查看: 7907|回复: 18
wodecaoxin
404 Not Found
404 Not Found
本帖子中包含更多资源
才可以下载或查看，没有帐号？
Virus: Worm.VBS.Autorun.M (Engine A), VBS:AutoRun-W [Wrm] (Engine B)
wodecaoxin
& & 看来是传说中的vbs病毒。都上新闻了，听说有5w感染~~
开始扫描 'C:\Documents and Settings\Administrator\桌面\暴风一号.zip'
C:\Documents and Settings\Administrator\桌面\暴风一号.zip
&&[0] 压缩文档类型: ZIP
& & --& ﾱﾩﾷ￧ￒﾻﾺￅ.vbs
& && &[检测]& && &&&Contains recognition pattern of the WORM/Autorun.HI worm
'号外起乱偶给要不'暴叫字名文中的我，叫字名文英的我，风 .eniFyoB-_-9
搞笑，脚本加密过了
C:\Sandbox\暴风一号\暴风一号.vbs & & & & detected: Worm.VBS.Autorun.hi!A2
典型的特征是在每个盘生成autorun.inf
本帖子中包含更多资源
才可以下载或查看，没有帐号？
Avast!截住
本帖子中包含更多资源
才可以下载或查看，没有帐号？
wodecaoxin
& & 怎么这么快，大家都报了
本帖最后由 牧羊老汉 于
00:17 编辑
'号外起乱偶给要不'暴叫字名文中的我，叫字名文英的我，风 .eniFyoB-_-9
搞笑，脚本加密过了
C:\Sand ...
ray1106 发表于
'号外起乱偶给要不'暴叫字名文中的我，叫字名文英的我，风 .eniFyoB-_-9
搞笑，脚本加密过了
C:\Sand ...
ray1106 发表于
Files added:
--------------------
F:\AutoRun.inf
F:\xxx文件夹.lnk
F:\recycle.lnk
F:\Recycled.lnk
F:\System Volume Information.lnk
F:\xxx文件夹.lnk
F盘所有文件夹.lnk
C:\AutoRun.inf
C:\Documents and Settings.lnk
C:\Downloads.lnk
C:\Program Files.lnk
C:\Recycled.lnk
C:\System Volume Information.lnk
C:\TempEI4.lnk
C:\WINDOWS.lnk
C:\WINDOWS\.vbs
C:\WINDOWS\system32\.vbs
C:\WINDOWS\system\svchost.exe
C:\xxx文件夹.lnk
C盘所有文件夹.lnk
D:\AutoRun.inf
D:\Config.Msi.lnk
D:\My Documents.lnk
D:\Program Files.lnk
D:\recycle.lnk
D:\Recycled.lnk
D:\System Volume Information.lnk
D盘所有文件夹.lnk
E:\AutoRun.inf
E:\xxx文件夹.lnk
E盘所有文件夹.lnk
Keys added:
--------------------
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA--D}\shell\explore
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA--D}\shell\explore\command
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA--D}\shell\open
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA--D}\shell\open\command
Keys deleted:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume
Values added:
--------------------
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA--D}\shell\explore\command
&&(EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& EMC
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA--D}\shell\open\command
&&(EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& OMC
HKEY_CURRENT_USER\software\Microsoft\Windows\ShellNoRoam\MUICache
&&(SZ) C:\WINDOWS\system\svchost.exe =Microsoft (r) Windows Based Script Host
HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Windows
&&(SZ) Load =%SystemRoot%\system\svchost.exe &C:\WINDOWS\system32\.vbs&
&&(SZ) Ver =1
&&(SZ) Date =
Values changed:
--------------------
HKEY_LOCAL_MACHINE\software\Classes\Applications\iexplore.exe\shell\open\command
&&Old: (SZ) (Default) =&C:\Program Files\Internet Explorer\IEXPLORE.EXE& %1
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& OIE
HKEY_LOCAL_MACHINE\software\Classes\batfile\shell\open\command
&&Old: (SZ) (Default) =&%1& %*
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& %1 %*
HKEY_LOCAL_MACHINE\software\Classes\chm.file\shell\open\command
&&Old: (SZ) (Default) =&%1& %*
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& %1 %*
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA--D}\shell
&&Old: (SZ) (Default) =none
&&New: (SZ) (Default) =(Null)
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{871C-1069-A2EA-D}\shell\OpenHomePage\Command
&&Old: (SZ) (Default) =&C:\Program Files\Internet Explorer\iexplore.exe&
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs&
HKEY_LOCAL_MACHINE\software\Classes\cmdfile\shell\open\command
&&Old: (SZ) (Default) =&%1& %*
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& %1 %*
HKEY_LOCAL_MACHINE\software\Classes\hlpfile\shell\open\command
&&Old: (EXPAND_SZ) (Default) =%SystemRoot%\System32\winhlp32.exe %1
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& %1 %*
HKEY_LOCAL_MACHINE\software\Classes\inffile\shell\open\command
&&Old: (EXPAND_SZ) (Default) =%SystemRoot%\System32\NOTEPAD.EXE %1
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& %1 %*
HKEY_LOCAL_MACHINE\software\Classes\inifile\shell\open\command
&&Old: (EXPAND_SZ) (Default) =C:\WINDOWS\System32\NOTEPAD.EXE %1
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& %1 %*
HKEY_LOCAL_MACHINE\software\Classes\regfile\shell\open\command
&&Old: (SZ) (Default) =regedit.exe &%1&
&&New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe &C:\WINDOWS\.vbs& %1 %*
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
&&Old: (DWORD) CheckedValue =0x)
&&New: (DWORD) CheckedValue =0x)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
&&Old: (DWORD) CheckedValue =0x)
&&New: (DWORD) CheckedValue =0x)
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,播放列表加载中...
正在载入...
分享视频：
嵌入代码：
拍下二维码，随时随地看视频
实拍暴风一号病毒发作
上 传 者：
内容介绍：
实拍暴风一号病毒发作
Channel Me 精选
我来说点啥
版权所有 CopyRight
| 京网文[0号 |
| 京公网安备：
互联网药品信息服务资格证：（京）-非经营性- | 广播电视节目制作经营许可证：（京）字第403号
<img src="" width="34" height="34"/>
<img src=""/>
<li data-vid="">
<img src=""/><i data-vid="" class="ckl_plays">
<img width="132" height="99" src=""/>
在线人数：
<li data-vid="">
<img src=""/><i data-vid="" class="ckl_plays">
<img src="///img/blank.png" data-src=""/>
<img src="///img/blank.png" data-src="http://"/>
<li data-vid="" class="cfix">
src="///img/blank.png" data-src=""/>
<i data-vid="" class="ckl_plays">
<li data-vid="" class="cfix">
src="///img/blank.png" data-src=""/><i data-vid="" class="ckl_plays">
没有数据！
{upload_level_name}
粉丝 {fans_count}
{video_count}
{description}以上由提供
您的位置：
> Win7怎样清除暴风一号U盘病毒？1KB快捷方式病毒清理方法(2)
Win7怎样清除暴风一号U盘病毒？1KB快捷方式病毒清理方法(2)
　　4、暴风一号遍历文件夹
　　病毒会递归遍历各个盘的文件夹，当遍历到文件夹之后，会将文件夹设置为&隐藏 + 系统 + 只读&的属性。同时创建一个快捷方式，其目标指向 vbs脚本，参数指向被病毒隐藏的文件夹。
　　由于病毒修改的注册表会使查看隐藏文件的选项失效，也会屏蔽快捷方式图标的小箭头，所以具有很大的迷惑型，让用户误以为打开的是文件夹。［1］
　　5、暴风一号关闭弹出光驱
　　每当系统日期中的月和日相等的时候（比如说 1 月 1 日， 2 月 2 日&&以此类推），病毒激活时，会每隔 10 秒，打开并关闭光驱。打开光驱的次数由当前月份来决定（如 1 月 1 日，每激活一次病毒，就会打开并关闭光驱 1 次； 2 月 2 日，每激活一次病毒，就会打开并关闭光驱 2 次）。
　　6、锁定计算机
　　会调用 mshta.exe 显示上述图片，并且锁定计算机，使用户无法操作。
　　7、暴风一号传播方式：
　　这种文件夹快捷方式病毒，会先把根目录下所有的文件夹隐藏起来，然后在同一位置上创建同名的文件夹快捷方式，网友不知道，只要双击快捷方式，虽然电脑会打开先前被隐藏的文件夹，但同时也运行了病毒（后缀名为vbs的文件），于是U盘也就中毒了。那么，怎么彻底删除并修复文件呢？
　　二、清除方法：
　　笔者向大家提供一个解决方案：采用专业的，解决方法如下：
　　1、打开U盘杀毒专家，选择需要扫描的对象，然后点击&开始扫描&：
　　2、U盘杀毒专家将立即开始对你的电脑进行扫描，扫描完毕，U盘杀毒专家就会对文件夹快捷方式病毒进行查杀并显示该病毒及处理结果。选择软件中的&修复系统&，可以选择&清除病毒快捷方式及恢复隐藏文件夹&，单击 &开始修复&即可。
　　小编曾经也因为暴风一号蠕虫病毒而损失很多资料，在该病毒感染前期或没什么影响，如果到了后期，包括C盘在内的所有盘符根目录下的文件夹都将被创建快捷方式，甚至隐藏系统文件，导致系统找不到文件而启动不了计算机，如若遇到该病毒，还要趁早灭之。关于Win7系统中暴风一号病毒的清理方法到此结束，有任何问题可以在下方评论区留言。
评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）
Copyright (C)2014 www.xitongcheng.cc All rights reserved
本站发布的系统与软件仅为个人学习测试使用，请在下载后24小时内删除，不得用于任何商业用途，否则后果自负，请支持购买微软正版软件！
黔ICP备号-1暴风一号病毒代码解密分析及实用查杀技巧介绍-软件直销网-软件厂商直接面向终端用户在线综合服务门户-软件资讯
　　添加到收藏夹
&热门关键字：&&&&&&&&&
暴风一号病毒代码解密分析及实用查杀技巧介绍
发布时间： 11:29:14
来源：厂商在线-软件直销网信息中心
责任编辑：#author#
利用软件选型智能Robot 选购软件更科学、更高效、更简单。
&&&&& 近段时间网上流行的“暴风一号”(Worm.Script.VBS.Autorun.be)病毒感染量不断增长。仅在日至3日期间，受到暴风一号病毒感染的电脑便达到5万台，而且这一数字还在不断快速增长中。据了解，感染该暴风一号病毒后，用户电脑会出现速度异常缓慢，光驱被定时弹出，所有正常文件夹被隐藏，并用骷髅图片锁定用户电脑屏幕等等现象。
　　暴风一号病毒描述：
　　这是一个由VBS脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。
　　暴风一号病毒病毒行为分析：
　　1，自变形
　　病毒首先通过执行strreverse()函数，得到病毒的解密函数
　　解密代码如下：
　　这段代码会读取脚本文件的注释部分，将其解密之后
　　解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。
　　所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。
的新闻没有相关数据
昵称：&&&&
?()?()?()?()?()?()?()?()?()?()?()?()?()?()?()?()?()?()?()?()
??????????
软件直销网消息，&移动微视频应用&是近年来新近流行的基于移动智能终端的全..&
&&&&& 2月14日，酷我音乐官方正式发布了酷我听听语音搜索版手机音乐播..&
版权所有 上海晋财企业投资咨询有限公司
Copyright?2008-
All Rights ReservedU盘中暴风一号病毒怎么杀掉_百度知道
U盘中暴风一号病毒怎么杀掉
记本已经被入侵。ps，我用风暴一号病毒专杀工具杀掉了: 我是指怎么样杀掉U盘里的病毒，求推荐杀毒工具，但是U盘里的文件夹还是处于隐藏状态，而不是电脑里的病毒，说明病毒还在里面
提问者采纳
你好，把有用的文件拷出，直接格式化。
提问者评价
其他类似问题
为您推荐：
暴风一号的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁