最近遇到频繁的U盘病毒。在此分享下查收过程。高手飘过~~

症状:迅速传染电脑每一个分区,包括U盘,移动硬盘各分区.电脑运行缓慢.杀毒软件清除后,会再次自动生成.(如果您中了,请不要试图装遍所有的杀软,徒劳)

手动处理方法:

1.将电脑隐藏文件显示:我的电脑--工具--文件夹选项--查看--(下拉菜单至)隐藏文件和文件夹--(点选上)显示所有文件和文件夹---(应用-确定OK),之有将所有感染病毒的介质插入电脑.

2.重启电脑,开机瞬间迅速点按 F8 ,下拉菜进入"安全模式".(这个过程有些缓慢,是正常的),

进入系统后,找到电脑自身所有分区,包括所有移动介质,也包括你的相机存储卡.每个根目录下只有一个faizal.js文件,逐个删除即可.

3.重启电脑,恢复第1步的操作“不显示隐藏文件和文件夹"--(应用.确定).

以上是简单的删除JS文件,治标不治本。


如果PC机中了此JS病毒,也将会写入注册表。

注册表常见位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"faizal" = "wscript.exe C:\WINDOWS\system32\faizal.js"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinLogon\"LegalNoticeCaption" = "FAIZAL"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinLogon\"LegalNoticetext" = "You have been infected by FAIZAL virus"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "faizal"
以上几个注册表位置,是必然所存在的。

Autorun.inf内容

[autorun]
Open = wscript.exe \faizal.js
shellexecute = wscript.exe \faizal.js
shell\Open\command = wscript.exe \faizal.js
shell\Explore\command = wscript.exe \faizal.js -Clicked
shell\AutoPlay\command = wscript.exe \faizal.js
shell\Scan for Viruses\command = wscript.exe \faizal.js
shell\Scan with Norton AntiVirus\command = wscript.exe \faizal.js
shell\Scan with AVG\command = wscript.exe \faizal.js
shell = Explore

 

当然也会在EXPLORER启动的键值更改为faizal.js,意思就是启动资源管理器或者双击打开磁盘还是会中毒。
为了彻底删除此文件,我们可以利用注册表 编辑--查找 挨个儿查找此病毒。一一删除。
注意:command键值需要更改为"%1" %*
否则双击硬盘会提示错误。

同时,计算机的每个分区都有两个隐藏的文件 faizal.js 和 Autorun.inf,这两个就是下手之处,要清除病毒文件。

上面提到过,进入安全模式。我们也可以使用命令进行删除。

开始--运行--cmd并回车

例如删除C盘的faizal.js

就打入: attrib -a -h -s c:\faizal.js 并回车,将该文件隐藏和只读、存档属性取消。
         
        del /f /s /q c:\faizal.js  强制将此文件删除。如果提示正在运行,无法删除。可以打开任务管理器,找到JAVA.EXE 并结束,再次运行命令删除。

我们也可以使用360粉碎文件工具强制删除文件,而且拒绝再生。

笔者在注册变当中查找faizal.js键值时,查找出来的位置很多。

大多在HKEY_CLASSES_ROOT该键项下。

当时在查杀的时候,随意留下了几个路径,供参考:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"faizal" = "wscript.exe C:\WINDOWS\system32\faizal.js"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinLogon\"LegalNoticeCaption" = "FAIZAL"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinLogon\"LegalNoticetext" = "You have been infected by FAIZAL virus"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives\"ShowSuperHidden" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "faizal"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2295a14f-9f8b-11df-a9a4-001d92767b74}\Shell\AutoPlay\command]
@="wscript.exe \\faizal.js"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2295a14f-9f8b-11df-a9a4-001d92767b74}\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe \\faizal.js"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2295a14f-9f8b-11df-a9a4-001d92767b74}\Shell\Explore\command]
@="wscript.exe \\faizal.js -Clicked"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2295a14f-9f8b-11df-a9a4-001d92767b74}\Shell\Open\command]
@="wscript.exe \\faizal.js"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2295a14f-9f8b-11df-a9a4-001d92767b74}\Shell\Scan for Viruses\command]
@="wscript.exe \\faizal.js"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{afbbcb31-9e9b-11df-a9a1-001d92767b74}\Shell\AutoPlay\command]
@="wscript.exe \\faizal.js"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ faizal ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="faizal"
"hkey"="HKLM"
"command"="wscript.exe C:\\WINDOWS\\system32\\faizal.js"
"inimapping"="0"

继续正题
开始--运行-msconfig并回车

在启动项目、里,禁止faizal.js启动。也可以在注册表RUN下删除。

防范措施:在各个磁盘中建立免疫文件。并且将权限全部删除。例如:
在C盘根目录下,创建一个Autorun.inf文件夹,然后右键--属性--安全,将所有用户权限全部删除。
提示:如果找不到安全选项的话,需要支持NTFS文件系统。如果是NTFS,打开资源管理器,点击 工具--文件夹选项--选择 查看--去掉“使用简单文件共享(推荐)”并确定,既可显示出安全选项。

另一种,可以使用命令创建,例如:
开始--运行--cmd并回车
mkdir c:\faizal.js
mkdir c:\faizal.js\hh..\
以上两条命令可以得知,虽然权限没有删除。任何人都可以删除。但删除的时候会有另一种提示,无法删除。这样可以保证自己创建的免疫文件生效(当然此文件可以使用命令删除).


好了,以上就是简单的手动查杀faizal.js病毒。

如果嫌麻烦,我们可以下载U盘专杀助手,次工具很好。功能齐全。

还有一款usbcleaner  最新版本 20101017 专门清除U盘病毒。很强大,很给力!