【请求资深瑞星技术工程师帮助】请问如何彻底处理VBS.icarOs这个病毒?
最近我机子里有一种不停复制的文件,folder.htt和desktop.ini,即使删掉还是会出现,而且越来越多,几乎每个文件夹下都有,占了不少硬盘空间,我想请问怎样才能彻底删除它们,并让其不再生成?
-------------------------------------------------------------------------------我按照瑞星的方法不行:
病毒分类 脚本病毒 病毒名称 VBS.icarOs
别 名 病毒长度
依赖系统 传播途径
行为类型 感 染
病毒发作 瑞 星 版 本 号
16.15.10
恶意网页脚本病毒。
中毒症状:用户打开文件夹时,系统有明显停顿。
危害: 耗费系统资源,使系统变慢;可以通过网页传播,用户在浏览网页时会被感染,潜在的危险很大。
发作日期和发作现象:系统时间为9月26日,病毒会突然重启机器,造成用户数据意外丢失!
特性:IE 浏览器存在ActiveX漏洞,在网页中允许执行任意代码。病毒利用该漏洞覆盖系统文件,即使用户仅仅打开文件夹,也会激活病毒。
彻底解决办法:
1) 利用瑞星漏洞检测工具扫描系统,打上最新的补丁程序。
2)关闭所有应用程序,用瑞星全盘杀毒。杀毒期间不要进行其他操作。
详细分析:
一、覆盖%WINDOWS%\WEB\FOLDER.HTT,这样,当用户每次打开文件夹,都会激活病毒(只有“按Web页显示”的文件夹,病毒才会运行;但是
几乎所有的windows用户都是这种设置)。
二、感染当前文件所在盘符的根目录,例如c:\、d:\、e:\、等等,释放病毒文件Folder.htt和Desktop.ini。事实上,每个根目录下都会出现
前面两个文件,手工删除没有效果。
三、修改IE的主页、默认页、搜索页的设置
分别将下列键
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"
"HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\"
"HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\"
的下列值名
"Start Page"
"Local Page"
"Default_Page_URL"
的数据修改为下列内容。
"http://www.geocities.com/hedda_marie_tolentino/index.htm"
用户手工清除没有效果,
四、事实上,病毒在判断时间上存在bug,某些中文windows系统平台不会被重启。
五、感染当前目录的htm、html和htt文件。
还是不行,怎么办!!!!
系统是98
IE是5.0
漏洞通过瑞星漏洞扫描已经补过。
也彻底杀毒过。
还是不行。^1kO VçIðbbs.ikaka.com¯ÕZsèCP�T
