吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10389|回复: 19
收起左侧

求助中了1kb的快捷方式病毒!

[复制链接]
xzen 发表于 2019-9-7 14:22
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 xzen 于 2019-9-7 16:32 编辑

有没有大哥给来个解决思路共享文件夹里面的文件好多出现了同名快捷方式。还有Microsoft和New Harry Potter and...名字的文件夹快捷方式!指向了C:\windows\system32\wscript.exe //e:VBScript thumb.db
快捷方式没出现在根目录。是再d盘的一个设置了共享的文件夹里面。文件夹下面每个文件夹目录基本都出现了Microsoft和New Harry Potter and..
这玩意有没有啥办法解决一下。

我通过命令解除了一下隐藏文件发现这个共享文件夹里面每个文件夹子文件夹都有个Autorun.inf文件。
通过Autorun.inf来更改的
[autorun]
open=WScript.exe //e:VBScript thumb.db auto
shell\open=Open
shell\open\Command=WScript.exe //e:VBScript thumb.db auto
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=WScript.exe //e:VBScript thumb.db auto

还有这玩意会通过共享传播吗。我发现只在共享盘有快捷方式。其他电脑 大部分都没出现



微信截图_20190907142042.png 微信图片_20190907142115.png

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

LYR 发表于 2020-8-25 23:17
我使用的方法是:
(以下为CMD的命令,请编辑成bat后运行)
(由于编辑时没找到CMD或msDOS,所以就用powershell代替吧,好像powershell与cmd是互通的[其实powershell要更强大些])

[PowerShell] 纯文本查看 复制代码
@echo off
:clean
cls
del/f/s/q/a C:\thumb.db
del/f/s/q/a D:\thumb.db
del/f/s/q/a E:\thumb.db
del/f/s/q/a F:\thumb.db
del/f/s/q/a C:\dekstop.ini
del/f/s/q/a D:\dekstop.ini
del/f/s/q/a E:\dekstop.ini
del/f/s/q/a F:\dekstop.ini
del/f/s/q/a C:\*.lnk
del/f/s/q/a D:\*.lnk
del/f/s/q/a E:\*.lnk
del/f/s/q/a F:\*.lnk
goto clean


这里默认电脑只有CDEF四个分区,有多的就自己加一下,少的就自己删一下吧

(解释一下:1、thumb.db在运行后还可生成病毒,也会复制自己,另一个功能就是可以给你定位文件夹,让*.lnk像正常的快捷一样。 2、dekstop.ini是病毒的一个传播及运行的介质,注意:不是desktop.ini。 3、*.lnk即快捷方式,运行它就等于运行病毒,它只是一个启动装置。)

(其实我还把wscript.exe删了一段时间,虽然病毒无法运行了,但是网页的js也无法运行了,然后用安全软件又杀了一遍毒)

使用时,注意备份桌面的快捷方式
a18090 发表于 2019-10-7 22:34
如果大范围,建议查杀
如果小范围 几台电脑建议
1、wscript.exe 改名字,这个是Windows拿来执行脚本的,改名字不影响系统工作,等病毒kill后再恢复。
2、禁用自动运行
3、查找那个 //e:VBScript thumb.db 是在哪,用网络工具查看一下共享通道。
4、快捷方式的后缀为.lnk 可以通过cmd del /f /s /q *.lnk 删除,注意! 会删除所有当前目录及子目录下的lnk! 请注意!
ladiosfei 发表于 2019-9-7 14:29
没见过这种病毒,病毒这玩意儿还是以防为主比较好,希望楼下来大神帮助楼主
 楼主| xzen 发表于 2019-9-7 14:31
ladiosfei 发表于 2019-9-7 14:29
没见过这种病毒,病毒这玩意儿还是以防为主比较好,希望楼下来大神帮助楼主

= =最开始还以为是U盘的那个蠕虫。现在看来好像不是u盘那个。
木头″ 发表于 2019-9-7 14:32
只是创建一个快捷方式然后把你的文件隐藏了,你打开显隐就能看到原来的文件了
 楼主| xzen 发表于 2019-9-7 14:43
木头″ 发表于 2019-9-7 14:32
只是创建一个快捷方式然后把你的文件隐藏了,你打开显隐就能看到原来的文件了

= =想找个办法把这些快捷方式清楚了。然后恢复原文件。 我本来想创建autorun克制一下。可是这丫的 每一个子文件夹都会自动创建一个autorun.inf
shaokui123 发表于 2019-9-7 14:44
原来中过一种1k病毒,直接把源文件本体覆盖了变成1k
super001 发表于 2019-9-7 15:08
我是用360急救盘搞干净的,但共享的去不掉,要在共享的电脑上用急救盘杀下就好了。
cutthesoul 发表于 2019-9-7 15:25
安装杀软 查杀一波?
纯洁的人啊 发表于 2019-9-7 15:43
学校机房感染的吧?这东西烦的很,除了1kb看着烦,其实开隐藏文件就能看见你原始的文件
 楼主| xzen 发表于 2019-9-7 16:06
super001 发表于 2019-9-7 15:08
我是用360急救盘搞干净的,但共享的去不掉,要在共享的电脑上用急救盘杀下就好了。

我用u盘杀毒。杀了几百个autorun。然后这个快捷方式啥的还他妈在
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 10:38

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表