ideality

@linux c 编程@

日志

关于我

cooliron

喜欢开源,愿意结识青岛使用开源的朋友,一起学习,工作。

文章分类

“1KB文件夹快捷方式病毒”专杀工具与操作

2010-04-09 15:24:01| 分类： windows | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

----来自：http://modestking.blog.163.com/blog/static/1233662132009111621319780/

本操作经过本人测试好用，到目前为止。

目前1KB文件夹快捷方式病毒象是感染范围加大了。

它每次创建新文件的时候，自身的md5值也在不断变化。所以单纯靠杀毒软件好象难以解决已经中毒的系统的异常

这是baohe版主的测试贴：http://bbs.ikaka.com/showtopic-8665183.aspx看了网友们的测试，做了下面的“1KB文件夹快捷方式病毒清除专用附件”，全部内附说明图。

“1KB文件夹快捷方式病毒”专杀操作 - cooliron - coolirons ideality 附件: 1KB文件夹快捷方式病毒清除专用附件.rar 。http://bbs.ikaka.com/attachment.aspx?attachmentid=564690

1KB文件夹快捷方式病毒清除专用附件包含四部分。

1、清理工具

2、数据流清除工具

3、wscript文件权限恢复

4、恢复文件夹属性工具

在系统盘为FAT32的系统内，只需要使用“清理工具”清理即可。然后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。

在系统盘为NTFS的系统内，首先使用“清理工具”清理，然后再用“数据流清除工具”清除检测到的数据流。

最后再使用“wscript文件权限恢复”恢复wscript文件权限即可。然后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。

附件执行的程序行为如下：

清理工具点击开始处理后，程序将执行：

1、结束系统内如下进程：

%SystemRoot%\system\svchost.exe

%SystemRoot%\SYSTEM32\wscript.exe

（注意是%SystemRoot%\system\svchost.exe进程，不是%SystemRoot%\system32\svchost.exe进程）

2、如果是NTFS系统盘，就将执行修改%SystemRoot%\SYSTEM32\wscript.exe文件权限，迫使重启电脑后，此病毒无法再次开机自启动。

（注意清理完病毒后，还需要用附件中的wscript文件权限恢复工具去恢复%SystemRoot%\SYSTEM32\wscript.exe文件权限，这个操作在v系统内可能并不完美）

3、接下来删除以下文件：

删除%SystemRoot%\system\svchost.exe

删除C:\盘至Z:\盘的根目录下的Autorun.inf文件

删除C:\盘至Z:\盘的根目录下的*.vbs文件

删除C:\盘至Z:\盘的根目录下的*.lnk文件

（注意，本程序为了清除磁盘根目录下那些被恶搞出来大量的文件夹快捷方式，只能采取删除所有盘根目录下的*.lnk快捷方式的办法了。如果你有其他文件的快捷方式在磁盘根目录下，将会一并删除，但是本程序的“备份文件夹Backup”内有备份的被删除的东西，自己找找恢复即可。）

4、删除注册表内被病毒恶搞的项目，此项目能支持被恶搞的系统在双击“我的电脑”时继续启动附加入桌面程序的那数据流病毒。

5、恢复注册表内load项目的默认空值。

6、修复相关文件关联，不能完美修复，但是将就够了，想完美修复的，找些其他工具试吧，一并修复如下项目：

修复系统文件夹选项那显示隐藏文件，显示系统文件的功能，以及显示文件扩展名。

修复IE主页（这并不是主页被修改，而是这可以同步修复打开IE也启动数据流病毒的问题）

禁用系统自动播放

数据流清除工具，实际是利用了过去好多年一直用的很流行的HiJackThis工具的数据流检测清除功能，很简单的操作。

（注意此数据流扫描的时候，在安装有卡巴的安全软件系统中，可能会扫描出卡巴自身的数据流，那无须要清理，关于此毒的数据流，参照说明图中所示，包含**********.vbs的项目才是需要清理的）

恢复文件夹属性工具，用来最后恢复各盘内根目录下被隐藏的大量文件夹，看说明图以及说明文件自己正确操作。

评论这张

转发至微博

阅读(1053)| 评论(0)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_080064092083087066086084083095085084085068084085087064092',
              blogTitle:'“1KB文件夹快捷方式病毒”专杀工具与操作',
              blogAbstract:'<P style=\"TEXT-INDENT: 2em;\"  \>  <TABLE cellSpacing=\"0\" cellPadding=\"0\" border=\"0\" \>  <TBODY\>  <TR\>  <TD\>  <P\></P\>  <P style=\"TEXT-INDENT: 2em;\"  \>                              ----来自：<A href=\"http://modestking.blog.163.com/blog/static/1233662132009111621319780/\"  \>http://modestking.blog.163.com/blog/static/1233662132009111621319780/</A\></P\>  <P style=\"TEXT-INDENT: 2em;\"  \>本操作经过本人测试好用，到目前为止。</P\>  <P style=\"TEXT-INDENT: 2em;\"  \>目前1KB文件夹快捷方式病毒象是感染范围加大了。</P\>  <P style=\"TEXT-INDENT: 2em;\"  \>它每次创建新文件的时候，自身的md5值也在不断变化。所以单纯靠杀毒软件好象难以解决已经中毒的系统的异常</P\>  <P style=\"TEXT-INDENT: 2em;\"  \>这是baohe版主的测试贴：<A rel=\"nofollow\" href=\"http://http://bbs.ikaka.com/showtopic-8665183.aspx\"  \></A\></P\></TD\></TR\></TABLE\></P\>',
              blogTag:'',
              blogUrl:'blog/static/1247031382010393241742',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:1317332054163,
              publishTime:1270797841742,
              permalink:'blog/static/1247031382010393241742',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'  喜欢开源,愿意结识青岛使用开源的朋友,一起学习,工作。',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/1247031382010393241742">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

ideality

导航

日志

“1KB文件夹快捷方式病毒”专杀工具与操作

历史上的今天

最近读者

热度

评论

页脚