有的时候,可能是由于自己所下载安装的一些软件的原因,导致电脑中可以存在危险的程序。自动的更改了它的一些设置。使它的文件夹全部变成了快捷方式。
遇到这样的情况需要用电脑中安装的杀毒软件对电脑进行一个扫描。就会发出这些问题并把它进行一个处理。在从网上下载并安装一些软件的时候,要特别的注意。
可以看下是不是和这个经验遇到的问题是一样的, http://jingyan.baidu.com/article/c910274b99477ccd361d2dde.html
此病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。
此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。
一 系统设置的更改
1 系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" %1 %*
2 我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒)
eg:
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" EMC
3 修改IE关联(原来挟持IE主页的方法,被此病毒用来启动自己)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:.vbs" OIE
二 添加文件,主要是数据流文件到系统文件:(绕过安全软件的启动项目扫描,同时普通用户很难清除)
eg
%sys32%\smss.exe ---C:\WINDOWS\system32\smss.exe:.vbs
%windir%\explorer.exe---C:\WINDOWS\explorer:.vbs
%SystemRoot%\system\svchost.exe---C:\WINDOWS\system\svchost.exe 此文件本质上就是wscript.exe,可以删除
三 病毒启动项目(这是病毒使用的常规启动项目,其实它不需要的)
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:.vbs"
四 隐藏系统目录文件夹,并创建一个快捷方式指向原文件夹(这招毒啊,相当于windows之类的目录也会中毒)
五 其他(欺负其他杀毒软件,保护自己,恶作剧等)
其他还包括创建保护进程(%SystemRoot%\system\svchost.exe)反复保护自己,通过NTSD命令结束某些进程
此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。
解决方法:
方法一:
1、光盘启动,重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)
2、关闭所有驱动器的自动运行功能,这步非常重要。
在组策略中将自动运行这项功能关掉:在"运行"中输入"gpedit.msc"打开组策略,依次展开"计算机配置->管理模板->系统",在右边找到"关闭自动播放"双击打开,选择"已启用",在"关闭自动播放"下拉列表中选择"所有驱动器",单击确定即可。
在每个盘的根目录下面建一个文件夹,重命名为"autorun.inf",将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建autorun.inf这个文件).
3、用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了)
4、到这个网站:http://www.rensoft.com.cn/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。
方法二:不用重装系统也能彻底清除此病毒的方法,操作比较专业。是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式,病毒的问题就可以解决了!!很管用的,大家遇到这种情况可以试试!用光盘进winpe(如果硬盘上装有winpe则开机时选择进入winpe即可),搜索*.vbs(*表示任意文件名),将搜索出来的结果全部删除。
用Tiny,将wscript.exe由信任组转入特殊组,设置文件访问及注册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然后,再双击“我的电脑”,此毒不能复活,且“我的电脑”以及各级目录可以顺利打开。
方法三:手工彻底杀灭此毒的流程应该是:
1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
方法四:
1、在安全模式下启动,删除有关“smss”及“vba”的启动项!
2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试),
将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到winrar中
删除即可!
3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)
4、有的变种修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件,
最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。
5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹
6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!
方法五:
建立一个批处理文件:
del -f c:\*.lnk
del -f d:\*.lnk
del -f e:\*.lnk
del -f f:\*.lnk
del -f g:\*.lnk
del -f h:\*.lnk
然后保存为bat格式的文件。然后双击运行。然后找个u盘copy个usbclear 和foldercure ,先用
foldercure从u盘启动杀毒。即可。
参考资料:http://user.qzone.qq.com/1006087639/infocenter?ptlang=2052
本回答被提问者采纳前段时间我也是这样
去下载个 1KB快捷方式病毒清除软件就没事了
我上次是去新浪共享资料下的
你百度一下很多网站都有的下载的
按照它的指示操作就是了~
我的电脑磁盘中所有的文件夹都变成了相同的1KB的快捷方式,是中毒了吗...
这些1kb的文件都不是真正的文件夹都是病毒生成的。你正常的文件应该是被病毒隐藏起来了,打开我的电脑-工具-文件夹选项-选择显示所有文件,然后再把隐藏受保护的操作系统文件前面的对勾去掉再看一下是否能够找到你正常的文件。
文件夹都变成了快捷方式怎么办
由于U盘中文件夹快捷方式病毒,又称1kb快捷方式病毒,会把根目录下所有的文件夹隐藏,在同一位置上创建同名的文件夹快捷方式,只要双击快捷方式,虽然电脑会打开先前被隐藏的文件夹,但同时也运行了病毒。解决方法如下:打开U盘专杀工具,选择需要扫描对象,然后点击开始扫描,扫描完毕,U盘杀毒专家就会对文件...
为什么我的电脑所有硬盘里的文件夹都变成1KB的快捷方式?
通过AutoRun.inf指向***.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。 此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后...
台式电脑 D E F各个盘里的文件都变成快捷方式1KB,而且打不开,是怎么...
这个是因为你中了暴风一号病毒,暴风一号病毒目前杀毒软件仅能杀除他的母体,但是那些1KB文件夹快捷方式无妨清理,而且如果不修复被修改的注册表项的话,重启后进入我的电脑将出现找不到vbs的提示。这个病毒具有感染NTFS数据流的功能,要彻底处理。可能你的杀毒软件并没有杀干净!可以用金山U盘专杀和金山网...
电脑硬盘里的文件夹为什么全变成了‘快捷方式,1KB'可是我家没有WINPE...
同样遭遇,是vbs病毒吧,留下邮箱可以把一个600kb的杀毒的东西发给你,一分钟能就搞定了
笔记本硬盘恢复数据文件成1kb快捷方式什么意思
有的时候,可能是由于自己所下载安装的一些软件的原因,导致电脑中可以存在危险的程序。自动的更改了它的一些设置。使它的文件夹全部变成了快捷方式。遇到这样的情况需要用电脑中安装的杀毒软件对电脑进行一个扫描。就会发出这些问题并把它进行一个处理。在从网上下载并安装一些软件的时候,要特别的注意。
我的电脑里的所有文件夹都显示1KB是怎么回事
4.重启电脑进入系统后,右击“我的电脑”,同样用“资源管理器”打开,会发现除系统盘外其他各分区根目录下都有一个相同文件名的文件夹和1KB的文件夹快捷方式,且文件夹都是隐藏的,并且隐藏属性为灰色不可更改,1KB的文件夹快捷方式的文件属性为不隐藏的。5.选中所有的1KB文件夹快捷方式,彻底删除,...
所有硬盘打开后 里面的文件夹全变为快捷方式 是怎么回事
不过现在解决了,这个叫1kb快捷方式病毒,是一种随开机启动而启动的病毒,把原来的文件隐藏了,在把自己的名改成跟原来文件一样,快捷方式图标上全都显示大小为1kb,不知道你是不是这种情况?是的话在网上下载一个1kb快捷方式病毒专杀工具,按照使用说明进行杀毒就行,中间可能要重启机器一次。
硬盘文件夹变成快捷方式怎么办
二、病毒的破坏原理:它把原有文件夹的属性该成了隐藏,如果电脑上没有设置显示隐藏文件和文件夹的话是看不到的,然后病毒又建立了和那些隐藏文件夹同名的exe程序文件。中毒后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被...
电脑里所有的文件夹全成了1kb的快捷方式这是怎么回事?
3.解决“我的电脑 打不开”等问题 4.修复“快捷方式被改exe.vbs”问题 5.解决桌面图标有蓝色阴影 6.修复后自动刷新,修复更完美 7.修复无法找到脚本“Winrar.jse”"monitor.jse"8.修复文件夹变EXE变种,文件夹变EXE,文件夹变成快捷方式 9.修复EXE文件无法打开的问题 10.解决我的电脑不见了 11....
