2017/5/23更新 helper.vbs 解毒
真要我形容,這種病毒跟感冒沒兩樣
使用統一帳號的還好處理,利用AD登入的就要一個帳號一個帳號刪除啟動捷徑
碰過幾次老師隨身碟中毒,經過測試後覺得這個做法比較適當。
- 把我下面的 code 存成 .bat 格式,放到隨身碟執行。
- 想辦法關閉不正常的 csrss。
- 刪除不正常的 csrss,應該在C:\Windows\csrss.exe 或 C:\Documents and Settings\User\csrss.exe。
- 把自動執行的部分處理掉。
用 regedit 找 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
跑 msconfig
這段 code 主要功能在關掉使用者自己執行的 csrss 檔案,並且把資料夾屬性還原。
另外順手放了 autorun.inf 跟 csrss.exe 的資料夾當基本保護。
@echo off echo ┌───────────────────────────┐ echo │ │ echo │ 本程式主要清除csrss.exe 以及 │ echo │ helper.vbs兩種隨身碟病毒 │ echo │ │ echo │ │ echo │ │ echo │ 請把這個檔案複製到中毒的磁碟後執行 │ echo │ 請勿使用右鍵→以系統管理員身分執行 │ echo │ │ echo │ │ echo │ │ echo └───────────────────────────┘ pause cls echo ┌───────────────────────────┐ echo │ │ echo │ │ echo │ │ echo │ 請耐心等待修復完成 │ echo │ │ echo │ │ echo │ │ echo └───────────────────────────┘ cd \ :: 停止病毒程序 taskkill /F /FI "USERNAME eq %USERNAME%" /IM csrss.exe taskkill /F /FI "USERNAME eq %USERNAME%" /IM wscript.exe :: 病毒改檔名 rename csrss.exe csrss.exe.org :: 刪除系統中病毒檔案 del C:\Users\%USERNAME%\AppData\Roaming\WindowsServices\*.vbs del C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.vbs del C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk :: 還原系統隱藏資料夾 attrib -s -r -h * /S /D :: 移動檔案到救援資料夾 mkdir file_rescue move _\*.* file_rescue\ :: 移除病毒資料夾 rd _ del windowsservices\*.* /Q del "System Volume Information\*.*" /Q rd windowsservices rd "System Volume Information" :: 新增病毒防止檔案 mkdir csrss.exe attrib +s +r +h csrss.exe /S /D mkdir autorun.inf attrib +s +r +h autorun.inf /S /D mkdir _ attrib +s +r +h _ /S /D mkdir "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk" attrib +s +r +h "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk" /S /D cls echo ┌───────────────────────────┐ echo │ │ echo │ │ echo │ │ echo │ 修復完畢 │ echo │ 請手動刪除不必要的捷徑 │ echo │ │ echo │ │ echo │ │ echo └───────────────────────────┘ pause
參考資料:
How to Remove Shortcut Virus from USB Flash Drive and Computer.