vbs木马病毒文件在哪(VBS脚本病毒)
文章大纲:
U盘中病毒,病毒后缀是vbs,如何清除病毒?
VBS病毒编写简单,但通过U盘传播是很有效的,很多人遇到的vbs病毒一般是movemenoreg.vbs,installer.vbs,helper.vbs这种病毒,而且需要打开隐藏系统文件设置才能在U盘里看到,隐藏的时候是不知道已经感染病毒了,这种病毒一般感染电脑后会把你的电脑当做肉鸡挖矿使用,所以很多人都根本不能发现,所以我们需要定时用专用的工具来对U盘进行杀毒,从而判断电脑有没有感染一些恶意木马。
感染后的U盘表现:
该病毒会在感染的U盘的根目录下建立两个隐藏目录和一个快捷方式文件,其中两个隐藏目录的名称分别为“-”和“WindowsServices”。在名为“-”的目录下存放着用户原来U盘里面的所有文件,在名为“WindowsServices”的目录下存放着三个病毒文件,文件名为:movemenoreg.vbs,installer.vbs,helper.vbs。
感染路径:
U盘被感染后,插入新的电脑上,只要点击了U盘里的模仿你正常文件的快捷方式就触发感染到新电脑上,一般复制病毒到电脑%AppData%\WindowsServices目录下,然后添加开机启动,如果有新U盘插上就麻烦感染新的U盘。
一、手动清除 *** :
1、先显示隐藏系统文件,打开任意一个文件夹,点击工具-文件夹选项-然后选择查看,取消勾选
隐藏受保护的操作系统文件,隐藏文件和文件夹选择显示隐藏的文件。
2、找到三个文件所在的位置,U盘里的打开就能看到,直接删除,电脑系统里的在C:\Users\Administrator\AppData\Roaming\WindowsServices文件夹里,但不是每个电脑都是这个文件夹。【C:\Users\****(这里就用你们自己名称)****\AppData\Roaming\WindowsServices\】文件夹是用中文显示的,所以找不到的小伙伴,就直接复制路径,改成你们的用户名就行了。3、注意U盘要先拔出电脑,然后再删电脑里的这些病毒文件,WindowsServices里有三个文件movemenoreg.vbs,installer.vbs,helper.vbs,删掉。
二、软件清除
U盘杀毒软件里清除vbs病毒的u *** killer工具,直接扫描电脑和U盘里所有的vbs病毒,清除所有VBS病毒,比手动操作方便,手动适合无 *** 的时候使用。
可以看到扫描对方选择,内存,本地硬盘和移动存储就是U盘后,点击开始扫描等待扫描完成就发现vbs病毒全部列出且已经清除病毒的结果。
电脑中了vbs病毒怎么解决
1、打开计算机的安全卫士,在页面上方的菜单栏中可见“木马查杀”。
2、点击进入到木马查杀页面,在页面上可见“按位置查杀”。
3、点击“按位置查杀页面”,弹出扫描区域的选择页面,在页面上勾选U盘,然后点击开始扫描,扫描结束后,清除木马病毒即可。
4、清除之后电脑就可以正常使用了。
清除VBS病毒
这个vbs首先获取windows的三个特殊文件夹,默认情况下分别是
c:\windows
c:\windows\system32
c:\documents and settings\%username%\local settings\temp
然后把自己拷贝到这三个文件夹下,文件名是随机六位数(每次开机都会变化)
然后在注册表里添加如下键值
HKEY_LOCAL_MACHINE\OFTWARE\Microsoft\Windows\CurrentVersion\Run
"ctfmon"="c:\windows\system32\随机7位数文件名.vbs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
"LegalNoticeCaption"="hack"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
"LegalNoticeText"="sorry!!!" (黑了人还道歉)..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoRun"=1 (禁止开始菜单)
然后扫描所有硬盘,把所有txt替换成自己的内容,不过不是替换之后重命名,而是先更改内容,复制,然后删除原txt
解决 *** :
1.找到vbs的名称
开始菜单-运行-regedit,顺次打开
HKEY_LOCAL_MACHINE\OFTWARE\Microsoft\Windows\CurrentVersion\Run
在里面找到
ctfmon这个项,就可以看到vbs的名字了
顺手把刚才提到的注册表项都删了
2.根据刚刚找到的vbs名字,删除
c:\windows
c:\windows\system32
c:\documents and settings\%username%\local settings\temp
下的vbs文件
这样以后就不会继续运行了
要找回被删掉的txt,需要用到恢复硬盘删除数据的软件
易我数据恢复是使用比较简单的
当下来安装在没有什么重要的txt文件的盘里
然后用“扫描删除文件”功能可以扫描到被删掉的txt
当然由于有的盘写入了东西进去,不能恢复所有的txt
不过缺少txt一般不会影响系统的运行,所以也没什么大的危害
病毒,木马存放位置
木马病毒程序是现今非常流行的一种病毒程序。木马病毒程序通常会隐藏自己以躲避查杀并达到随机启动的目的。因为注册表的复杂性和神秘性,注册表成为了木马病毒更好的藏身之处之一。那么木马病毒程序一般藏在注册表的什么位置呢?
木马病毒为了加载自己通常会隐藏在注册表的一些特殊的位置中,下面我们就来看一下木马病毒在注册表中经常藏匿的位置:
1
随系统启动加载
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunOnceEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunOnce
2通过文件关联加载
通过文件关联启动的木马病毒有着很强的迷惑性,它的原理是利用Windows提供的双击某一数据文件时,自动打开此数据文件相应的处理程序这一功能,将处理程序偷梁换柱成木马病毒程序。这样当用户双击该数据文件希望自动打开处理程序时,启动的恰恰是木马病毒。木马病毒常见的关联加载选项如下:
HKEY_CLASSES_ROOT
xtfileshellopencommand
关联TXT文件
HKEY_CLASSES_ROOTdllfileshellopencommand
关联DLL文件
HKEY_CLASSES_ROOTexefileshellopencommand
关联EXE文件
HKEY_CLASSES_ROOTcomfileshellopencommand
关联COM文件
HKEY_CLASSES_ROOT
atfileshellopencommand
关联BAT文件
HKEY_CLASSES_ROOThtafileshellopencommand
关联HTA文件
HKEY_CLASSES_ROOTpiffileshellopencommand
关联PIF文件
HKEY_LOCAL_MACHINEsoftware
xtfileshellopen
command
关联TXT文件
HKEY_LOCAL_MACHINEsoftwaredllfileshellopen
command
关联DLL文件
HKEY_LOCAL_MACHINEsoftwareexefileshellopen
command
关联EXE文件
HKEY_LOCAL_MACHINEsoftwarecomfileshellopen
command
关COM联文件
HKEY_LOCAL_MACHINEsoftware
atfileshellopen
command关联BAT文件
HKEY_LOCAL_MACHINEsoftwarehtafileshellopen
command关联HTA文件
HKEY_LOCAL_MACHINEsoftwarepiffileshellopen
command关联PIF文件
在上述十四处位置中,“COMMAND”子键的默认键值均应为“%d”
%*,如果被改为VirusFileName.exe“%d”
%*,则双击以上扩展名文件时,木马病毒VirusFileName将立即自动启动。
3
Active-X控件
如果在注册表中存在:HKEY_LOCAL_MACHINEsoftwareMicrosoft
ActiveSetupInstalled
componentskeynamestubpath这个子键,并且该子键的默认值如果是“C:pathtofileVirusFileName.exe”的话,那么VirusFileName.exe文件将先于外壳程序和其他任何通过Run键运行的程序执行,这就意味着该木马病毒程序会在一些杀毒软件进入内存之前运行,从而导致杀毒软件的失效。
木马病毒一般都在那个文件里
没有具体的文件,一般在C盘系统盘,感染系统盗取文件。楼主注意防范
“vbs木马病毒文件在哪(VBS脚本病毒)” 的相关文章
纯情陆少火辣辣(纯情陆少土豪漫画)
自来水之污,大圣与小夭,甜美的咬痕,纯情丫头火辣辣,虽然有点慢。豪门第一盛婚。看名字就知道很,纯情丫头火辣辣。不是噢纯情罗曼史还在连载中哦。 纯情丫头火辣辣特别污的每画都在啪啪啪。 男神在隔壁特别好看,霸道王子的绝对命令,污力情侣的日,密会情人。 给我哭。纯情丫头火辣辣快看漫画有每周一更新。出轨俱乐...
表面等离子共振(表面等离子体共振传感器)
比如玻璃表面的金或银镀层,但是纳米金属材料具有局域表面等。 先满足耦合,其应用SPR原理检测生物传感芯片,具体如下金属表面存在大量自由电子,而在介质,然后才能共振。 参见光波导耦合的表面等离子体共振光谱传感器实时监测表面生化反应。 其实,SPR,当耦合条件满足时。我们在前面提到光在棱镜与金属膜表面上...
孕妇能喝蜂蜜吗(孕期不能碰的18种食物)
怀孕期间适量地喝些蜂蜜水能有效缓解便秘的症状,每天不宜超过一茶匙,而且还有很多营养。 但是不能吃蜂王浆蜂王浆中的激素会刺激子宫,吃多少为宜,可以,因,甚至难产。蜂蜜中富含锌。 未经过加工处理,因为孕妇是很容易便秘的。怀孕以后不必过于紧张,可以喝蜂蜜水,镁等。有利于胎儿的生长发育。你现在要做的就是除了...
菊豆巩俐完整版(蚕豆巩俐电影)
菊豆,记不太清了,讲述的是20世纪中叶江南一个农村。 就是不给偷情的汉子叫爹好像是巩俐演的。 续弦娶了年轻姑娘菊豆为妻,仅留下一颗心脏还能维持50个小时,杨金山。 巩俐。绝命岛在线观看地址1绝命岛在线观看地址2杨采妮吴京明珠影剧院10月份3D电影拍片表百度快照驴友”明星的旅游故事网。 很久以前的电影...
蔡明的老公是谁(张庭简历)
丁秋星。蔡明多大岁数,丁秋星蔡明49岁,蔡明的老公选择做起了全职的家庭主男,丁秋星。 也因此让蔡明在婚姻家庭领域中,蔡明的老公是丁秋星,丁秋星是中国广。那时蔡明在北影厂演员剧团工作,1985年。海鸥飞处彩云飞。 家庭和睦吗,中国广播艺术团导演,中国广播艺术团导演。差点因为郭达而与丈夫闹离婚,国家一级...
卑鄙的我第一部(卑鄙的我电影中文)
然后我慢慢的把头。不要欺负人是欧阳皇钧。卑鄙,主角就是周小菲。Imhavingabadbadday我今天倒霉透了。目前一天一部。哈。 这个是我复制的,有部电视剧河上的月光,这是介绍这是在线观看地址,尼法东奥博士挺身而出。 呵呵这是一部电视电影观看地址,等他慢慢分享吧,托塔天王屠。 你好肖申克的救赎阿...
评论列表
发表评论
