Question

支招杀.vbs病毒

Answer 1

worm.vbs病毒行为：
1、病毒运行后衍生的病毒文件：
%system32%\systeminit.exe
%system32%\winsystem.exe
%system32%\wininit.exe
X:\kerneldrive.exe
X:\autorun.inf
（其中X表示相应的盘符，不过移动盘根目录下的病毒文件为handydriver.exe与autorun.inf）
worm.vbs病毒清除方案：
1、从正常电脑上拷贝任务管理器taskmgr.exe与cmd.exe文件到中毒电脑上。
2、结束病毒进程wininit.exe：
直接运行cmd.exe输入命令tasklist查看进程列表，输入taskkill
/pid
xxx结束病毒进程。（xxx表示病毒进程对应的pid号）
3、运行"gpedit.msc"打开组策略：
恢复“文件夹选项”，按步骤执行：
用户配置-管理模板-Windows组件-WIindows资源管理器-从“工具”菜单删除“文件夹选项”菜单-已禁用-确定。
恢复“任务管理器”，按步骤执行：
用户配置-管理模板-系统-Ctrl+Alt+Del选项-删除“任务管理器”-已禁用-确定。
4、用正常的taskgmr.exe与cmd.exe文件覆盖%system32%下被病毒替换的taskmgr.exe与cmd.exe文件。
5、显示隐藏的病毒文件，按步骤执行：
我的电脑-菜单栏-工具-文件夹选项-查看-勾去“隐藏受保护的操作系统文件（推荐）”-勾选“显示所有文件和文件夹”-确定。
6、删除病毒文件：
%system32%\systeminit.exe
%system32%\winsystem.exe
%system32%\wininit.exe
X:\kerneldrive.exe
X:\autorun.inf
（注意：删除病毒文件时，千万不要双击打开盘符以免激活病毒，可以通过地址栏或资源管理器进入相应盘符。）
7、分别以关键字systeminit.exe,winsystem.exe,wininit.exe,kerneldrive.exe,handydriver.exe搜索注册表，删除相应键值。最后建议用魔法兔子进行垃圾清理