小编分享1KB快捷方式病毒查杀方法

暴风一号病毒，因为其特性，又被称之为1KB快捷方式病毒，用户计算机在感染暴风一号病毒之后，就会在分区根目录下出现许多1KB快捷方式，而原来的文件夹则被隐藏了起来，1KB快捷方式病毒（暴风一号）怎么查杀呢？请看下文。

暴风一号（ Worm.Script.VBS.Autorun.be ）又称 1KB快捷方式病毒。这是一个由 VBS 脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。

一、暴风一号病毒行为：

1、暴风一号自变形

病毒首先通过执行 strreverse()函数，得到病毒的解密函数。解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。

2、暴风一号自复制

病毒会遍历各个磁盘，并向其根目录写入 Autorun.inf 以及 .vbs 文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。

病毒会将系统的 Wscript.exe 复制到 C:WindowsSystemsvchost.exe

如果是FAT 格式，病毒会将自身复制到 C:WindowsSystem32 下，文件名为随机数字。

如果是NTFS 格式，病毒将会通过 NTFS 文件流的方式，将其附加到如下文件中。

C:Windowsexplorer.exe

C:WindowsSystem32smss.exe

3、暴风一号修改注册表

病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行 inf、bat、cmd、reg、chm、hlp 类型的文件，打开Internet Explorer ，或者双击我的电脑图标时，会触发病毒文件，使之运行。

HKLMSOFTWAREClassesinffileshellopenCommand

HKLMSOFTWAREClassesbatfileshellopenCommand

HKLMSOFTWAREClassescmdfileshellopenCommand

HKLMSOFTWAREClassesregfileshellopenCommand

HKLMSOFTWAREClasseschm.fileshellopenCommand

HKLMSOFTWAREClasseshlpfileshellopenCommand

HKLMSOFTWAREClassesApplicationsiexplore.exeshellopenCommand

HKCRCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shell

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellopenCommand

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellexplorecommand