瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于1KB文件夹快捷方式病毒的区别和自我判断。

12   1  /  2  页   跳转

[原创] 关于1KB文件夹快捷方式病毒的区别和自我判断。

关于1KB文件夹快捷方式病毒的区别和自我判断。

注意此类病毒变种很多,这贴的内容已经过时了。


在目前,1kb文件夹快捷方式病毒已发现多种,其行为还是不完全一样的。很多求助的可能没办法自我判断是哪种病毒。

我们今天就主要谈谈如何自我判断主要的两种文件夹快捷方式病毒。

实际上,当你发现你的U盘,你的移动存储设备,你的电脑内各盘都存在大量原文件夹的快捷方式的时候,你就是中了此类病毒了。

这时候你不用惊慌,你只需要用鼠标右键点击那些文件夹快捷方式,在出来的菜单内选择“属性”项。



然后看文件夹快捷方式的“目标”项内的内容,就可以看到病毒的大致情况了。

我们在“目标”项内看到的是如下图的情况,包含*********.vbs的字符。或者是没有字符的空的.vbs字符存在
   


如果我们在“目标”项内看到的是如下图的情况,包含thumb.db字符,那么它就是另一种文件夹快捷方式病毒,此毒比较烦人。



本贴原来的附件仅支持早期那个thumb.db文件夹快捷方式病毒的清除。

因为后来几年陆续发现不少新文件夹快捷方式病毒,都和这个不一样了。

所以原附件内的清理工具已取消,请各位尽量选择使用官方杀毒软件全盘查杀。依赖这个附件已经无法解决你的问题。

例如2015年前后晃悠各论坛见到的一些新的求助的样本情况:

这个病毒不仅仅影响所有文件夹,它还影响所有文件,就是将所有文件夹和文件都改为系统的、隐藏的双重属性,然后创建那些同名快捷方式去引导你去误击打开。



还有下面这样的:




所以原附件内的清理工具已取消,请各位尽量选择使用官方杀毒软件全盘查杀。依赖这个附件已经无法解决你的问题。

请在Windows的任务管理器内结束所有能看到的wscript.exe进程后,再使用杀毒软件全盘杀毒即可解决问题。

此病毒依赖wscript.exe程序运行,而日常人们又用不到wscript.exe程序。所以可以组策略禁止wscript.exe程序运行。病毒就是死文件了。

附件: 附件说明.txt (2015-7-2 15:49:58, 941 B)
该附件被下载次数 1516



如果你是在局域网内,那么你的电脑内的共享文件夹必须关闭共享,清除网内所有包含此毒的电脑内的病毒才能解决问题。

因为此thumb.db病毒影响所有文件夹的目录内的文件夹,所以你的共享文件夹极易被其他感染此毒的电脑写入大量病毒文件和文件夹快捷方式。

总之出现文件夹快捷方式病毒的时候,不要紧张,首先要看快捷方式的“属性”的“目标”位置内具体有怎样的异常*.vbs等参数,就还是可以做些事的。

如果杀毒软件清除病毒后,没能修复系统,出现我的电脑双击无法打开。

请尝试开始菜单运行内输入 regedit  后回车,开启注册表,在下面路径内

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

找load键,看其值是否为空,有内容的,清空值,或删除load键即可。

手工清理不算难。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
最后编辑天月来了 最后编辑于 2016-11-19 11:19:53
百年以后,你的墓碑旁 刻着的名字不是我
分享到:
gototop
 

回复: 关于1KB文件夹快捷方式病毒的区别和自我判断。



引用:
原帖由 天月来了 于 2010-1-18 18:35:00 发表
http://bbs.janmeng.com/thread-914511-1-1.html

剑盟样本区呢



tiny

程序分组管理

除了本地在tiny中注册的程序,其它任何程序不许调用wscript.exe。

就这些简单的招数,足以将此毒置于死地。

对付VBS类病毒——就这些。



最后编辑baohe 最后编辑于 2010-01-18 18:50:53
gototop
 

回复:关于1KB文件夹快捷方式病毒的区别和自我判断。

wscript.exe类易被病毒利用的系统重要程序的完整控制,有多少人能做到baohe的程度哟。呵呵!!!

当人们双击那些文件夹快捷方式,或者在仍然能够自动播放的Windows系统内,一旦插入U盘,系统自身的桌面程序explorer.exe就会去启动Wscript.exe执行那些*.vbs。

而你是知道如何设置自己的防护规则内的桌面程序explorer.exe与其他重要的系统程序之间的父子逻辑关系的。

那些普通用户没人能知道如何去定义这些程序间的逻辑防护关系的。
最后编辑天月来了 最后编辑于 2010-01-21 11:32:31
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:关于1KB文件夹快捷方式病毒的区别和自我判断。

学习了 备用
gototop
 

回复:关于1KB文件夹快捷方式病毒的区别和自我判断。

一直想搞掉那个1KB,上次害得我格掉移动硬盘,损失我的全部动画片
多谢版主
天天学习,好好向上~~~
gototop
 

回复:关于1KB文件夹快捷方式病毒的区别和自我判断。

感谢楼主 虽然新电脑还没中过1KB 不过又学了一招 电脑更安全一层
gototop
 

回复: 关于1KB文件夹快捷方式病毒的区别和自我判断。

希望楼主的办法有用~~今天不小心中了别人U盘里的这个病毒,,属于楼主说的第二种,用了网上搜索的很多所谓的1KB文件夹病毒专杀工具都没用,,杀不了~~~正在查杀中。。。
gototop
 

回复:关于1KB文件夹快捷方式病毒的区别和自我判断。

这不就是暴风一号的症状之一吗?
感染不是你的错
不能修复就是你的不对了
遇到问题请附截图和sreng日志
gototop
 

回复:关于1KB文件夹快捷方式病毒的区别和自我判断。

楼主,你好,我的本本感染了第一种病毒.vbs的,使用上述工具后,文件夹都好了,可是‘我的电脑’还是打不开,每次都弹出对话框“无法找到脚本文件C:\Windows\explorer.exe:617680292.vbs”,使用了金山U盘专杀后还是只能通过‘我的文档’查看磁盘,仍无法打开‘我的电脑’,我的系统是win7的,希望天月姐姐可以帮帮我。
gototop
 

回复 11F yiyi313 的帖子

用SRENG工具扫描系统日志发这论坛来,建议日志文件以附件形式接本贴发来:

下载:http://www.kztechs.com/sreng/download.html

扫描操作图:
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT