移動硬盤內容變成快捷方式處理

硬盤外借，感染了病毒，導致內容變成快捷方式，這個經常出現在U盤。U盤去學校打印店打印容易感染此病毒。正常點擊快捷方式可以打開，內容並未丟失。如果開了殺毒軟件，可能會提示管理員權限CMD，導致無法打開內容。

---

該快捷方式對應的目標是一句dos命令。

%comspec% /q /c "RECYCLER.BIN\1\CEFHelper.exe 727 71"

運行cmd程序，執行d命令
%Comspec%的意思是DOS 的命令處理器。
CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V
[[/S] [/C | /K] string]
/C 執行字符串指定的命令然后終斷
/K 執行字符串指定的命令但保留
/S 在 /C 或 /K 后修改字符串處理(見下)
/Q 關閉回應

點擊快捷方式，直接進入硬盤原來的內容。但是在此目錄下，所有文件已作為系統文件隱藏。

顯示隱藏文件

設置文件夾隱藏選項，查看隱藏文件

可以看到存在隱藏文件主要是$RECYCLE.BIN RECYCLER.BIN System Volume Information。原來的文件均在第一個文件名為空格的隱藏文件夾內。刪除回收站的隱藏文件仍然無效。

當退出硬盤重新進入又重新隱藏變為快捷方式。

---

---

采用dos命令attrib -h -r -s /d /s H:\*.* 顯示H盤（硬盤）內所有隱藏文件。可以看到里面存在這個CEFHelper.exe軟件。當退出硬盤重新進入后又全部隱藏。

將隱藏的無關文件全部刪除后仍然無效。這是因為無法刪除干凈。搜索發現依舊存在CEFHelper.exe

殺毒軟件查殺

360殺毒 金山毒霸進行全局掃描和移動硬盤單獨掃描並未發現病毒。這兩款軟件彈窗多，操作不友好。

Kaspersky掃描也未發現病毒，只存在其他文件的提示。

另外采用幾款usbcleaner軟件仍然無法找到病毒。

手動刪除

雖然硬盤文件還在，但是嚴重影響使用，主要處理和檢查如下

• 結束該軟件的進程或者服務
• 刪除所有該軟件文件，在C盤也可能存在
• 設置注冊表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 設置文件夾可見性，值為1
• 看注冊表中的自啟動計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run啟動的程序。
• 搜索注冊表ctrl+F中，所有與該軟件相關的注冊表，進行刪除，或許不存在。
• win+r 輸入msconfig查看自啟動的服務，是否存在異常服務。存在異常的禁用。

后續

做完幾個操作之后移動硬盤的文件已經恢復，不會自動變成快捷方式了。
只要思想不滑坡，辦法總比困難多。