sos

miniake

http://bbs.ikaka.com/showtopic-8665656.aspx
关于“1KB文件夹快捷方式病毒”清除的操作。

    这是一个真实的故事：前天我用优盘拷贝了2教202 的课件，今天打开的时候忘记了先杀毒，结果可想而知，电脑中毒了，好像还很深，每个盘的文件夹都被改成快捷方式形式，而且还莫名的多了一些不知名文件。症状举例：c盘属性为：快捷方式，但打不开，删也删不掉，我查看了其属性，打开路径为“C:\2140487479.vbs"c:\programfiles\Dir"”。更为严重的现象发生，在点击我的电脑根本打不开，提示为“找不到c:\windows\explore.exe”,能从快捷栏中进入或者从垃圾箱中间接进入。
    处理这种病毒，我尝试如下：
    1：用小红伞杀毒。断网，打开小红伞，全盘扫描，结果发现一个病毒文件和四个高危文件，我立马删除之。但是，不好使。用360扫木马，每个文件夹由于变了属性，都成为了高危文件，360作隔离处理。此时得分为14分，历史最低。
    接着，我用了
    2：打开C盘，找到windows文件夹，将其原有路径“C:\2140487479.vbs"c:\windows\Dir"”，改变为“c:\windows”，这样便能打开了文件夹，找到文件夹system32，查找nfr，nfc，vbs格式文件，但是没有找到，很遗憾，这种方法不好使，于是我搜索整个c盘，依然不行。
    然后，我用了
    3：在运行窗口里输入“RegEdit”打开注册表，查找“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\”一无所获。
    不得已，重启电脑，长按f8进入安全模式，继续用小红伞全盘查杀，依旧不行。无奈，网上搜索解决方法。

在網上搜到的。關鍵字，＂1KB文件夹病毒＂

Holy_Wood

应该丢失了

pill

中病毒了，baidu杀毒方法，2L说的对！

yaosetsuna

围观下

xiefang1990

貌似是中毒了

hysense

中毒了。。。

666nnn

移动硬盘的文件夹 变成文件了   怎么办啊
yt8854 发表于 2011-6-18 11:28

    1kb文件夹快捷方式病毒清除专用附件——清理1KB病毒
大 | 中 | 小


Posted in 应用&技术 on 2009/12/22 / 引用(0)
引用地址：

注意： 该地址仅在今日23:59:59之前有效

最近“1KB病毒”还挺猖獗，好几个朋友要我帮忙搞定，可手工杀毒太累了，正好无意间搜到了一些小软件，拿出来分享一下。

顺便说下1KB病毒的特点，硬盘所有分区原有的正常文件夹被隐藏，代替文件以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后，病毒被激活。如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe（实为系统程序wscript.exe）、删除了被病毒改写过的系统程序smss.exe（用备份替换）、删除了病毒创建的所有.lnk，当你双击“我的电脑”时，病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行，则双击我的电脑后系统报错，自然不能通过正常途径打开各个分区及各级目录。




下载文件 (已下载 29058 次)
点击这里下载文件: 1KB文件夹快捷方式病毒清除专用附件.rar



好了，不废话，首先使用“自动化清除脚本程序”清除系统内此病毒。

如果“自动化清除脚本程序”清除无效。请使用相应系统盘磁盘格式的“清理工具”清理系统，并重启电脑即可。

重启电脑后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。

全部内附说明图。说明中提到的磁盘格式，只是指系统盘格式，系统盘就是指你的Windows系统安装所在的那个盘，例如你的系统如果安装在C盘，那么系统盘就是指的C盘。

其他任意盘于此无关，不论其他盘，或其他移动存储设备是什么格式的，都可以清除。前提是U盘或移动硬盘等都需要插在电脑上，再用工具清理。

认真选择正确的对应磁盘工具扫描清理吧。实在不懂的，你就两工具都去运行一遍吧，倒也省心。

清理工具执行的程序行为就不细说了，工具执行清理完后，自身会创建清理日志文件LogAction.log在工具同目录内，自己可以查看日志即可。

注意，本程序修复文件关联那一步不能修复全部被改的文件关联

请事后去这里下载SRENG工具



下载文件 (已下载 3721 次)
点击这里下载文件: sreng2.zip




在SRENG工具》系统修复》文件关联》修复文件关联

不能清理的，请用解压工具WinRAR打开磁盘，查看根目录下的随机数字名的*********.vbs文件，压缩发来，包括系统目录内也可能存在的类似随机数字名的*********.vbs文件。



顺便转一个方法：

引用

【1KB文件夹快捷方式病毒清除专用附件包含四部分】
1、清理工具
2、数据流清除工具
3、wscript文件权限恢复
4、恢复文件夹属性工具
在系统盘为FAT32的系统内，只需要使用“清理工具”清理即可。然后用“恢复文件夹属性工具”恢复被隐
藏的各盘文件夹。
在系统盘为NTFS的系统内，首先使用“清理工具”清理，然后再用“数据流清除工具”清除检测到的数据
流。
最后再使用“wscript文件权限恢复”恢复wscript文件权限即可。然后用“恢复文件夹属性工具”恢复被隐
藏的各盘文件夹。
方法2：1用winpe启动，删除病毒产生的vbs文件。右击“我的电脑”，打开，执行“工具”-->“文件夹选项”，显示
隐藏系统文件和隐藏文件，在各分区根目录下找到所有*.vbs为扩展名的文件和各个盘根目录下的
autorun.inf和文件夹的*.lnk文件。彻底删除后重启电脑。
2 重装系统。开机后，先关闭自动运行，步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑
器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配
置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入
gpupdate，确定后，该策略就生效了。
3 更改文件夹的隐藏属性，是隐藏属性为不隐藏，具体操作是：依次打开“开始”----“运行”，输入cmd后
回车，打开MS-DOS，在命令提示行中输入以下命令：
attrib /d /s d:\* -h
同理，输入attrib /d /s e:\* -h 等等，但U盘里的文件夹没有恢复过来，建议用方法一的专用软件，
或者将文件夹COPY出来新建一个文件夹。
4 装杀毒软件，再次查杀系统。

666jjj

回复  666nnn


    杀毒软件 查不到病毒   360和kill_folder 都用了
yt8854 发表于 2011-6-18 21:47

    那別玩電腦了
和我一起玩ＰＡＤＰＡＤ吧
看我的遊戲，有些是ＮＶＩＤＩＡ大作啊
還有些沒在桌面上啊

miniake

回复 11# yt8854


那就不清楚了。建議到防毒的論壇問問。

pill

回复 13# yt8854


    杀毒软件不是万能的，很多病毒杀毒软件都不能识别！

LS 的666已经说得很清楚了，自己动手杀毒。