USB快捷方式病毒隐藏所有文件恢复方法
今天发现了个新型的USB病毒,会隐藏U盘下所有文件,只留下一个快捷方式。虽然双击可以进入U盘,不过 Forece 可以 100% 肯定后台还隐藏着某个进程在偷偷做什么事情。网上貌似还没有出现专杀工具,今天就来一把手杀!不过话说回来,很久没见过USB病毒了。之前一次大规模USB病毒爆发还是在上学的时候,利用 autorun.inf ,只要双击U盘就会自动运行U盘上的病毒来达到传染目的。
一、恢复USB隐藏文件
大家都知道文件有属性,不过一般人都知道只读属性,可以在文件属性中更改。不过还有其他种类,比如说系统属性、隐藏属性、归档属性等等。这款USB快捷方式病毒其实就是利用的这些属性从而使所有文件隐藏的。恢复方法也很简单,只要移除所有属性即可。
查看了一下快捷方式 C:\Windows\system32\cmd.exe /c start rundll32 \ccccffffcccccfcccccffffcfcccfffcfccc.ccccffffcccccfcccccffffcfcccfffcfccc,KxUrRiGnqfZqDcIs
很明显,这不是一个正常的快捷方式。
1. WIN+R 打开运行窗口运行cmd
2. cd e:\ (e替换成你的U盘盘符)
3. attrib -s -r -h *.* /s /d
4. 然后你就应该可以看到隐藏的文件了。
Forece 遇到的病毒是将所有文件放入了一个没有名字的文件夹中,只要移动出来就好了,不过里边还是有几个文件需要删除的。
需要删除的文件列表:
eeeaceeeaceeeaceeeac.eeeaceeeaceeeaceeeac
IndexerVolumeGuid
autorun.inf
还有那个快捷方式也需要一并删除
至此,USB设备上的病毒就清除完毕了。
二、查杀电脑上的USB快捷方式病毒
虽然USB恢复了,但是只要重新插入USB,你的USB就会被重新感染,所以我们还需要清除电脑上的病毒源。只要这个病毒源头不死,那么就会陷入一个死循环。
那么病毒储存的地方也就那么几个地方,只要挨个排查就可以了。
msconfig
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\Users\CC_User\AppData\Local\Temp
C:\Users\CC_User\AppData\Roaming
C:\Users\CC_User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
基本上就这么几个地方
下边说下 Forece 的查看结果,
首先 Msconfig 中在起始程序中发现了一个奇怪的进程K,然后找到K运行的地址是 C:\Users\CC_User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup,然后经过排查,发现K只是一个快捷方式,这个快捷方式指向的是C:\Users\CC_User\AppData\Roaming中的一个可执行文件,那么基本就可以确认这个病毒的位置了。
然后在通过注册表中查看 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ,发现有一个 powershell 被激活了,要知道powershell可是拥有管理员权限啊,几乎可以干任何事了。所以这个也需要删除。不过删除之前稍微撇了一眼,发现这个 Powershell 还指向了另外一个注册表地址,那么同理,杀之。地址是
HKEY_CURRENT_USER\SOFTWARE\Classes\随机字母 。
基本上经过这么几个步骤,病毒就被查杀了,重启电脑,然后重新插入U盘再测试一下。完美!
在网上查资料的时候,只有英文网站有这个病毒的记录,貌似中国还没被大规模感染。所以国内的小伙伴的还是安全的,写下来以防万一。如果大家中了病毒,可以照葫芦画瓢。
PS:
网上的教程基本上和我这个病毒类似,估计变种很多,所以感染的地方可能也不一样。不过大部分都一样。比如在 Forece 列举的下边几个 reference 当中,就有利用 wscript 制作VBS来达到同样目的的病毒。
reference:
https://www.itechfever.com/remove-shortcut-virus/
http://vintaytime.com/remove-shortcut-virus/
https://www.quora.com/How-can-I-remove-a-shortcut-virus-permanently-from-my-laptop-without-any-software
http://www.wikihow.com/Remove-Shortcut-Virus-on-Windows
https://www.techchore.com/flashdrive-shortcut-virus-and-two-2-methods-to-get-rid-of-it/
等等我在学校的智能白板上见到过类似的东西。。
也是把全部文件移到隐藏无名文件夹,留个快捷方式
当时还不知道为啥会这样,现在懂了