您当前的位置：飞翔学院-IT中国 → 电脑安全 → 病毒反黑 → 文章内容

Administrator.vbs病毒专杀

作者:飞翔来源:本站整理发布时间:2008-7-14 9:01:37

这几天不知是在哪里下了一个软件，结果搞成办公室所有计算机都中了病毒，任务管理器、CMD、REGEDIT都是一打开马上就关闭了，木马使用了windows操作系统自带的“自动播放功能”，使得病毒在接入电脑的第一时间自动运行，出现的症状有，无法正常显示隐藏文件和系统文件，360安全卫士无法正常打开，打开即被自动关闭，任务管理器、命令提示符都是这样的情况。系统多了一个WScript的进程，当然伴随而来的是你双击打开任意一个盘符都是一闪一下再跳出那个盘符的界面，这个时候就是你已经“主动的”运行了病毒文件，查看自己是不是中了招就是右键点击一下盘符看是不是能看到两个“打开”选项，如果有，那么这就是中毒的体现了。

病毒会自动生成以使用者用户名为名称的一个.vbs文件隐藏在每个盘符跟目录以及windows(or winnt)和windows\system32下面，还有就是一个 autorun.inf 的一个自动执行文件，如，我的机器用户名为 administrator，病毒生成的文件就是 administrator.vbs ，病毒会修改注册表，使得系统帮助文件、文本文件一旦打开就将激活病毒，而且由于病毒有如下脚本：

------------------------
ProcessNames = Array("ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe")
Do
Call KillProcess(ProcessNames)
Call InvadeSystem(objfso, vbsCode)
WScript.Sleep 5000
------------------------------
病毒将每隔5秒钟就将自动关闭进程中ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"名称为这些的程序，所以导致很多清理程序无法正常使用。

解决办法：

把下面的代码另存为 xx.Bat 双击运行。

@ECHO OFF
cls
echo.
echo ***************************************
echo * administrator.vbs专杀工具——oldjun *
echo *Http://www.oldjun.com*
echo ***************************************
echo.

echo 正在关闭Script进程...
taskkill /im WScript.exe /f
taskkill /im cscript.exe /f
echo 关闭成功...

echo %username%
echo 正在删除相关文件...
@if exist %windir%\%username%.vbs del %windir%\%username%.vbs /f/q/a
@if exist %windir%\system32\%username%.vbs del %windir%\system32\%username%.vbs /f/q/a
@if exist %windir%\system32\%username%.ini del %windir%\system32\%username%.ini /f/q/a
@if exist c:\autorun.inf del c:\autorun.inf /f/q/a
@if exist d:\autorun.inf del d:\autorun.inf /f/q/a
@if exist e:\autorun.inf del e:\autorun.inf /f/q/a
@if exist f:\autorun.inf del f:\autorun.inf /f/q/a
@if exist g:\autorun.inf del g:\autorun.inf /f/q/a
@if exist h:\autorun.inf del h:\autorun.inf /f/q/a
@if exist c:\%username%.vbs del c:\%username%.vbs /f/q/a
@if exist d:\%username%.vbs del d:\%username%.vbs /f/q/a
@if exist e:\%username%.vbs del e:\%username%.vbs /f/q/a
@if exist f:\%username%.vbs del f:\%username%.vbs /f/q/a
@if exist g:\%username%.vbs del g:\%username%.vbs /f/q/a
@if exist h:\%username%.vbs del h:\%username%.vbs /f/q/a
echo 删除成功...

echo 正在修改注册表...
echo 显示隐藏文件
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
echo 关闭自动播放
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t reg_dword /d 1 /f
echo 删除启动项
reg delete "HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /f
echo 恢复文件关联
reg add "HKLM\SOFTWARE\Classes\txtfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "%%SystemRoot%%\system32\NOTEPAD.EXE %%1" /f
reg add "HKLM\SOFTWARE\Classes\regfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "regedit.exe "%%1"" /f
reg add "HKLM\SOFTWARE\Classes\chm.file\shell\open\command" /ve /t REG_EXPAND_SZ /d ""hh.exe" %%1" /f
reg add "HKLM\SOFTWARE\Classes\hlpfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "winhlp32.exe %%1" /f
reg add "HKLM\SOFTWARE\Classes\exefile\shell\open\command" /ve /t REG_SZ /d ""%%1" %%*" /f
echo 修改成功...

cls
echo.
echo ****************
echo * 清除完毕 ! *
echo ****************
echo.
echo. & pause

点这里下载点击下载此文件