手工查杀704560425.VBS木马

今日一哥们电话说，用360杀毒后，系统里所有的文件夹都消失了。语气特别的郁闷，情况相当的严重。这哥们是做建筑的，半年的资料都找不到了。

 

先安慰一下。然后让其打开360杀毒软件，查看查杀记录，并恢复被隔离文件。恢复后文件都出来了。

 

晚上拿到电脑后，开始处理...

一、故障现象

1.我的电脑不能正常打开

2.所有分区中的文件夹都变成了快捷方式，右键查看属性发现，目标栏里面如下：

“e:\132056204.vbs e:\项目\dir”。

 

从上面的2个现象分析：

1.U盘病毒的典型特征

2.文件夹被劫持

 

二、处理过程

1.根据现象判断，所有分区根目录应该存在两个文件：AutoRun.inf, ****.vbs。开启隐藏文件显示，没有发现可疑文件。启动第三方资源管理器程序Totalcommander，看到了每个分区都存在这两个可疑的文件。

2.重启进安全模式，将每个分区的这两个文件删掉后，重启电脑。

3.进入系统后，通过Totalcommander查看各分区根目录，已没有可疑文件。

4.运行如下命令：

reg add "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell" /ve /d none /f

后，我的电脑可以正常打开。但是打开文件夹时，会提示****.vbs无法找到。

5.在网上搜索恢复文件夹打开方式的命令，可惜的是没有找到。

6.下载金山卫士，对系统进行修复后，文件夹恢复正常。

 

PS：当时再找到可疑VBS文件的时候，还想研究下呢，可惜的是内容尽然加密了，真是杯具。