最近有些電腦插入U盤后,U盤里面無故多出了很多快捷方式,且里面正常的文件全部不見了(隱藏了),故小編找了些方法進行處理,下面為小編自己總結出來的方法,希望可以幫到同樣出現該問題的人員,不多說,直接上教程。
特征:U盤根目錄自動出現很多快捷方式,正常文件被隱藏
分析:這種為U盤插入后就會觸發某個進程運行,並且對U盤進行讀寫,將U盤根目錄下的文件或者文件夾創建快捷方式,並且進行隱藏,確認是否為隱藏的方法(雙擊我的電腦,打開文件管理器,在上面可以看到有個工具選項,如果沒有,就按鍵盤的Alt鍵就會出現,選擇文件夾選項,在”查看“那一欄中把”隱藏受保護的操作系統文件“前面的√去掉,--->確定--->應用--->保存),這樣就可以看到U盤被隱藏的原本文件了。
處理方法:
1.刪除vbs文件,在U盤的快捷方式上面右擊,選擇屬性,可以看到在目標中有一行代碼,其中會包含一個vbs的文件,將該文件名記住,我處理的時候記得這個文件名的開頭是flg,不同的傳播者可能會修改該名字,以實際為准,然后下載Everything文件搜索軟件,這個軟件可以快速的搜索磁盤的文件,打開這個文件,將剛剛記住的名字輸入上去,查找出來后刪除對應的文件,有時候會出現無法刪除提示該文件正在運行的情況,這時候需要在任務欄中右擊選擇任務管理器,找到wscript.exe進程結束掉,然后再刪除就可以了。vbs后綴的文件基本是使用系統內置的wscript.exe運行的。
2.系統查殺,下載火絨安全軟件對系統進行查殺,所謂術業有專攻,發現這個安全軟件對這種快捷方式的排殺比較有效,可以找出對應運行的軟件,就我查殺后出現的文件為WinToolkitRunOnce.exe,在C:\Windows\System32目錄下面,把它查殺掉。
3.檢查啟動項,打開運行,輸入msconfig確認,查看啟動項是否有可疑的自啟動你無法識別的,如果有就去掉前面的勾選,不讓它開機自啟動。
4.如果安裝了360或者是安全管家軟件,需要查看軟件里面的啟動項是否有該病毒的自啟動項,如果有需要禁止掉。
5.查看在各個盤包括優盤的根目錄下找google或者skypee這兩個文件夾,這就是木馬駐磁盤各個分區辦事處。如果有這兩個文件夾應該刪除掉
6.重啟電腦,不排除病毒會在緩沖區停留,你刪除對應的文件后無法及時生效,所以需要重啟下電腦。
7.恢復U盤隱藏文件,完成上面的步驟后就可以將中毒的U盤插入到電腦中,新建一個文件,將下面的代碼粘貼到文件中,重命名文件為:recover.bat,復制該文件到U盤的根目錄,雙擊運行即可恢復隱藏的文件,然后手動刪除根目錄的快捷方式即可,PS:該步驟可能不用做,因為火絨安全軟件在你插入U盤的時候會對U盤進行檢查,有提示病毒的時候你點擊確認刪除即可恢復正常的文件。
attrib *.* -s -h -r -a /s /d