄可以順利打開。方法三:手工徹底殺滅此毒的流程應該是:1、先打開C:\windows\system32\和C:\windows\system32\dllcache目錄。然後在組策略中用散列規則禁止WSCRIPT.EXE運行。
2、用IceSword禁止進程創建。結束WSCRIPT.EXE和windows\system\svchost.exe進程。
3、刪除所有分區根目錄下的.vbs和autorun.inf。刪除windows\system\svchost.exe
4、刪除硬盤各個分區中所有1KB的.lnk
5、將WINDOWS目錄下的EXPLORER.EXE和系統目錄下的SMSS.EXE移動到U盤或FAT32分區的硬盤分區(自動脫毒)。
6、刪除WINDOWS目錄下以及dllcache目錄下的EXPLORER.EXE、%system%目錄以及dllcache目錄下的smss.exe(被病毒附加了數據流)。
7、取消”禁止進程創建“。將剛才移動到FAT32分區(或U盤)的那個EXPLORER.EXE和smss.exe移回系統目錄以及dllcache目錄。
8、修改註冊表,顯示被隱藏的正常文件夾。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
9、刪除病毒加載項:
展開HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
刪除load鍵值項的數據。
方法四:1、在安全模式下啟動,刪除有關“smss”及“vba”的啟動項!2、用WINDOWS PE啟動(沒有PE就用安全模式似乎也可以,未做仔細測試), 將搜索出來的所有“.VBS”、以及“smss*.vbs”文件刪除,有的在資源管理器中看不到到winrar中刪除即可!3、刪除所有以文件夾命名的快捷方式(該病毒目前不傳染子文件夾)4、有的變種修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件, 最好到同樣版本系統的機器上將這兩個文件復制回來,沒有相同版本的文件不復制應該也可以。5、利用“kill_folder2.11”這個軟件恢復所有被隱藏的文件夾6、在註冊表中刪除所有有關“:.vba”的值中的“:.vba”字符!方法五:建立壹個批處理文件:del -f c:\*.lnk 然後保存為bat格式的文件。然後雙擊運行。然後找個u盤copy個usbclear 和foldercure ,先用foldercure從u盤啟動殺毒。即可。最近從網上看到有的網友用文件夾圖標病毒專殺軟件FolderCure查殺壹遍後,將所有硬盤裏快捷方式的圖標文件和文件夾全部刪除,重啟計算機,病毒清除就完成了。我沒有試過不知道效果如何,有興趣的網友可以試試。
這個系我今日搜到的方法。
方法二:不用重裝系統也能徹底清除此病毒的方法,操作比較專業。是windows PE下把所有vbs結尾的文件都刪掉包括所有顯示的快捷方式,病毒的問題就可以解決了!!很管用的,大家遇到這種情況可以試試!
用光盤進winpe(如果硬盤上裝有winpe則開機時選擇進入winpe即可),搜索*.vbs(*表示任意文件名),將搜索出來的結果全部刪除。
用Tiny,將wscript.exe由信任組轉入特殊組,設置文件訪問及註冊表訪問規則,禁止非信任組程序的文件創建及註冊表改寫動作,然後,再雙擊“我的電腦”,此毒不能復活,且“我的電腦”以及各級目錄可以順利打開。