前幾天去文印店打東西的時候發現U盤文件夾里面多了幾個文件
其實就是每個源文件夾的目錄下多了一個同名的快捷方式
作為一名OIer,第一反應當然是點開屬性,發現引用的文件位置是C盤的一個文件
顯然,這是一個病毒文件
首先嘗試刪除這些假快捷方式,發現瞬間又重新生成了
於是打開任務管理器,發現一個叫做“AutoIt3.exe”的進程
注意,這個AutoIt3不是那個語言編輯器,而是病毒偽裝的同名程序(區別在於i應該是小寫)
先強制殺死這個進程,然后再刪除所有的快捷方式,發現成功了
為了避免大量的人工操作,我寫了一個批處理文件,自動批量刪除這些快捷方式
代碼如下:
@echo off
echo ------ 查找中 ...
attrib -a -s -h -r skypee
del /f /s /q skypee
echo -----Skypee 已刪除本盤的毒源------
echo.
ping -t -n 1 127.0.0.1>nul
echo -----清除此盤一級目錄下的病毒快捷方式------
for /f "tokens=*" %%i in ('dir /ad /b *') do (
del /f /s /q "%%i\%%i.lnk")
echo -----清除結束------
ping -t -n 3 127.0.0.1>nul
exit
使用方法:
新建一個文本文檔,將上述內容復制進去,保存后把文件后綴名改為.bat
復制到每一個盤的根文件(包括你的U盤),分別雙擊運行(有多少個盤就復制多少個來運行!)
(因為這個程序只能刪除一個盤里面的假快捷方式!)
然而問題在於,這樣只能做到暫時刪除,如果重啟電腦,病毒又會運行,生成這些快捷方式
所以我們先殺掉這東西的開機啟動項!
開機啟動項在這個位置:
C:\Users\tqr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
其中tqr是我的用戶名,酌情更改,默認的話是Administrator
把里面的奇奇怪怪的文件全部刪掉,這樣病毒就無法自動運行了
然后找到病毒的源文件,刪掉它
經過注冊表一頓搜索,源文件的位置是
C:\Google
注意,這個文件夾是無法查看的!就是說就算你打開了隱藏文件夾可見選項,也看不到這個!
唯一的訪問方法是在地址欄里面輸入這個地址,進入文件夾
然后里面的東西全部刪掉
至此,這個病毒就清除結束了
事情並沒有這么結束,我把病毒拆解,研究了一下它的原理,如下:
- 在一台公共電腦上投放這個病毒的初代,感染此公共電腦(多見於文印店)
- 運行這個病毒,每有U盤插入時,就自動在其目錄制造假快捷方式,誘導點擊
- 當U盤被拔出,插入另一個電腦,如果這個快捷方式被點擊,那么病毒將會感染這台新的電腦,重復1過程
好在我沒有在此病毒源碼中發現任何對計算機有損害的內容
可能是誰做了一個軟件,無意中傳播出去,變成了現在的病毒
由於現在市面上的殺毒軟件檢測不到這個病毒
所以大家最好查一下自己的U盤/電腦是否中毒,按上述方法殺一下
此病毒非常頑固,不好好調查還真殺不干凈……
步驟總結:
- 打開任務管理器,選擇“進程”,關掉名為“AutoIt3.exe”的進程
- 復制我發的代碼,按使用方式在每一個盤的根目錄運行一次
- 到windows的開機啟動文件夾中刪除其自啟動文件
- 輸入C:\Google地址,進入文件夾,刪除里面的所有文件
前幾天順手把打印店的病毒也殺了,同學們查一下自己的U盤,別再傳播開了
結束