第一步:先要禁止wscript.exe的运行。点击“开始→运行”,输入gpedit.msc。
第二步:在“组策略”窗格左侧,依次点击“计算机配置→Windows设置→安全设置→软件限制策略”项,然后点击“操作→创建新策略”菜单项。再从左侧选择“其他规则”。
第三步:在右侧窗格空白处右击,在菜单中选择“新建路径规则”项。在弹出的窗口中,点击“路径”后的“浏览”按钮,选择C:\Windows\System32文件夹下的wscript.exe文件,并将“安全级别”设置为“不允许的”(见图)
(如果你有不想运行的文件,也可以在这里添加)。
第四步:将C:\Windows下的System32、Dllcache和I386这两个文件夹下wscript.exe的扩展名去除,以防止病毒突破限制运行。注意,这期间会有Windows文件保护机制的报警,直接点击“取消→是”按钮即可。
第五步:在“任务管理器”中结束掉“wscript.exe”进程。
第六步:用IceSword等工具删除下面三个文件。
C:\Windows\.vbe
C:\Windows\System32\.vbe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs
第七步:打开注册表编辑器,依次展开
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项,删除<CFan><.vbe>键。注意这里的“<CFan>”是计算机名,电脑不同,名称也不同。
最后,恢复之前修改了文件名的wscript.exe文件即可。
是不是强力粉碎也没有用?我强力粉碎了,没有了那个S一样的符号了,可是文件夹还是隐藏的,怎么办?
追答清理粉碎只是粉碎了这一个文件外壳,对于已经感染的文件以及硬盘是没有作用的。(杀毒不等于直接把病毒文件粉碎。。。)
按上述方法试试吧,不好使的话就重做系统
其实中了这样的病毒建议重做系统,当然,要全盘格式化,重新分区。这是最最彻底的方法。就是要丢失以前存的数据了。要是想备份数据一定记得给备份数据杀毒!
