瑞星卡卡安全论坛

脚本病毒.vbs的查杀。

一、查杀此毒的关键是禁止c:\WINDOWS\system32\wscript.exe运行。wscript.exe是系统程序，不是病毒。但它是此毒运行的必要条件。
禁止wscript.exe的办法有：
1、在“软件限制策略”中禁掉c:\WINDOWS\system32\wscript.exe（图1）
2、将I386、dllcache、system32三个文件夹中wscript.exe的后缀去掉。这时，“windows文件保护”机制被触发，用户会收到系统报警：windows系统文件被替换为不可识别的版本。不必理会（因为这是用户去除wscript.exe后缀的结果）。在提示对话框中分别点击“取消”、“是”。
只要上述任何一种操作成功，便打断了此毒“连环套”式的感染环节，病毒主体无法运行（图2）。

二、结束c:\WINDOWS\system32\wscript.exe进程。

三、用IceSword找到并删除下列病毒文件：

c:\windows\.vbe

c:\windows\system32\.vbe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs

四、删除病毒添加的注册表内容：
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除：  <LENOVO-CE316418><.vbe>  []
注1：这个服务名是病毒拷贝的本地计算机名。不同的电脑，此名不同。
注2：如果是采用第二中办法禁wscript.exe，杀完毒后，请恢复I386、dllcache、system32三个文件夹中wscript的后缀。


图1


[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)


附件: 155847200822690639.jpg

图2：禁掉wscript.exe后，双击病毒文件。它傻了。

附件: 155847200822690746.jpg

猫叔厉害,这方法你也能想出来,I 服了 YOU~~

就用瑞星的主动防御禁那c:\WINDOWS\system32\wscript.exe

比较方便

引用:

【天月来了的贴子】就用瑞星的主动防御禁那c:\WINDOWS\system32\wscript.exe 比较方便 ………………

试过这招。感觉不是很可靠。

呵呵！！！

这死鬼瑞星主动防御那么没用，唉.............

无语了。

看来还是禁wscript.exe才行，而不是c:\WINDOWS\system32\wscript.exe

可惜破瑞星的主动防御不能选择按文件名禁止进程加载运行。

如果选择禁止
c:\windows\.vbe
c:\windows\system32\.vbe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs
任何访问、读取、创建、删除等都往死里禁，难道还不行？？？

引用:

【天月来了的贴子】呵呵！！！ 这死鬼瑞星主动防御那么没用，唉............. 无语了。 看来还是禁wscript.exe才行，而不是c:\WINDOWS\system32\wscript.exe 可惜破瑞星的主动防御不能选择按文件名禁止进程加载运行。 如果选择禁止 c:\windows\.vbe c:\windows\system32\.vbe C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs 任何访问、读取、创建、删除等都往死里禁，难道还不行？？？ ………………

你可以试试。
我认为：禁wscript.exe是“釜底抽薪”的办法。

引用:

【baohe的贴子】 你可以试试。 我认为：禁wscript.exe是“釜底抽薪”的办法。 ………………

你那方法自然好啦。

我只是好奇这瑞星的主动防御而已。

以后有机会一定试。

可现在没自己的电脑了。

没办法折腾玩。

引用:

【天月来了的贴子】 你那方法自然好啦。 我只是好奇这瑞星的主动防御而已。 以后有机会一定试。 可现在没自己的电脑了。 没办法折腾玩。 ………………

用主动防御耍貌似可以地,提示一大堆,偶也去搞搞.

貌似最近这个vbs和磁碟机又开始了,很多人选择了重装系统,让我很无奈

学习再学习

学习了

如果有正常的程序需要调用wscript.exe岂不是也不能用了

引用:

【freeflay的贴子】如果有正常的程序需要调用wscript.exe岂不是也不能用了 ………………

搞掂病毒之后，再改过来撒～～
人，是活的。

猫叔厉害

无文件名.vbe病毒的手工杀毒
打开任务管理器
--方法一：在任务栏单击鼠标右键，选中菜单中的“任务管理器”
--方法二：按“Ctrl+Alt+Del”键或“Ctrl+Shift+Esc”
选择“进程”属性页面，勾选窗口下部的“显示所有用户的进程”框
：首先结束ctfmon.exe进程
：然后结束wmiprvse.exe进程
：如果有wscript.exe进程也将其结束
这时就可以删除病毒文件了，病毒文件位于windows和windows\system32文件夹下，属性是“隐藏+系统”由于病毒文件的文件名比较特殊，建

议使用下面的方面进行手式删除。方法如下：
--点击“开始”按钮，选择“运行”，输入“cmd”后按回车键，在出现的命令窗口中执行下列命令(其中>符号是系统自动的，前面的信息不

用管)：
>cd    \ <回车>
>cd  windows  <回车>
>attrib  -r  -h  -s  *.vbe <回车>
>del  *.vbe  <回车>
>cd  system32  <回车>
>attrib -r -h -s *.vbe  <回车>
>del *.vbe  <回车>
>exit  <回车>
这样病毒脚本程序就删除了，回到Windows桌面，运行msconfig命令，在启动项中把.vbe删除就OK。

佩服！！

学习了 :default7:

有没有简单点的方法，我们部门的电脑都有这个病毒，并且在U盘里用瑞星怎么也杀不掉。

学习了～ 又多了一个处理方法

key8u

学习学习,我见了几次,只删U盘上的,没想还在硬盘上有.