电脑中了病毒,所有文件夹全部变成“文件名.lnk”,文件名就是文件夹的名字!!文件打不开,查出来也没用
病毒说明:
此病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。
此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。
一 系统设置的更改
1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %*
2 我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒)
eg:
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" EMC
3 修改IE关联(原来挟持IE主页的方法,被此病毒用来启动自己)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE
二 添加文件,主要是数据流文件到系统文件:(绕过安全软件的启动项目扫描,同时普通用户很难清除)
eg
%sys32%\smss.exe ---C:\WINDOWS\system32\smss.exe:.vbs
%windir%\explorer.exe---C:\WINDOWS\explorer:.vbs
%SystemRoot%\system\svchost.exe---C:\WINDOWS\system\svchost.exe 此文件本质上就是wscript.exe,可以删除
三 病毒启动项目(这是病毒使用的常规启动项目,其实它不需要的)
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:.vbs"
四 隐藏系统目录文件夹,并创建一个快捷方式指向原文件夹(这招毒啊,相当于windows之类的目录也会中毒)
五 其他(欺负其他杀毒软件,保护自己,恶作剧等)
其他还包括创建保护进程(%SystemRoot%\system\svchost.exe)反复保护自己,通过NTSD命令结束某些进程
此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。
解决方法:
方法一:
1、光盘启动,重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)
2、关闭所有驱动器的自动运行功能,这步非常重要。
在组策略中将自动运行这项功能关掉:在"运行"中输入"gpedit.msc"打开组策略,依次展开"计算机配置->管理模板->系统",在右边找到"关闭自动播放"双击打开,选择"已启用",在"关闭自动播放"下拉列表中选择"所有驱动器",单击确定即可。
在每个盘的根目录下面建一个文件夹,重命名为"autorun.inf",将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建autorun.inf这个文件).
3、用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了)
4、到这个网站:http://www.rensoft.com.cn/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。
方法二:不用重装系统也能彻底清除此病毒的方法,操作比较专业。是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式,病毒的问题就可以解决了!!很管用的,大家遇到这种情况可以试试!用光盘进winpe(如果硬盘上装有winpe则开机时选择进入winpe即可),搜索*.vbs(*表示任意文件名),将搜索出来的结果全部删除。
用Tiny,将wscript.exe由信任组转入特殊组,设置文件访问及注册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然后,再双击“我的电脑”,此毒不能复活,且“我的电脑”以及各级目录可以顺利打开。
方法三:手工彻底杀灭此毒的流程应该是:
1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
方法四:
1、在安全模式下启动,删除有关“smss”及“vba”的启动项!
2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试),
将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到winrar中
删除即可!
3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)
4、有的变种修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件,
最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。
5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹
6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!
方法五:
建立一个批处理文件:
del -f c:\*.lnk
del -f d:\*.lnk
del -f e:\*.lnk
del -f f:\*.lnk
del -f g:\*.lnk
del -f h:\*.lnk
然后保存为bat格式的文件。然后双击运行。然后找个u盘copy个usbclear 和foldercure ,先用
foldercure从u盘启动杀毒。即可。
最近从网上看到有的网友用文件夹图标病毒专杀软件FolderCure查杀一遍后,将所有硬盘里快捷方式的图标文件和文件夹全部删除,重启计算机,病毒清除就完成了。我没有试过不知道效果如何,有兴趣的网友可以试试。
首先需要的是一个PE盘,或者一个linux
live
cd,这两都能让病毒现出“真身”。直接在win系统下删除估计也成,但我没试过,也不推荐。推荐的是ubuntu的livecd,进去后怎么双击都没事,然后把根目录下,与文件夹同名的.exe或者.lnk删除,还有一个autorun.inf,与.exe对应的是explorer.exe,.lnk对应的是XX.vbs(XX为一串随机数字)。这俩也得删除,而且不是一定会有的。删除完以后一定得检查下电脑里的c盘还有其他分区,很多反复感染就是因为在c盘里仍有这玩意,而且即使c盘感染了,文件夹也不会隐藏。
都删除完了以后就简单了,重启进入win下,开始→运行→cmd。vista或者win7直接在搜索框里输入cmd就成。然后定位到染毒的分区下面,如G盘染毒就输入g:
然后输入attrib
-s
-h
/s
/d
*.*
然后回车
不一会就会完成,dir命令可以查看到以前所有的文件夹。
资源管理器左侧的小树也可以看到所有的文件夹
以上是从网上找到的资料。我建议先进入安全模式、显示隐藏文件,再删除异常文件,不过在C盘就小心删掉系统文件。
,这个病毒是vbs病毒,会将电脑里的文件夹全改成“快捷方式”,并且会改了文件夹属性,导致杀毒后文件夹还是隐藏文件夹并且改不回来,所以这个病毒的俗名叫“1KB快捷方式病毒”,百度“1KB快捷方式病毒专杀”,然后下载使用就可以了。
如果没找到,请Q我并留言,我把专杀发给您。
希望能帮到你,
首先不要用杀软杀毒,
1,检查被命名为。ink的文件大小是否符合中毒前的大小,
2,大小正确后,在安全模式下或者PE下重命名文件,也就是吧.ink删掉,看能否恢复正常,
3,如果能恢复就行了,接下来用好点的杀毒软件杀毒,提醒,不要用360或者卡巴斯基,因为这两个杀软都有杀毒删系统文件的习惯,推荐用金山毒霸,
诺顿全能特警,趋势安全专家等杀软进行扫描隔离,
4。以上步骤都做完了,就去金山安全下载金山急救箱,来恢复系统文件和被恶意篡改的文件!!!
希望对你有帮助,如果还有问题,请HI我
在百度搜索,暴风一号专杀工具,下载扫描,几秒钟就能解决问题了。。呵呵。
电脑中了病毒,所有文件夹全部变成“文件名.lnk”,文件名就是文件夹的名字!!文件打不开,查出来也没用视频
相关评论:
卜蒋官如果你的Win7系统电脑文件夹全部变成exe文件,可能是受到了病毒或恶意软件的影响。以下是一些解决方法:1. 扫描病毒:运行一个可信赖的杀毒软件,如 Windows Defender、Avast、360安全卫士等,全面扫描你的电脑以查找和清除病毒或恶意软件。2. 恢复默认文件关联:右击一个文件夹,选择“属性”,然后点击“...
卜蒋官如果你没有使用杀毒软件,就会点击这个带病毒的“软件”的文件夹,这种病毒就是可执行文件,会将这个盘里所以文件夹全部复制一个同样的名字出来,将你真正要使用的正常的文件夹隐藏了。要解决这个问题,只能 使用“360杀毒”之类的病毒处理工具及时处理电脑里的病毒。一般来说通过“360杀毒”之类的病毒处理...
卜蒋官插上U盘之后打不开电脑上所有文件夹,应用程序可以打开就是打不开文件夹 可能中了伪装成文件夹的病毒,右键单击一个“文件夹”--属性 你会发现它是一个应用程序 电脑应用程序打不开,文件夹,word都能打开 先清理垃圾文件,后查杀木马病毒(全盘查杀),重启计算机试一试。还是不行只能重做系统了。...
卜蒋官电脑中毒不是所有文件中毒的,一般感染exe可执行文件,也有感染word文件,还有文件夹病毒,自动生成文件夹一样的病毒文件,照片感染病毒几乎没有。
卜蒋官安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除。如果遇到顽固木马,...
卜蒋官然后再运行金山U盘专杀这个工具,勾选全盘扫描,他能处理掉病毒母体和那些被隐藏的文件夹,还能修复一些U盘被感染的文件。电脑总提示中病毒,杀不干净,几乎所有.exe文件都不能用了 360嘛就是这个叼样 没作用兼是流氓加放病毒的喳喳 电脑中了病毒是电脑变得很卡,而且几乎所有的exe文件都无法运行 杀毒...
卜蒋官楼主,你好!看了你描述,判断是你的电脑中毒后,文件的关联被修改了。你可以采取以下方法:使用杀毒软件对全盘进行查杀病毒,在查杀时最好不要运行其它软件和程序,并尽可能地退出任务栏的启动加载项。如果病毒被查杀后,文件的关联没有恢复,你可以手动修改EXE文件的关联。在这里,向你推荐腾讯的电脑管家...
卜蒋官应该是你的文件被病毒感染了,查毒时,被杀毒程序给删了,如果非要找回的话,建议你不要对文件原来的存储区域进行任何的存读取操作,可以用专门的软件进行找回,不过不建议你自己弄,因为数据找回的时候要注意的方面很多。建议你找专业人士帮你弄。
卜蒋官此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript....
卜蒋官每个复制后的文件夹都加了后缀.exe,是病毒导致,实际文件应该存在,有的病毒会把文件设置为隐藏属性,楼主可以进行以下操作:1、安装带监控的杀毒软件,升级后全盘杀毒。2、下载“瑞星安全助手”安装(下载地址:http:\/\/pc.rising.com.cn\/)。安装成功后打开瑞星安全助手,进行立即体检一键修复操作,修复...