病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 遭遇cmd.exe和attrib.exe应用程序错误清除NetApi00.sys、netcfg.dll病毒 »

administrator.vbs病毒

  看了几个administrator.vbs病毒的求助,发现它有点狡猾,不是一般的利用autorun.inf,还修改了文件关联。从SREng中显示的文件关联情况来看,它篡改如下文件关联(当然如果变种的话,不一定是这几个文件关联,后面的文件路径也可以变):

.TXT  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.REG  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.SCR  Error. [AutoCADScriptFile]
.CHM  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.HLP  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]

  注意后面的wscript.exe,和以前在某个病毒的autorun.inf中看到的类似,也是用wscript.exe调用一个vbs病毒文件,怪不得有的文章认为要把wscript.exe也删除掉,当然wscript.exe是系统文件,最好不要随便删除,改名还是可以的。

  由于修改了文件关联,导致即使你发现了硬盘分区下的autorun.inf及病毒文件并删除,也不能清除系统中的病毒,何况administrator.vbs文件还藏在系统文件夹中。

  处理方法当然首先是删除各硬盘分区根目录下的autorun.inf及其指向的文件(此例中也是administrator.vbs,并修复文件关联,同时全盘搜索删除administrator.vbs文件。

  后来到网上查了下,才发现原来这玩艺原来不简单的说,它的名字不一定是administrator.vbs,而是根据你的登录用户名来定,你登录windows的用户名是什么,它就起什么名字,比如你的用户名是abc,就是abc.vbs,还有一个同名的ini配置文件,比如是administrator.vbs,就有一个administrator.ini,也在windows文件夹下。该病毒除了修改文件关联、产生autorun.inf,还会自动搜索本地电脑上的网页文件并把自身插入其中,同时还会删除一些特定的视频文件(据说是A片),当然也会阻止显示隐藏文件、打开被关闭的硬盘、U盘自动播放功能。最后还在内存中监视,如果自己的文件被删除、注册表被恢复,就重新感染。

  所以除了上面说的清除方法,还是要全盘查杀修复被感染的文件,修复其它被修改的注册表项。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/31.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号