老貓 2008-9-5 05:34
清除系统里的.VBS病毒
【赛迪网-IT技术报道】由于VBS病毒具有容易嵌入到网页等特点,因此越来越多的黑客采用这种方式传播木马病毒。中了VBS病毒会让你在Windows下看到“.VBS”文件,系统进程中一直有wscript.exe进程存在,还有机器变慢等与其他病毒相同的现象。如果你遇到了这个情况,可以用下面的方法进行查杀。 第一步:先要禁止wscript.exe的运行。点击“开始→运行”,输入gpedit.msc。 第二步:在“组策略”窗格左侧,依次点击“计算机配置→Windows设置→安全设置→软件限制策略”项,然后点击“操作→创建新策略”菜单项。再从左侧选择“其他规则”。 第三步:在右侧窗格空白处右击,在菜单中选择“新建路径规则”项。在弹出的窗口中,点击“路径”后的“浏览”按钮,选择C:\Windows\System32文件夹下的wscript.exe文件,并将“安全级别”设置为“不允许的”(见图)
[attach]6943[/attach]
如果你有不想运行的文件,也可以在这里添加第四步:将C:\Windows下的System32、Dllcache和I386这两个文件夹下wscript.exe的扩展名去除,以防止病毒突破限制运行。注意,这期间会有Windows文件保护机制的报警,直接点击“取消→是”按钮即可。
第五步:在“任务管理器”中结束掉“wscript.exe”进程。
第六步:用IceSword等工具删除下面三个文件[color=#dda0dd]。[/color][color=#dda0dd] [/color]
[color=#dda0dd] C:\Windows\.vbe[/color][color=#dda0dd] [/color][color=#dda0dd] [/color]
[color=#dda0dd] C:\Windows\System32\.vbe [/color][color=#dda0dd] [/color]
[color=#dda0dd]C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs[/color]
第七步:打开注册表编辑器,依次展开 [color=#dda0dd] [/color]
[color=#dda0dd]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run[/color]项,
删除<*><.vbe>键。注意这里的“<*>”是计算机名,电脑不同,名称也不同。
最后,恢复之前修改了文件名的wscript.exe文件即可。
xiaoxiao001 2008-9-5 06:40
:|:11 :|:11 :|:11
先顶个~~~~
顺便问下,第一步那个窗口可以用别的方法打开么?~~~VISTA系统的运行那运行那个命令无效~~~
song110035 2008-9-5 07:48
都要这么防得多辛苦呀,
还是用杀毒软件吧
老貓 2008-9-5 20:38
[quote]原帖由 [i]xiaoxiao001[/i] 于 2008-9-5 06:40 发表 [url=http://bbs.mocwww.com/redirect.php?goto=findpost&pid=126910&ptid=13630][img]http://bbs.mocwww.com/images/common/back.gif[/img][/url]
:|:11 :|:11 :|:11
先顶个~~~~
顺便问下,第一步那个窗口可以用别的方法打开么?~~~VISTA系统的运行那运行那个命令无效~~~ [/quote]
貌似这个适用于XP。。暂时没研究VISTA。。觉得VISTA用起来很恶心人.
xuyaoxy 2008-9-20 00:55
呵呵。。XP系统还可以啦。。
以后必然得走向VISTA 。。
ps:...我去关注下win7...
