Site icon 中小學資訊人員根本不算MIS

解決隨身碟csrss / helper.vbs中毒 資料夾全變成捷徑

2017/5/23更新 helper.vbs 解毒
真要我形容,這種病毒跟感冒沒兩樣
使用統一帳號的還好處理,利用AD登入的就要一個帳號一個帳號刪除啟動捷徑

碰過幾次老師隨身碟中毒,經過測試後覺得這個做法比較適當。

  1. 把我下面的 code 存成 .bat 格式,放到隨身碟執行。
  2. 想辦法關閉不正常的 csrss。
  3. 刪除不正常的 csrss,應該在C:\Windows\csrss.exe 或 C:\Documents and Settings\User\csrss.exe。
  4. 把自動執行的部分處理掉。
    用 regedit 找 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
    跑 msconfig

這段 code 主要功能在關掉使用者自己執行的 csrss 檔案,並且把資料夾屬性還原。

另外順手放了 autorun.inf 跟 csrss.exe 的資料夾當基本保護。

@echo off
echo ┌───────────────────────────┐
echo │                           │
echo │     本程式主要清除csrss.exe 以及        │
echo │     helper.vbs兩種隨身碟病毒          │
echo │                           │
echo │                           │
echo │                           │
echo │     請把這個檔案複製到中毒的磁碟後執行     │
echo │     請勿使用右鍵→以系統管理員身分執行     │
echo │                           │
echo │                           │
echo │                           │
echo └───────────────────────────┘
pause
cls
echo ┌───────────────────────────┐
echo │                           │
echo │                           │
echo │                           │
echo │         請耐心等待修復完成         │
echo │                           │
echo │                           │
echo │                           │
echo └───────────────────────────┘
cd \
:: 停止病毒程序
taskkill /F /FI "USERNAME eq %USERNAME%" /IM csrss.exe
taskkill /F /FI "USERNAME eq %USERNAME%" /IM wscript.exe
:: 病毒改檔名
rename csrss.exe csrss.exe.org
:: 刪除系統中病毒檔案
del C:\Users\%USERNAME%\AppData\Roaming\WindowsServices\*.vbs
del C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.vbs
del C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk
:: 還原系統隱藏資料夾
attrib -s -r -h * /S /D
:: 移動檔案到救援資料夾
mkdir file_rescue
move _\*.* file_rescue\
:: 移除病毒資料夾
rd _
del windowsservices\*.* /Q
del "System Volume Information\*.*" /Q
rd windowsservices
rd "System Volume Information"
:: 新增病毒防止檔案
mkdir csrss.exe
attrib +s +r +h csrss.exe /S /D
mkdir autorun.inf
attrib +s +r +h autorun.inf /S /D
mkdir _
attrib +s +r +h _ /S /D
mkdir "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk"
attrib +s +r +h "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk" /S /D
cls
echo ┌───────────────────────────┐
echo │                           │
echo │                           │
echo │                           │
echo │           修復完畢            │
echo │        請手動刪除不必要的捷徑        │
echo │                           │
echo │                           │
echo │                           │
echo └───────────────────────────┘
pause

 

參考資料:

How to Remove Shortcut Virus from USB Flash Drive and Computer.

Re: [求救] csrss.exe

Exit mobile version