Question

不重装系统的情况下Worm.Script.VBS.Agent.q怎么彻底清除？

Answer 1

病毒名称：Worm.Script.VBS.Agent.aa
截获时间：2007.10.18
入库版本：19.45.40
类型：蠕虫

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

清除难度：困难

破坏力：低

破坏手段：感染用户系统中的脚本文件。

这是一个感染型脚本病毒。

1.初始化：

（1）读取下列注册表内容，将Username的值赋给GetUserName，否则将其值设为Administrator；
"HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\
{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Username"

（2）读取下列注册表内容赋于GetFSOName，否则将GetUserName的值设为Scripting.FileSystemObject；
HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID\；

（3）读取%system%目录下%GetUserName%.ini文件第三行的数据，如果为Admin则弹出内容为"You Are Admin!!! Your Computer Will Not Be Infected!!! "的消息框；并提示用户输入相应数值进行如下操作： "0:退出； 1:监视系统； 2:传染文件, SuperVirus脚本测试!"

2.运行后具体病毒行为：

（1）运行病毒病毒会将自身副本复制到如下系统目录，并将其属性设置为系统、隐藏：
%WINNT%\%GetUserName%.vbs；
%system%\%GetUserName%.vbs；

各个分区根目录的%GetUserName%.vbs；

（2）遍历磁盘，当磁盘类型为DRIVE_NO_ROOT_DIR，DRIVE_REMOVABLE，DRIVE_FIXED时生成Autorun.inf，目的为使得用户采用鼠标双击、右键打开和右键资源管理器打开文件时，将病毒文件运行起来；

（3）生成%system32%\%GetUserName%.ini，这是病毒的配置文件。

（4）感染和破坏过程如下：

病毒运行后会遍历磁盘将含有成人色情词汇且扩展名为"mpg", "rmvb", "avi", "rm"的文件删除。

遍历磁盘中扩展名为"hta", "htm" , "html" , "asp", "vbs"的文件，并将自身插入到这些文件的头部，生成有效脚本文件实现感染。该病毒在感染前会首先判断系统中的脚本是否已经被感染，该脚本感染后，会将感染标记标记在脚本的指定位置，不重复感染。

（5）修改注册表：

<1>添加自身的启动加载项：
"HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load" 值为%SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1

<2>修改文件关联：
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\",
%SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）

<3>修改浏览器显示文件夹属性，隐藏文件：
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL\CheckedValue"，0（值）, "REG_DWORD"（类型）
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\ShowSuperHidden"，0（值）, "REG_DWORD"（类型）

<4>打开系统自动播放功能： "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer\NoDriveTypeAutoRun"，129（值）, "REG_DWORD"（类型）

（6）病毒具有监视系统功能，当用户选择监视系统时，病毒会监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"，发现后就结束该进程，然后执行感染功能；

（7）病毒将记录感染脚本的数量，当感染脚本的数量超过200时，会自动弹出消息框，内容为"您已有超过2000个文件被感染!不过请放心，此病毒很容易被清除!请联系418465***-_- !"；

（8）病毒将感染文件的信息记录到%system %目录下的%GetUserName%.ini中，如感染日期等;

（9）病毒被其设计者划分为几个主要个功能模块，这些模块以指定的串作为开头和结尾的标志，病毒实现这些模块位置在感染过程中的相互位置变换，以及模块标志的命名变化。

3．该病毒特点如下：

（1）病毒实现感染过程中的模块位置变换，增加部分杀毒软件公司的处理难度；

（2）病毒有自身的版本，当用户运行该病毒的更高版本时，其各系统盘的副本会实现替换更新，其Autorun.inf文件的文件指向也会随之变更；

（3）病毒体内本身预留了杀毒和系统注册表恢复的代码，感染后会提示用户联系其作者索取杀毒功能，有明显的讹诈意图。

这是百度搜到的。

Answer 2

如果你机子配置不错的话建议你使用

卡巴斯基互联网安全套装7.0+360安全卫士组合

我就是用这个还没有中过毒的

Answer 3

如果你用杀毒软件扫出来但是没法清除的话就下个UNLOCKER..按路径找到源文件直接删除