两种处理方法。第一种解决方式如下:
1、在安全模式下启动,删除有关“smss”及“vba”的启动项!
2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试),
将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到winrar中删除即可!
3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)
4、有的变种修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件,
最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。
5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹,见附件!
6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!
第二种,其实就是中了WSCRIPT.EXE这样伪病毒。WSCRIPT.EXE本身并不是病毒
一些.VBS病毒、autorun.inf利用WSCRIPT.EXE传播。看你的情况像是.VBS的。
方法1:
1、重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)
2、关闭所有驱动器的自动运行功能,这步非常重要,如果不会,百度一下吧。
3、显示出所有系统文件(不会的朋友先百度下),用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些可以全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了)
方法2
1 运行→gpedit.msc→计算机配置→windows设置→安全设置→软件限制策略→其他规则→点“操作”→新路径规则→点“浏览”找到在
c:\windows\system32\WSCRIPT.EXE→“安全级别”设为不允许的
2 用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3 然后设置把隐藏文件放出来,把所有盘(C:D:E:F:......)下的.vbs文件和快捷方式、autorun.inf都删掉
4 修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
5 删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
6 如果我的电脑还不能双击打开,需要还原下系统
这样都不行的话,那就只能格式化整个硬盘重装系统了。