（转自http://blog.renren.com/blog/262960668/461823073）

最近发现很多电脑都中了一种将文件夹改为快捷方式的病毒，我们学校总之很多教室的电脑都中招了，而且周围同学也有好几个中的。我接触的都是vbs脚本病毒，今天也特意找了个样本研究了一下，所以想说说中毒的症状及清除方法。

（因为我找到的那个样本vbs有“暴风一号”字样，我们暂且称之为“暴风一号”吧。由于病毒种类不同，即使中毒症状一样，解决方法也很可能是不同的。所以本文章仅供参考，请大家谨慎操作，本人不负任何后果。O(∩_∩)O~）

首先说说中毒症状。

1.       病毒运行后会将各分区（包括插入电脑的U盘）的文件夹隐藏，并创建文件夹的快捷方式，命令行指向vbs脚本病毒。也就是说当你打开这个“文件夹”（实际并不是文件夹，但图标是。所以有一定的迷惑性。）即运行了病毒！

2.       向注册表

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<load><"C:\WINDOWS\system32\smss.exe:1338294175.vbs">

         这个位置添加启动信息。（红色部分，默认为空。）

3.       修改.txt .reg .bat等格式文件关联。

4.       监视注册表编辑器、CMD、任务管理器等工具，发现运行即结束。

…………

总的来说由于这只是个vbs脚本病毒，所以注定不是非常难解决，但是清除病毒后的系统修复却是个比较难办的问题，所以我们一步一步来解决。

解决方法。

1.       由于病毒向svchost.exe进程中插入了两个.dll以达到监视目的，所以我们要借助一个第三方的小工具（点我下载）来卸除这个模块。我们打开XueTr，在进程标签下右击选择在进程中查找模块，然后输入vc.dll，查找。一般会有两个结果，同时拖动选中，右击卸载选中模块。（注：这并不是病毒文件，只是被病毒利用，千万不要删除。）

2.       删除注册表启动信息。在XueTr的启动项标签找到如图所示的启动项，右击删除（启动信息）

3.       重启计算机。至此重启后的计算机病毒并未运行，但是你一个不小心也许会导致病毒重新运行。比如查看文本文档、打开某个磁盘等许多不经意的操作。所以我建议大家千万不要乱动，否则前面做的就前功尽弃了。现在我们的目的是删除那个vbs病毒文件，我们让我们常用的压缩软件Winrar来客串一下O(∩_∩)O~，以C盘为例，从Winrar进入C盘删除与图中类似的文件。想必大家都知道autorun病毒吧，这个也是那个原理。然后用此方法检查别的分区的内容，出现类似的也删除。

这样就把病毒全部删除了，但是还没完，因为我们的正常文件夹还被病毒隐藏了、一些文件关联也被病毒改了，一些程序也被劫持了……所以我们下一步的工作就是修复一下系统，这也是最麻烦的。

首先我们还是用XueTr在系统杂项的文件关联下，右击选择修复所有。

然后我们要做的是恢复被隐藏的各分区的文件夹。我一般都用360系统急救箱，不知道还有没有别的类似的修复软件，大家可以推荐一下。

最后我们修复一些注册表的杂项，因为病毒改了很多地方，我对注册表也不是很了解，也没有这方面比较全面的修复工具，所以我推荐大家手动解决吧。最笨的方法是查找那个vbs病毒名称的注册表信息，比如本文中的1338294175.vbs，然后将找到的注册表项与正常机器的注册表值比较，然后改一下。最后提醒一下注册表操作有风险，修改前先备份一下。