wscript-没有磁盘 vbs病毒的解决

  • 内容
  • ....
  • 相关

 

表现症状

wscript没有磁盘

错误发生时,桌面弹出错误窗口,wscript-没有磁盘:驱动器\Device\Harddisk2\DR2中插入磁盘。如上图所示,点“取消”、“重试”、“继续”、“关闭”都无效,错误窗口依然存在。将U盘插入电脑,依然没有解决。

wscript没有磁盘的表现

同时在一些文件夹内出现了Microsoft和New Folder两个文件夹,晕菜了!

折腾过程

1、第一时间怀疑中毒了,用百度杀毒扫描。

baidu杀毒的扫描结果baidu杀毒的扫描结果,没发现和wscript相关的信息。选择立即清除看看能否解决。还不错百度杀毒处理后,再点了几次报错窗口内的“取消”,刚开始还是无效,多点几次后,报错窗口还真的不见了。百度杀毒还是有效果的,但好景不长插入U盘后,再次弹出了wscript的错误窗口。

2、运行任务管理器,可以看到有3个wscript.exe进程。

wscript 进程真是重要的事情说三遍啊,连进程都出现三个……

解决办法

1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以)。
2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

当然也可以直接查找到注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值改为 1。

3.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs kill.bat).

@echo off
@echo 在其它任务管理器查(如:兔子)看时有wscript.exe程序
@echo PS: 在windows任务管理器中无法找到此程序
pause
@echo 下一步会结束桌面,属于正常,等查杀结束将会恢复!
taskkill /im explorer.exe /f
taskkill /im wscript.exe /t /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run /va /f
@echo 请耐心等待,可能过程有点长....
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del c:\.vbs /f /q /s /as
del c:\.vbe /f /q /s /as
del c:\wscript.exe /f /q /s
del d:\autorun.* /f /q /s /as
del e:\autorun.* /f /q /s /as
del f:\autorun.* /f /q /s /as
del g:\autorun.* /f /q /s /as
del h:\autorun.* /f /q /s /as
del i:\autorun.* /f /q /s /as
del j:\autorun.* /f /q /s /as
del k:\autorun.* /f /q /s /as
del l:\autorun.* /f /q /s /as
@echo 请单击确定,以修复注册表!
call hidden.reg
copy wscript.exe %SYSTEMROOT%\system32\
start explorer.exe
@echo 病毒已经清理完毕:)
pause

批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中),关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf 修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出。
4.将准备好的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中。

注意事项

  1. 在清除病毒前一定不要打开硬盘和u盘,最好用win文件管理器或者在地址栏的方式打开。
  2. 开始运行后会出现桌面消失的情况,这属于正常现象,等杀毒结束会重建桌面。
  3. 删除自启动文件时可能需要时间,请耐心等候……
  4. 在删除wscript.exe文件时可能有提示,大概意思是说“删除系统文件要从安装盘中重新拷贝什么的”,同意即可。后面会自动拷贝此文件。
  5. 在修复注册表时会提示是否需要加入,确定即可。

文件运行的步骤

双击打开*.bat文件运行,然后按照提示一步步向下就可以了!

最后

    1. 关闭硬盘的自动播放功能。这样可以阻挡大部分通过u盘自动播放而传染的病毒。方法:“开始”-“运行”-输入”gpedit.msc”。打开策略组-找到:”用户配置“-“系统模板”-“系统”-单击系统,在右侧找到“关闭自动播放”项,右键单击点“属性”-选择“已使用”-下面的”关闭自动播放选项“选择”所有硬盘“-”应用“”确定“。
    2. 需要删除u盘的病毒。
      方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入。其中X为u盘的盘符。
      del X:\.vbs /f /q /s /as
      del X:\.vbe /f /q /s /as
      del X:\autorun.* /f /q /s /as 
    3. 最后建议重启电脑。