123   1  /  3  页   跳转

脚本病毒.vbs的查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-26 09:18 | 只看楼主 短消息 资料
字号: 1楼

脚本病毒.vbs的查杀

脚本病毒.vbs的查杀。

一、查杀此毒的关键是禁止c:\WINDOWS\system32\wscript.exe运行。wscript.exe是系统程序,不是病毒。但它是此毒运行的必要条件。
禁止wscript.exe的办法有:
1、在“软件限制策略”中禁掉c:\WINDOWS\system32\wscript.exe(图1)
2、将I386、dllcache、system32三个文件夹中wscript.exe的后缀去掉。这时,“windows文件保护”机制被触发,用户会收到系统报警:windows系统文件被替换为不可识别的版本。不必理会(因为这是用户去除wscript.exe后缀的结果)。在提示对话框中分别点击“取消”、“是”。
只要上述任何一种操作成功,便打断了此毒“连环套”式的感染环节,病毒主体无法运行(图2)。

二、结束c:\WINDOWS\system32\wscript.exe进程。

三、用IceSword找到并删除下列病毒文件:

c:\windows\.vbe

c:\windows\system32\.vbe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs

四、删除病毒添加的注册表内容:
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除:  <LENOVO-CE316418><.vbe>  []
注1:这个服务名是病毒拷贝的本地计算机名。不同的电脑,此名不同。
注2:如果是采用第二中办法禁wscript.exe,杀完毒后,请恢复I386、dllcache、system32三个文件夹中wscript的后缀。


图1


[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:1834
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-26 9:18:26
描述:
预览信息:EXIF信息



最后编辑2008-04-04 16:04:54
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-26 09:19 | 只看楼主 短消息 资料
字号: 2楼

图2:禁掉wscript.exe后,双击病毒文件。它傻了。

附件附件:

下载次数:1701
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-26 9:19:33
描述:
预览信息:EXIF信息
gototop
 
xqb761
头像
拙长孩提狮
  • 帖子:164
  • 注册: 2007-01-26
  • 来自:
发表于: 2008-02-26 09:39 | 短消息 资料
字号: 3楼

猫叔厉害,这方法你也能想出来,I 服了 YOU~~
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-02-26 09:58 | 短消息 资料
字号: 4楼

就用瑞星的主动防御禁那c:\WINDOWS\system32\wscript.exe

比较方便
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-26 10:00 | 只看楼主 短消息 资料
字号: 5楼

引用:
【天月来了的贴子】就用瑞星的主动防御禁那c:\WINDOWS\system32\wscript.exe

比较方便
………………

试过这招。感觉不是很可靠。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-02-26 10:14 | 短消息 资料
字号: 6楼

呵呵!!!

这死鬼瑞星主动防御那么没用,唉.............

无语了。

看来还是禁wscript.exe才行,而不是c:\WINDOWS\system32\wscript.exe

可惜破瑞星的主动防御不能选择按文件名禁止进程加载运行。

如果选择禁止
c:\windows\.vbe
c:\windows\system32\.vbe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs
任何访问、读取、创建、删除等都往死里禁,难道还不行???
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-26 10:20 | 只看楼主 短消息 资料
字号: 7楼

引用:
【天月来了的贴子】呵呵!!!

这死鬼瑞星主动防御那么没用,唉.............

无语了。

看来还是禁wscript.exe才行,而不是c:\WINDOWS\system32\wscript.exe

可惜破瑞星的主动防御不能选择按文件名禁止进程加载运行。

如果选择禁止
c:\windows\.vbe
c:\windows\system32\.vbe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs
任何访问、读取、创建、删除等都往死里禁,难道还不行???

………………

你可以试试。
我认为:禁wscript.exe是“釜底抽薪”的办法。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-02-26 10:29 | 短消息 资料
字号: 8楼

引用:
【baohe的贴子】
你可以试试。
我认为:禁wscript.exe是“釜底抽薪”的办法。
………………

你那方法自然好啦。

我只是好奇这瑞星的主动防御而已。

以后有机会一定试。

可现在没自己的电脑了。

没办法折腾玩。
gototop
 
sako
头像
社区嘉宾
  • 帖子:7496
  • 注册: 2007-10-16
  • 来自:遥远的地方
发表于: 2008-02-27 01:26 | 短消息 资料
字号: 9楼

引用:
【天月来了的贴子】
你那方法自然好啦。

我只是好奇这瑞星的主动防御而已。

以后有机会一定试。

可现在没自己的电脑了。

没办法折腾玩。
………………

用主动防御耍貌似可以地,提示一大堆,偶也去搞搞.
gototop
 
sako
头像
社区嘉宾
  • 帖子:7496
  • 注册: 2007-10-16
  • 来自:遥远的地方
发表于: 2008-02-27 01:27 | 短消息 资料
字号: 10楼

貌似最近这个vbs和磁碟机又开始了,很多人选择了重装系统,让我很无奈
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT