前几天去文印店打东西的时候发现U盘文件夹里面多了几个文件
其实就是每个源文件夹的目录下多了一个同名的快捷方式
作为一名OIer,第一反应当然是点开属性,发现引用的文件位置是C盘的一个文件
显然,这是一个病毒文件
首先尝试删除这些假快捷方式,发现瞬间又重新生成了
于是打开任务管理器,发现一个叫做“AutoIt3.exe”的进程
注意,这个AutoIt3不是那个语言编辑器,而是病毒伪装的同名程序(区别在于i应该是小写)
先强制杀死这个进程,然后再删除所有的快捷方式,发现成功了
为了避免大量的人工操作,我写了一个批处理文件,自动批量删除这些快捷方式
代码如下:
@echo off
echo ------ 查找中 ...
attrib -a -s -h -r skypee
del /f /s /q skypee
echo -----Skypee 已删除本盘的毒源------
echo.
ping -t -n 1 127.0.0.1>nul
echo -----清除此盘一级目录下的病毒快捷方式------
for /f "tokens=*" %%i in ('dir /ad /b *') do (
del /f /s /q "%%i\%%i.lnk")
echo -----清除结束------
ping -t -n 3 127.0.0.1>nul
exit
使用方法:
新建一个文本文档,将上述内容复制进去,保存后把文件后缀名改为.bat
复制到每一个盘的根文件(包括你的U盘),分别双击运行(有多少个盘就复制多少个来运行!)
(因为这个程序只能删除一个盘里面的假快捷方式!)
然而问题在于,这样只能做到暂时删除,如果重启电脑,病毒又会运行,生成这些快捷方式
所以我们先杀掉这东西的开机启动项!
开机启动项在这个位置:
C:Users qrAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
其中tqr是我的用户名,酌情更改,默认的话是Administrator
把里面的奇奇怪怪的文件全部删掉,这样病毒就无法自动运行了
然后找到病毒的源文件,删掉它
经过注册表一顿搜索,源文件的位置是
C:Google
注意,这个文件夹是无法查看的!就是说就算你打开了隐藏文件夹可见选项,也看不到这个!
唯一的访问方法是在地址栏里面输入这个地址,进入文件夹
然后里面的东西全部删掉
至此,这个病毒就清除结束了
事情并没有这么结束,我把病毒拆解,研究了一下它的原理,如下:
- 在一台公共电脑上投放这个病毒的初代,感染此公共电脑(多见于文印店)
- 运行这个病毒,每有U盘插入时,就自动在其目录制造假快捷方式,诱导点击
- 当U盘被拔出,插入另一个电脑,如果这个快捷方式被点击,那么病毒将会感染这台新的电脑,重复1过程
好在我没有在此病毒源码中发现任何对计算机有损害的内容
可能是谁做了一个软件,无意中传播出去,变成了现在的病毒
由于现在市面上的杀毒软件检测不到这个病毒
所以大家最好查一下自己的U盘/电脑是否中毒,按上述方法杀一下
此病毒非常顽固,不好好调查还真杀不干净……
步骤总结:
- 打开任务管理器,选择“进程”,关掉名为“AutoIt3.exe”的进程
- 复制我发的代码,按使用方式在每一个盘的根目录运行一次
- 到windows的开机启动文件夹中删除其自启动文件
- 输入C:Google地址,进入文件夹,删除里面的所有文件
前几天顺手把打印店的病毒也杀了,同学们查一下自己的U盘,别再传播开了
结束