51工具盒子前段时间因为把U盘插在了学校机房的电脑上,导致自己的U盘中了病毒,开始只是注意到U盘好像总是会新建一些文件,然后是杀毒软件报毒,但当时也并没有太过在意,过了一段感觉U盘出现各种问题,例如某些文件无法删除等,便开始对病毒进行查杀工作。
病毒分析 {#menu_index_1}
因为博主这是个小菜鸟,也不会像大佬那样用一些专业的工具去进行分析(为了更好地观察,我从机房里将病毒Skypee文件夹压缩并拷到了U盘里便于回家观察),这里就表达一下我对这个病毒大概工作原理的个人见解(也许有不对的地方)
文件夹病毒 {#menu_index_2}
首先当有U盘连接上电脑后,病毒会将你U盘的文件夹全部隐藏起来,然后生成长相跟文件夹几乎一模一样的EXE可执行文件(如果用户没有把"文件夹选项"的"隐藏已知文件的扩展名"取消勾选,那就更逼真了),用户在浏览U盘内容时很容易就被病毒欺骗,点开了被病毒伪装的程序
快捷方式病毒 {#menu_index_3}
另外U盘里还不断出现诸如Downloads、My Pictuers、My Videos等这样的快捷方式,看起来让人以为是系统创建的一些文件夹之类的,但当查看其指向目标时便会发现这也是病毒所创建的快捷方式
C:\Windows\system32\cmd.exe /c start Skypee\AutoIt3.exe /AutoIt3ExecuteScript Skypee\googleupdate.a3x explorer "%CD%" & exit
通过查询相关资料,了解到这里的AutoIt3.exe是一个类似BASIC脚本语言的软件,可利用模拟键鼠操作来实现自动化任务,并且可以运行Windows和Dos程序以及对注册表进行操作等功能,而这里的googleupdate.a3x应该便是其脚本文件了,用户每点击一次这些快捷方式都会触发病毒
清除病毒 {#menu_index_4}
第一步需要在任务管理器中找到进程AutoIt3.exe并结束该进程
删除病毒开机启动项 {#menu_index_5}
用 Win+R 打开运行,输入msconfig打开系统配置窗口->启动找到叫AutoIt v3 Script的启动项,取消勾选后确定
删除病毒相关文件 {#menu_index_6}
删除的过程过于繁琐,要是用批处理来处理就更方便了
可是自己对DOS以及批处理的一些命令又不怎么了解,所以花了一下午时间通过各种百度完成了如下代码
@echo off&title AutoIt3病毒专杀 by:Silent.离梦
mode con cols=60 lines=28
color 2f
:welcome
cls
echo AutoIt3病毒专杀工具
echo ==============================
echo.
echo @author :Silent.离梦
echo.
echo @time :2019-4-20
echo.
echo @article :https://ilimeng.cn/1203.html
echo.
echo ==============================
echo.
set /p pf=请输入要清除病毒的盘符(例:C):
%pf%:
title %pf%盘 by:Silent.离梦
:menu
cls
echo.
echo 请输入编号执行相应的操作:
echo ==============================
echo.
echo 1,中止病毒进程
echo.
echo 2,删除病毒启动项
echo.
echo 3,清除指定磁盘下毒源
echo.
echo 4,清除指定磁盘下的病毒快捷方式
echo.
echo 5,清除文件夹病毒
echo.
echo 6,更换盘符
echo.
echo 7,U盘免疫
echo.
echo 8,U盘修复
echo.
echo Q,退出
echo.
echo ==============================
echo.
set /p user_input=请输入数字:
if %user_input% equ 1 goto :taskKill
if %user_input% equ 2 goto :start
if %user_input% equ 3 goto :deldir
if %user_input% equ 4 goto :kjfs
if %user_input% equ 5 goto :wjj
if %user_input% equ 6 goto :welcome
if %user_input% equ 7 goto :upanmy
if %user_input% equ 8 goto :repair
if %user_input%==q exit
goto :menu
:deldir
cls
echo -----正在%pf%盘下清除毒源-----
if exist Google (
attrib -a -s -h -r Google
del /f /s /q Google
rd Google
echo 目标目录已删除
) else echo 未发现目标文件
if exist Skypee (
attrib -a -s -h -r Skypee
del /f /s /q Skypee
rd Skypee
echo 目标目录已删除
) else echo 未发现目标文件
echo -----------完成------------
echo 按任意键返回菜单...
pause>nul
goto :menu
:kjfs
cls
echo 1,仅删除二级目录下的同名快捷方式
echo.
echo 2,删除根目录及二级目录下的快捷方式
echo.
set /p fs=请选择删除方式:
if %fs%==1 (
cls
echo 正在为您删除二级目录下的同名快捷方式...
for /f "tokens=" %%i in ('dir /ad /b *') do del /f /s /q "%%i%%i.lnk"
)
if %fs%==2 (
cls
echo 正在为您删除根目录及二级目录下的快捷方式...
for /f "tokens=" %%i in ('dir /ad /b ') do del /f /s /q "%%i%%i.lnk"
del /f /q ".lnk"
)
echo 按任意键返回菜单...
pause>nul
goto :menu
:wjj
cls
echo -----正在恢复被病毒隐藏的文件夹------
for /f "tokens=*" %%a in ('dir /ad /b') do attrib -a -s -h -r "%%a"&del /f /q "%%a.exe"
echo.
echo -----已恢复被病毒隐藏的文件夹------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu
:start
cls
echo -----正在删除病毒启动项------
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiUsbWorm /f
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiWormUpdate /f
echo.
echo -----已删除病毒启动项------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu
:taskKill
cls
echo -----正在中止病毒进程------
taskkill /im AutoIt3.exe /t /f
echo.
echo ----已强制结束病毒进程-----
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu
:upanmy
cls
set /p upan=请选择U盘盘符(例:G):
%upan%:
if exist autorun.inf (
attrib -a -s -h -r autorun.inf
del /f /q "autorun.inf"
)
md autorun.inf
md autorun.inf\U盘免疫...
attrib autorun.inf +h +r
%pf%:
echo 已对所选盘符进行免疫!
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu
:repair
cls
chkdsk %pf%: /F
echo 已修复!
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu
通过这个批处理对各盘病毒进行查杀后,发现U盘里还有一个名为System Volume Information的系统卷标信息文件夹,不知道跟病毒有没有关系,但保险起见还是删掉吧
删除System Volume Information文件夹 {#menu_index_7}
System Volume Information 是 windows 操作系统的系统文件夹,默认为隐藏属性,不可见,中文名称可以翻译为"系统卷标信息"。因为是系统目录,所以这里通过文件粉碎机进行删除,为了防止再次生成该目录,可以新建一个空的文本文档,命名为System Volume Information(没有扩展名)然后将其属性设置为"只读"和"隐藏",这样系统因为同一目录下不能出现同名文件,这样系统下次就无法创建了
通过以上这些操作,病毒就基本清除了
