图书馆病毒。

引用第19楼zjaye于2010-06-12 13:42发表的 Re:Re:回 4楼(zjaye) 的帖子 :



嗯
只是比较麻烦而已

那还是算了。

看看我的帖子就可以咯

】http://bbs.zzsy.com/read.php?tid=127575

引用第20楼安＼静。于2010-06-12 13:45发表的 Re:Re:Re:回 4楼(zjaye) 的帖子 :



那还是算了。

呵呵 所以一般是有非常重要的资料才选择恢复软件来找的

360安全卫士网站下载 系统急救箱 就可以解决了


文件也可以恢复，不会没掉

引用第22楼zjaye于2010-06-12 13:51发表的 Re:Re:Re:Re:回 4楼(zjaye) 的帖子 :


呵呵 所以一般是有非常重要的资料才选择恢复软件来找的

都是照片额。格式化掉都觉得可惜…

引用第22楼zjaye于2010-06-12 13:51发表的 Re:Re:Re:Re:回 4楼(zjaye) 的帖子 :


呵呵 所以一般是有非常重要的资料才选择恢复软件来找的

嗯嗯。试试哈，谢谢…

有一个专杀工具的...最近的确很多人中了这种病毒

引用第25楼安＼静。于2010-06-12 13:55发表的 Re:Re:Re:Re:Re:回 4楼(zjaye) 的帖子 :

嗯嗯。试试哈，谢谢…

嗯

不客气哈
可以用“finaldata”或者“Recovery”

“Recovery”可以选择恢复类型 可以先试下看能不能找到 .jpg或者.bmp文件

最近发现很多电脑都中了一种将文件夹改为快捷方式的病毒，我们学校总之很多教室的电脑都中招了，而且周围同学也有好几个中的。我接触的都是vbs脚本病毒，今天也特意找了个样本研究了一下，所以想说说中毒的症状及清除方法。

（因为我找到的那个样本vbs有“暴风一号”字样，我们暂且称之为“暴风一号”吧。由于病毒种类不同，即使中毒症状一样，解决方法也很可能是不同的。所以本文章仅供参考，请大家谨慎操作，本人不负任何后果。O(∩_∩)O~）

首先说说中毒症状。

1. 病毒运行后会将各分区（包括插入电脑的U盘）的文件夹隐藏，并创建文件夹的快捷方式，命令行指向vbs脚本病毒。也就是说当你打开这个“文件夹”（实际并不是文件夹，但图标是。所以有一定的迷惑性。）即运行了病毒！

2. 向注册表

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

<"C:\\WINDOWS\\system32\\smss.exe:1338294175.vbs">

这个位置添加启动信息。（红色部分，默认为空。）

3. 修改.txt .reg .bat等格式文件关联。

4. 监视注册表编辑器、CMD、任务管理器等工具，发现运行即结束。

…………

总的来说由于这只是个vbs脚本病毒，所以注定不是非常难解决，但是清除病毒后的系统修复却是个比较难办的问题，所以我们一步一步来解决。

解决方法。

1. 由于病毒向svchost.exe进程中插入了两个.dll以达到监视目的，所以我们要借助一个第三方的小工具（点我下载）来卸除这个模块。我们打开XueTr，在进程标签下右击选择在进程中查找模块，然后输入vc.dll，查找。一般会有两个结果，同时拖动选中，右击卸载选中模块。（注：这并不是病毒文件，只是被病毒利用，千万不要删除。）



2. 删除注册表启动信息。在XueTr的启动项标签找到如图所示的启动项，右击删除（启动信息）

3. 重启计算机。至此重启后的计算机病毒并未运行，但是你一个不小心也许会导致病毒重新运行。比如查看文本文档、打开某个磁盘等许多不经意的操作。所以我建议大家千万不要乱动，否则前面做的就前功尽弃了。现在我们的目的是删除那个vbs病毒文件，我们让我们常用的压缩软件Winrar来客串一下O(∩_∩)O~，以C盘为例，从Winrar进入C盘删除与图中类似的文件。想必大家都知道autorun病毒吧，这个也是那个原理。然后用此方法检查别的分区的内容，出现类似的也删除。



这样就把病毒全部删除了，但是还没完，因为我们的正常文件夹还被病毒隐藏了、一些文件关联也被病毒改了，一些程序也被劫持了……所以我们下一步的工作就是修复一下系统，这也是最麻烦的。

首先我们还是用XueTr在系统杂项的文件关联下，右击选择修复所有。

然后我们要做的是恢复被隐藏的各分区的文件夹。我一般都用360系统急救箱，不知道还有没有别的类似的修复软件，大家可以推荐一下。

最后我们修复一些注册表的杂项，因为病毒改了很多地方，我对注册表也不是很了解，也没有这方面比较全面的修复工具，所以我推荐大家手动解决吧。最笨的方法是查找那个vbs病毒名称的注册表信息，比如本文中的1338294175.vbs，然后将找到的注册表项与正常机器的注册表值比较，然后改一下。最后提醒一下注册表操作有风险，修改前先备份一下。

[s:790]

以上内容和以下内容都是复制来的

128号 机我记得当年大一我都喜欢那台机子，因为病毒超多，多到那台机子网速超快