更新时间:2023-09-01 16:30:00   作者:网友投稿   来源:网友投稿点击:
【病毒特征】
在你插入妞盘以后,妞盘内的各种文件会被隐藏,而后妞盘所有文件都会变成快捷方式,点击快捷方式后可以打开对应的文件。
【破坏性】
蠕虫病毒本身不具备破坏文件的特征,就是烦人,难以清除。想来这个病毒的作者,应该是无聊透顶,闲暇之余写了这么个不着边际,损人不利己的病毒。
【运行底层逻辑】
病毒在感染妞盘后,首先会将病毒本体复制进妞盘。而后复制在C盘目录下两个不同的地方,而后将系统自带打开Vbs的执行程序设置为自启动,并指向位于C盘下的两个病毒本体。再将妞盘文件全部隐藏后,逐个建立快捷方式。
【清除方案】
在网络上流传着一个该病毒的清除脚本,但该脚本治标不治本,仅能清除妞盘本身的文件,而在Windows7 64位极其以上系统中,因自身执行权限不够,而无法删除位于C盘目录下的两处病毒。故而该脚本是一种阻断病毒传播途径的方式,仅能保证插入电脑的妞盘不再感染别的妞盘。
【网络上流传的脚本】
@echo off
::本工具只适用于vbs蠕虫病毒
mode con cols=50 lines=30
color E
:input
set /p var=请输入感染快捷方式蠕虫病毒盘符(只用输入字母)
if exist "%var%:" goto next
echo 无法找到你的U盘(%var%)........... & echo 请重新输入.......... & goto input
:next
echo 挂载%var%盘......
%var%:
echo 正在结束相关进程........
taskkill /f /t /im wscript.exe
echo 正在显示被隐藏的文件属性........
attrib -r -a -s -h /s /d
echo 正在删除蠕虫病毒文件.........
del *.vbs
del *.inf
del *.lnk
set /p var=为了查杀U盘更彻底需删除exe文件,不删除请输入n,删除请按回车
if "%var%" == "n" goto kill
del *.exe
:kill
echo 正在检查U盘中的蠕虫病毒是否清除成功.....
echo 请等待6秒.......
ping 127.1 -n 2 >nul
echo 请等待5秒.......
ping 127.1 -n 2 >nul
echo 请等待4秒.......
ping 127.1 -n 2 >nul
echo 请等待3秒.......
ping 127.1 -n 2 >nul
echo 请等待2秒.......
ping 127.1 -n 2 >nul
echo 请等待1秒.......
ping 127.1 -n 1 >nul
if exist "*.vbs" echo 注意:快捷链接蠕虫病毒清除失败,请使用杀毒软件查杀. & goto end
echo U盘中病毒删除成功........
echo U盘中文件成功恢复........
echo 请使用杀毒软件全面查杀你的C盘,以防病毒扩散......
echo 否则你的电脑重启后可会感染其他USB存储设备.......
:end
pause>nul【脚本使用方法】
1.在桌面任意空白处右键,新建,文本文档,打开。
2.复制脚本,粘贴。
3.文件,另存为,在下方将文本文档选为所有文件,编码ANSII,选择路径后,文件名改为 快捷方式清除.bat 然后点击保存。
4.双击快捷方式清楚.bat,按照提示清楚妞盘病毒。
【彻底清除病毒的方法】
想要彻底的清除这种病毒,方法其实很简单,但是清除以后,只要感染了快捷方式病毒的妞盘再插入本电脑,就需要再来一次,反反复复,周而复始。所以,男人,就像一个妞盘,不要到处乱插,会中毒哒!
具体的方法如下:
第一步,执行上述脚本,清楚妞盘内的病毒。
第二步,打开任务管理器,在进程选项卡中,结束wscript.exe进程树。(这里说的是结束进程树,不是结束进程,别点错啦!)
第三步,结束进程后,打开以下目录
1.C:?当前用户目录(Win7大部分是Admin开头的,其他系统就是开机显示的用户名)AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
2.C:?AppDataRoaming
这两处。
在这两处目录下,各有一个.vbs后缀的文件,其中,第一处文件删除后,会自动再生成,所以应该先删除第二处目录下所有.vbs文件,再删除第一处目录下所有.vbs文件。
第四步,按Win+R,输入msconfig,点击启动选项卡,勾掉以wscript.exe结尾的进程(应该有两个),点击保存,然后在弹出的对话框选择先不重启。
第五步,按Win+R,输入%temp%,然后按Alt+A全选,删除。这里会提示部分文件无法删除,点击全部忽略或全部跳过。
执行完上述五步后,重启电脑即可。
【不彻底的清除方案】
这种方案相比于彻底清除的方案有些许不同,这个方案只是让处于电脑上的病毒无法再执行,而不删除病毒本身。这样,即时有病毒的妞盘插入电脑,也不会再感染电脑本身。(因为病毒本身已经无法再在这台电脑上运行。)
但是呢?
对嘛,但是,所有Vbs脚本将全部无法使用。属于断臂自保。
就像猫猫和狗狗无法感染新冠病毒是因为它们根本没有新冠病毒的受体一样。这种方案就是把受体删除掉。
方案如下,
第一步,打开C:WindowsSystem32目录,找到wscript.exe文件,复制它,粘贴到一个记得住的目录内。
第二步,使用电脑上的杀毒软件带有的粉碎文件工具,粉碎wscript.exe。
第三步,按Win+R,输入msconfig,点击启动选项卡,勾掉以wscript.exe结尾的进程(应该有两个),点击保存,然后在弹出的对话框选择先不重启。
当后期有需要运行Vbs脚本时,再把wscript.exe复制回目录下就行了。