VBS病毒

2024年3月9日发(作者：)

貌似有点像1KB快捷方式的病毒，请不要删除文件夹，真实的文件已被隐藏，这个病毒软

件用杀毒软件无法清除，有一个专杀工具，„1KB快捷方式病毒专杀工具

从网上搜索“文件夹变成1k快捷方式”，得到很多网友的解决方法，现整理如下，希望对各

位有所帮助。

方法一：

1、光盘启动，格式化所有盘，重装系统。

2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、到这个网站：/zhuansha/kill_ 下载这个专杀工具可

恢复所有被隐藏的内容。

方法二：

1、重装系统，不动除C盘外的其它盘。完成后不要做任何其它操作。（如果C盘、桌面有

重要文件，请先备份）

2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、显示出所有系统文件(不会的朋友先百度下)，用点击右键打开的方法，打开其它盘，就

能看到快捷方式和病毒，这些可以全部删掉。(千万不要因为好奇或失误双击啊，不然系统

就白装了)

4、到这个网站：/zhuansha/kill_ 下载这个专杀工具可

恢复所有被隐藏的内容。

经多台电脑使用，证明此法简单可行。

方法三：不用重装系统也能彻底清除此病毒的方法，操作比较专业。是windows PE下把所

有vbs结尾的文件都删掉包括所有显示的快捷方式，病毒的问题就可以解决了！！很管用的，

大家遇到这种情况可以试试！用光盘进winpe（如果硬盘上装有winpe则开机时选择进入

winpe即可），搜索*.vbs（*表示任意文件名），将搜索出来的结果全部删除。

其实，这病毒是这样运行的。 通过指向*********.vbs这个脚本文件，来自

动运行病毒，感染全部磁盘根目录，这些目录变成快捷方式，再指向那个vbs文件，以后要

预防这种病毒 就是要禁用系统的自动运行功能。

此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的

同名文件夹.lnk文件。误点击这些假冒文件夹后，病毒被激活。这是个.vbs＋数据流双料病

毒。

此毒还有一个特点：如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目

录下的（实为系统程序）、删除了被病毒改写过的系统程序

（用备份替换）、删除了病毒创建的所有.lnk，当你双击“我的电脑”时，病毒又复活了。如果

用“软件限制策略”的散列规则禁止运行，则双击我的电脑后系统报错，自然不能

通过正常途径打开各个分区及各级目录。

用Tiny，将由信任组转入特殊组，设置文件访问及注册表访问规则，禁止非

信任组程序的文件创建及注册表改写动作，然后，再双击“我的电脑”，此毒不能复活，且“我

的电脑”以及各级目录可以顺利打开。

方法四：手工彻底杀灭此毒的流程应该是：

1、先打开C:windowssystem32和C:windowssystem32dllcache目录。然后在组策略中用散

列规则禁止运行。

2、用IceSword禁止进程创建。结束和进程。

3、删除所有分区根目录下的.vbs和。删除

4、删除硬盘各个分区中所有1KB的.lnk

5、将WINDOWS目录下的和系统目录下的移动到U盘或

FAT32分区的硬盘分区（自动脱毒）。

6、删除WINDOWS目录下以及dllcache目录下的、%system%目录以及

dllcache目录下的（被病毒附加了数据流）。

7、取消”禁止进程创建“。将刚才移动到FAT32分区（或U盘）的那个和

移回系统目录以及dllcache目录。

8、修改注册表，显示被隐藏的正常文件夹。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanc

edFolderHiddenSHOWALL

"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanc

edFolderHiddenNOHIDDEN

"CheckedValue"=dword:00000002

9、删除病毒加载项：

展开HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

删除load键值项的数据。

中了VBS病毒、利用传播。看你的情况像是.VBS的。

方法1：

1、重装系统，不动除C盘外的其它盘。完成后不要做任何其它操作。（如果C盘、桌面有

重要文件，请先备份）

2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、显示出所有系统文件(不会的朋友先百度下)，用点击右键打开的方法，打开其它盘，就

能看到快捷方式和病毒，这些可以全部删掉。(千万不要因为好奇或失误双击啊，不然系统

就白装了)

方法2

1 运行→→计算机配置→windows设置→安全设置→软件限制策略→其他规则→

点“操作”→新路径规则→点“浏览”找到在

c：→“安全级别”设为不允许的

2 用IceSword禁止进程创建。结束和进程。

3 然后设置把隐藏文件放出来，把所有盘（C:D:E:F:......）下的.vbs文件和快捷方式、

都删掉

4 修改注册表，显示被隐藏的正常文件夹。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanc

edFolderHiddenSHOWALL

"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanc

edFolderHiddenNOHIDDEN

"CheckedValue"=dword:00000002

5 删除病毒加载项：

展开HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

删除load键值项的数据。

6 如果我的电脑还不能双击打开，需要还原下系统

这样都不行的话，那就只能格式化整个硬盘重装系统了。