2022年隐藏用户文件夹生成快捷方式的病毒的一些问题 .pdf

1、下载 快捷方式病毒专杀工具然后 按“windows key+r”2、运行cmd 那么出现 dos 屏幕运行命令attrib-s-h i:*.*/s/d i:*.*是你的移动硬盘或u 盘的地方，如果 g driver 的话修改 g:*.*那么隐藏文件显示出来隐藏用户文件夹生成快捷方式的病毒的一些问题近期发现很多客户的电脑感染了一种病毒，特征是病毒除了释放正常的 autorun.inf 外，还把用户电脑每个盘的文件夹都设置为隐藏/系统属性，并在根目录下生成和用户原来文件夹同名的快捷方式指向病毒vbs 脚本。这时，大多数用户都会还原系统，但是在双击打开其它盘，或打开那些快捷方式同名的文件夹时，系统可以又出现中毒现象。有些杀毒软件根本无法识别这些病毒，有的识别并杀毒后出现很多东西打不开的现象。下面是这些病毒的一些知识点的集中，希望大家有个参考：一 系统设置的更改1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他（当你打开这些文件的时候，相当于执行了一遍病毒）eg：HKEY_LOCAL_MACHINESOFTWAREClassesbatfileshellopencommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs%1%*2 我的电脑打开方式被修改（双击我的电脑，同样相当于执行了一遍病毒）eg：HKEY_CLASSES_ROOTCLSID20D04FE0-3AEA-1069-A2D8-08002B30309Dshellopencommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs OMC 名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 5 页 -HKEY_CLASSES_ROOTCLSID20D04FE0-3AEA-1069-A2D8-08002B30309Dshellexplorecommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs EMC 3 修改 IE 关联（原来挟持 IE 主页的方法，被此病毒用来启动自己）eg：HKEY_LOCAL_MACHINESOFTWAREClassesApplicationsiexplore.exeshellopencommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs OIE HKEY_CLASSES_ROOTCLSID871C5380-42A0-1069-A2EA-08002B30309DshellOpenHomePageCommand%SystemRoot%System32WScript.exe C:WINDOWSexplorer.exe:.vbs OIE 二 添加文件，主要是数据流文件到系统文件：（绕过安全软件的启动项目扫描，同时普通用户很难清除）eg%sys32%smss.exe C:WINDOWSsystem32smss.exe:.vbs%windir%explorer.exe C:WINDOWSexplorer:.vbs%SystemRoot%systemsvchost.exe C:WINDOWSsystemsvchost.exe 此文件本质上就是 wscript.exe，可以删除三 病毒启动项目（这是病毒使用的常规启动项目，其实它不需要的）HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad%SystemRoot%systemsvchost.exe C:WINDOWSsystem32smss.exe:.vbs 四 隐藏系统目录文件夹，并创建一个快捷方式指向原文件夹（这招毒啊，相当于windows 之类的目录也会中毒）名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 5 页 -五 其他（欺负其他杀毒软件，保护自己,恶作剧等）其他还包括创建保护进程（%SystemRoot%systemsvchost.exe)反复保护自己，通过NTSD 命令结束某些进程。*1 用第三方软件比如 wsyscheck 之类2 删除 vbs 关联，重启电脑(这个还需要进一步鉴定，比较麻烦自我学习中)regsvr32/u vbscript.dll regsvr32/u scrrun.dll 3 其他名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 5 页 -修复：1 系统设置的修复sreng 等工具的修复功能，最好自己整reg 导入regsvr32/i shell32.dll可以用于修复我的电脑打开方式异常2 隐藏文件夹恢复显示隐藏文件以后删除 1kb 的快捷方式，然后新建一个批处理attrib/D/S-s-r-h 3 数据流 据说 winrar压缩一下下然后重新解压就可以恢复了或者使用其他软件删除数据流4 删除分区根目录下的vbs 和 autorun.inf文件。*病毒会检查相应的参数并执行相应功能，让打开文件看上去正常的同时，执行病毒病毒run:当执行磁盘根目录下的autorun.inf 时，默认打开磁盘根目录，并执行病毒内容txt,log,ini,inf：执行这些后缀名的文件时，调用notepad 打开文件，并执行病毒内容bat,cmd：执行此类后缀名的添加信息”Hi!Im here!“，并执行病毒内容reg，chm，hlp 没啥好说的dir，病毒创建的快捷方式，该参数用来打开相应的文件夹并执行病毒内容oie，模拟打开 IE，并执行病毒内容omc emc，模拟打开我的电脑，并执行病毒内容*这两天，学校各科室的电脑差不多都因使用U盘而感染了病毒，其中一个就是Autoran病毒的变种，它的症状我就不再描述了，另外一个病毒的症状是所有文件夹都变成了1KB文件夹快捷方式，各盘无法双击打开（但右击打开可用），存放的文件夹无法复制、删除等，按说对系统的影响不算太大，也可以进行相关的操作，但是感觉不爽，毕竟已经中了毒，害怕越来越严重，于是上百度搜，发现也有网友中了这样的病毒，但是病毒的清除方法都不很明确，我浏览查阅了相关网页内容，结合自己的实际操作，总算把它给搞定了，现将我的手动清除过程名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 5 页 -总结如下：1）先用杀毒软件或U盘专杀等清除 Autoran 病毒 2）重装系统（或备份还原系统），完成后重启电脑，注意：启动后，千万不要打开任何分区 3）右击“我的电脑”，用“资源管理器”打开，执行“工具”-“文件夹选项”，显示隐藏系统文件和隐藏文件，在各分区根目录下找到所有以.vbs 为扩展名的文件（我的是除了 C盘外各分区下都有一个），彻底删除后重启电脑。4）重启电脑进入系统后，右击“我的电脑”，同样用“资源管理器”打开，会发现除系统盘外其他各分区根目录下都有一个相同文件名的文件夹和1KB的文件夹快捷方式，且文件夹都是隐藏的，并且隐藏属性为灰色不可更改，1KB的文件夹快捷方式的文件属性为不隐藏的 5）选中所有的 1KB文件夹快捷方式，彻底删除。6）更改文件夹的隐藏属性，是隐藏属性为不隐藏，具体操作是：依次打开“开始”-“运行”，输入 cmd后回车，打开 MS-DOS，在命令提示行中输入以下命令：attrib /d /s d:*-h attrib /d /s e:*-h 如果有 f 盘、g 盘等的话可以依次输入：attrib /d /s f:*-h attrib /d /s g:*-h 其他的依次类推.（注：有的在 MS-DOS 下无法更改文件的隐藏属性，那就安装一个 DOS 工具或者使用带 DOS 引导的系统盘吧）以上就是我手动清除1KB文件夹快捷方式病毒的具体操作步骤，希望对那些同样深受其害的 wy有所帮助，如果您有更好的方法法，也可以留言给我的,*名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 5 页 -