网站 › 『病毒救援区』 › 求助中了1kb的快捷方式病毒！

xzen 发表于 2019-9-7 14:22

求助中了1kb的快捷方式病毒！

本帖最后由 xzen 于 2019-9-7 16:32 编辑

有没有大哥给来个解决思路共享文件夹里面的文件好多出现了同名快捷方式。还有Microsoft和New Harry Potter and...名字的文件夹快捷方式！指向了C:\windows\system32\wscript.exe //e:VBScript thumb.db
快捷方式没出现在根目录。是再d盘的一个设置了共享的文件夹里面。文件夹下面每个文件夹目录基本都出现了Microsoft和New Harry Potter and..
这玩意有没有啥办法解决一下。

我通过命令解除了一下隐藏文件发现这个共享文件夹里面每个文件夹子文件夹都有个Autorun.inf文件。
通过Autorun.inf来更改的

open=WScript.exe //e:VBScript thumb.db auto
shell\open=Open
shell\open\Command=WScript.exe //e:VBScript thumb.db auto
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=WScript.exe //e:VBScript thumb.db auto

还有这玩意会通过共享传播吗。我发现只在共享盘有快捷方式。其他电脑 大部分都没出现

LYR 发表于 2020-8-25 23:17

我使用的方法是：
(以下为CMD的命令，请编辑成bat后运行)
(由于编辑时没找到CMD或msDOS，所以就用powershell代替吧，好像powershell与cmd是互通的[其实powershell要更强大些])

@echo off
:clean
cls
del/f/s/q/a C:\thumb.db
del/f/s/q/a D:\thumb.db
del/f/s/q/a E:\thumb.db
del/f/s/q/a F:\thumb.db
del/f/s/q/a C:\dekstop.ini
del/f/s/q/a D:\dekstop.ini
del/f/s/q/a E:\dekstop.ini
del/f/s/q/a F:\dekstop.ini
del/f/s/q/a C:\*.lnk
del/f/s/q/a D:\*.lnk
del/f/s/q/a E:\*.lnk
del/f/s/q/a F:\*.lnk
goto clean

这里默认电脑只有CDEF四个分区，有多的就自己加一下，少的就自己删一下吧

(解释一下：1、thumb.db在运行后还可生成病毒,也会复制自己,另一个功能就是可以给你定位文件夹,让*.lnk像正常的快捷一样。 2、dekstop.ini是病毒的一个传播及运行的介质,注意:不是desktop.ini。 3、*.lnk即快捷方式,运行它就等于运行病毒,它只是一个启动装置。)

(其实我还把wscript.exe删了一段时间，虽然病毒无法运行了，但是网页的js也无法运行了，然后用安全软件又杀了一遍毒)

使用时，注意备份桌面的快捷方式

a18090 发表于 2019-10-7 22:34

如果大范围，建议查杀
如果小范围 几台电脑建议
1、wscript.exe 改名字，这个是Windows拿来执行脚本的，改名字不影响系统工作，等病毒kill后再恢复。
2、禁用自动运行
3、查找那个 //e:VBScript thumb.db 是在哪，用网络工具查看一下共享通道。
4、快捷方式的后缀为.lnk 可以通过cmd del /f /s /q *.lnk 删除，注意！ 会删除所有当前目录及子目录下的lnk！ 请注意！

ladiosfei 发表于 2019-9-7 14:29

没见过这种病毒，病毒这玩意儿还是以防为主比较好，希望楼下来大神帮助楼主

xzen 发表于 2019-9-7 14:31

ladiosfei 发表于 2019-9-7 14:29
没见过这种病毒，病毒这玩意儿还是以防为主比较好，希望楼下来大神帮助楼主

= =最开始还以为是U盘的那个蠕虫。现在看来好像不是u盘那个。

木头″ 发表于 2019-9-7 14:32

只是创建一个快捷方式然后把你的文件隐藏了，你打开显隐就能看到原来的文件了

xzen 发表于 2019-9-7 14:43

木头″ 发表于 2019-9-7 14:32
只是创建一个快捷方式然后把你的文件隐藏了，你打开显隐就能看到原来的文件了
= =想找个办法把这些快捷方式清楚了。然后恢复原文件。 我本来想创建autorun克制一下。可是这丫的 每一个子文件夹都会自动创建一个autorun.inf

shaokui123 发表于 2019-9-7 14:44

原来中过一种1k病毒，直接把源文件本体覆盖了变成1k

super001 发表于 2019-9-7 15:08

我是用360急救盘搞干净的，但共享的去不掉，要在共享的电脑上用急救盘杀下就好了。

cutthesoul 发表于 2019-9-7 15:25

安装杀软 查杀一波？

纯洁的人啊 发表于 2019-9-7 15:43

学校机房感染的吧？这东西烦的很，除了1kb看着烦，其实开隐藏文件就能看见你原始的文件

xzen 发表于 2019-9-7 16:06

super001 发表于 2019-9-7 15:08
我是用360急救盘搞干净的，但共享的去不掉，要在共享的电脑上用急救盘杀下就好了。

我用u盘杀毒。杀了几百个autorun。然后这个快捷方式啥的还他妈在

查看完整版本: 求助中了1kb的快捷方式病毒！