La Red de Conocimientos Pedagógicos - Conocimientos universitarios - ¿Cómo funcionan los virus de 1kb?

¿Cómo funcionan los virus de 1kb?

Así funciona este virus. Apunte AutoRun.inf al archivo de script *********.vbs para ejecutar automáticamente el virus e infectar todos los directorios raíz del disco. Estos directorios se convierten en accesos directos y luego apuntan al archivo vbs. Este virus debe evitarse en el. futuro. Simplemente deshabilite la función de ejecución automática del sistema. Una característica notable después de haber sido infectado por este virus es que las carpetas normales originales en cada partición del disco duro se ocultan y se reemplazan por un archivo .lnk de 1 KB con la carpeta del mismo nombre. Después de hacer clic accidentalmente en estas carpetas falsas, el virus se activa. Este es un virus dual de flujo de datos .vbs+.

1. Cambios en la configuración del sistema 1. Modificaciones de asociación de archivos del sistema txt, ini, inf, bat, cmd, reg, chm, hlp y posiblemente otros (al abrir estos archivos, equivale a ejecutar el virus) por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE \Classes\batfile\shell\open\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %* 2 Se modifica el método de apertura de mi computadora (haga doble clic en Mi Computadora, también equivale a ejecutar el virus una vez), por ejemplo: HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\ %SystemRoot%\System32\WScript.exe "C:\WINDOWS \explorer.exe :.vbs" OMC HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command %SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:. vbs" EMC 3 Modifique la asociación de IE (este virus utiliza el método original para secuestrar la página de inicio de IE para iniciarse), por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command %SystemRoot%\System32 \WScript.exe "C: \WINDOWS\explorer.exe:.vbs" OIE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command %SystemRoot%\System32\WScript.exe "C :\WINDOWS\explorer.exe :.vbs" OIE 2 agrega archivos, principalmente archivos de flujo de datos a los archivos del sistema: (sin pasar por el análisis de elementos de inicio del software de seguridad, y es difícil para los usuarios comunes borrarlo) p. ej., %sys32%\ smss.exe ---C:\WINDOWS \system32\smss.exe:.vbs %windir%\explorer.exe---C:\WINDOWS\explorer:.vbs %SystemRoot%\system\svchost.exe--- C:\WINDOWS\system\svchost.exe Este archivo es esencialmente wscript.exe, que puede eliminar tres elementos de inicio de virus (este es un elemento de inicio normal utilizado por los virus, pero en realidad no es necesario) HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load %SystemRoot%\system \svchost.exe "C:\WINDOWS\system32\smss.exe:.vbs" 4. Oculte la carpeta del directorio del sistema y cree un acceso directo que apunte a la carpeta original (esta es venenoso, equivalente a directorios como Windows) Envenenamiento) Otros cinco (intimidar a otro software antivirus, protegerse, hacer bromas, etc.) Otros incluyen la creación de un proceso de protección (%SystemRoot%\system\svchost.exe) para protegerse repetidamente y finalizar ciertos procesos mediante comandos NTSD

Este veneno también tiene otra característica: si solo

Solo se eliminó el archivo de virus .vbs en el directorio raíz de cada partición, se eliminó svchost.exe en el directorio del sistema (en realidad, el programa del sistema wscript.exe) y se eliminó el programa del sistema smss.exe que había sido reescrito por el virus. eliminado (reemplazado con copia de seguridad), eliminó todos los .lnk creados por el virus y, cuando hizo doble clic en "Mi PC", el virus resucitó. Si utiliza la regla hash de la "Política de restricción de software" para prohibir la ejecución de wscript.exe, el sistema informará un error después de hacer doble clic en Mi PC y, naturalmente, no podrá abrir varias particiones y directorios en todos los niveles a través de los canales normales. Solución: Método 1: 1. Inicie el CD, reinstale el sistema y no mueva otros discos excepto la unidad C. No hagas nada más cuando hayas terminado. (Si hay archivos importantes en la unidad C o en el escritorio, primero haga una copia de seguridad de ellos) 2. Desactive la función de ejecución automática de todas las unidades. Este paso es muy importante. Desactive la función de ejecución automática en la política de grupo: ingrese "gpedit.msc" en "Ejecutar" para abrir la política de grupo, expanda "Configuración de la computadora->Plantillas administrativas->Sistema" y busque "Desactivar la reproducción automática". a la derecha Haga doble clic para abrir, seleccione "Activado", seleccione "Todas las unidades" en la lista desplegable "Desactivar reproducción automática" y haga clic en Aceptar. Cree una carpeta en el directorio raíz de cada disco, cámbiele el nombre a "autorun.inf" y establezca sus atributos en oculto, lo que también puede desempeñar una cierta función preventiva (puede evitar que los virus generales creen el archivo autorun.inf). 3. Abra otros discos haciendo clic derecho y verá accesos directos y virus. Elimínelos todos. (Nunca haga doble clic por curiosidad o por error, de lo contrario el sistema se instalará en vano) 4. Vaya a este sitio web: /zhuansha/kill_folder.html para descargar esta herramienta de eliminación especial para recuperar todo el contenido oculto. Método 2: este método puede eliminar completamente este virus sin reinstalar el sistema. La operación es más profesional. En Windows PE, elimine todos los archivos que terminen en vbs, incluidos todos los accesos directos mostrados, ¡y el problema del virus podrá resolverse! ! Es muy útil. Si te encuentras con esta situación, ¡puedes intentarlo! Utilice el CD para ingresar winpe (si winpe está instalado en el disco duro, simplemente elija ingresar winpe al iniciar), busque *.vbs (* representa cualquier nombre de archivo) y elimine todos los resultados de la búsqueda.

Utilice Tiny para transferir wscript.exe del grupo de confianza al grupo especial, establecer reglas de acceso a archivos y al registro, prohibir la creación de archivos y acciones de reescritura del registro por parte de programas del grupo que no son de confianza y luego haga doble clic. " "Mi PC", este virus no se puede resucitar y "Mi PC" y los directorios de todos los niveles se pueden abrir sin problemas. Método tres: El proceso para eliminar completamente este virus manualmente debe ser: 1. Primero abra los directorios C:\windows\system32\ y C:\windows\system32\dllcache. Luego use reglas de hash en la Política de grupo para prohibir la ejecución de WSCRIPT.EXE.

2. Utilice IceSword para prohibir la creación de procesos. Finalice los procesos WSCRIPT.EXE y windows\system\svchost.exe.

3. Elimine .vbs y autorun.inf en el directorio raíz de todas las particiones. Elimine windows\system\svchost.exe

4. Elimine todos los .lnk de 1 KB en cada partición del disco duro

5. Copie EXPLORER.EXE en el directorio de WINDOWS y SMSS en el directorio. directorio del sistema Mueva .EXE a una unidad flash USB o partición del disco duro con partición FAT32 (desintoxicación automática).

6. Elimine EXPLORER.EXE en el directorio WINDOWS y el directorio dllcache, el directorio %system% y smss.exe en el directorio dllcache (el virus adjunta el flujo de datos).

7. Cancelar "Prohibir creación de proceso". Mueva EXPLORER.EXE y smss.exe que acaba de mover a la partición FAT32 (o disco USB) nuevamente al directorio del sistema y al directorio dllcache.

8. Modifique el registro para mostrar carpetas normales ocultas.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

"CheckedValue"=dword:00000001HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\NOHIDDEN

"CheckedValue"=dword:00000002

9. Eliminar complementos de virus:

Expandir HKEY_CURRENT_USER\Software\Microsoft \ Windows NT\CurrentVersion\Windows

Elimine los datos del elemento de valor de la clave de carga.

Método 4: 1. ¡Inicie en modo seguro y elimine los elementos de inicio relacionados con "smss" y "vba"! 2. Comience con WINDOWS PE (parece que está bien usar el modo seguro sin PE, pero no lo he probado cuidadosamente. Elimine todos los archivos ".VBS" y "smss*.vbs" encontrados, algunos de los cuales están en). el administrador de recursos. Si no puede verlo, ¡simplemente elimínelo en winrar! 3. Elimine todos los accesos directos con nombres de carpetas (el virus actualmente no infecta subcarpetas) 4. Algunas variantes modifican los archivos "c:\windows\explorer.exe" y "c:\windows\system32\smss.exe", es Lo mejor es copiar estos dos archivos nuevamente a una máquina con la misma versión del sistema. Si no hay archivos de la misma versión, debería estar bien sin copiar. 5. Utilice el software "kill_folder2.11" para restaurar todas las carpetas ocultas. 6. Elimine todos los caracteres ":.vba" del registro relacionados con los valores ":.vba". Método 5: cree un archivo por lotes: del -f c:\*.lnk y guárdelo como un archivo en formato bat. Luego haga doble clic para ejecutar. Luego busque una unidad flash USB y copie usbclear y foldercure. Primero use foldercure para iniciar el antivirus desde la unidad flash USB. Eso es todo. Recientemente, vi en Internet que algunos internautas usaban FolderCure, un software diseñado específicamente para eliminar virus de íconos de carpetas, para eliminar todos los archivos y carpetas de íconos de acceso directo en su disco duro, reiniciar la computadora y la eliminación del virus estaba completa. No lo he probado, así que no sé qué tan efectivo es. Los internautas interesados ​​pueden probarlo.

Este es el método que encontré hoy.

Método 2: Este método puede eliminar completamente este virus sin reinstalar el sistema. La operación es más profesional. En Windows PE, elimine todos los archivos que terminen en vbs, incluidos todos los accesos directos mostrados, ¡y el problema del virus podrá resolverse! ! Es muy útil. Si te encuentras con esta situación, ¡puedes intentarlo!

Utilice el CD para ingresar winpe (si winpe está instalado en el disco duro, simplemente elija ingresar winpe al iniciar), busque *.vbs (* representa cualquier nombre de archivo) y elimine toda la búsqueda. resultados.

Utilice Tiny para transferir wscript.exe del grupo de confianza al grupo especial, establecer reglas de acceso a archivos y al registro, prohibir la creación de archivos y acciones de reescritura del registro por parte de programas del grupo que no son de confianza y luego haga doble clic. " "Mi PC", este virus no se puede resucitar y "Mi PC" y los directorios de todos los niveles se pueden abrir sin problemas.