最近有些电脑插入U盘后,U盘里面无故多出了很多快捷方式,且里面正常的文件全部不见了(隐藏了),故小编找了些方法进行处理,下面为小编自己总结出来的方法,希望可以帮到同样出现该问题的人员,不多说,直接上教程。
特征:U盘根目录自动出现很多快捷方式,正常文件被隐藏
分析:这种为U盘插入后就会触发某个进程运行,并且对U盘进行读写,将U盘根目录下的文件或者文件夹创建快捷方式,并且进行隐藏,确认是否为隐藏的方法(双击我的电脑,打开文件管理器,在上面可以看到有个工具选项,如果没有,就按键盘的Alt键就会出现,选择文件夹选项,在”查看“那一栏中把”隐藏受保护的操作系统文件“前面的√去掉,--->确定--->应用--->保存),这样就可以看到U盘被隐藏的原本文件了。
处理方法:
1.删除vbs文件,在U盘的快捷方式上面右击,选择属性,可以看到在目标中有一行代码,其中会包含一个vbs的文件,将该文件名记住,我处理的时候记得这个文件名的开头是flg,不同的传播者可能会修改该名字,以实际为准,然后下载Everything文件搜索软件,这个软件可以快速的搜索磁盘的文件,打开这个文件,将刚刚记住的名字输入上去,查找出来后删除对应的文件,有时候会出现无法删除提示该文件正在运行的情况,这时候需要在任务栏中右击选择任务管理器,找到wscript.exe进程结束掉,然后再删除就可以了。vbs后缀的文件基本是使用系统内置的wscript.exe运行的。
2.系统查杀,下载火绒安全软件对系统进行查杀,所谓术业有专攻,发现这个安全软件对这种快捷方式的排杀比较有效,可以找出对应运行的软件,就我查杀后出现的文件为WinToolkitRunOnce.exe,在C:WindowsSystem32目录下面,把它查杀掉。
3.检查启动项,打开运行,输入msconfig确认,查看启动项是否有可疑的自启动你无法识别的,如果有就去掉前面的勾选,不让它开机自启动。
4.如果安装了360或者是安全管家软件,需要查看软件里面的启动项是否有该病毒的自启动项,如果有需要禁止掉。
5.查看在各个盘包括优盘的根目录下找google或者skypee这两个文件夹,这就是木马驻磁盘各个分区办事处。如果有这两个文件夹应该删除掉
6.重启电脑,不排除病毒会在缓冲区停留,你删除对应的文件后无法及时生效,所以需要重启下电脑。
7.恢复U盘隐藏文件,完成上面的步骤后就可以将中毒的U盘插入到电脑中,新建一个文件,将下面的代码粘贴到文件中,重命名文件为:recover.bat,复制该文件到U盘的根目录,双击运行即可恢复隐藏的文件,然后手动删除根目录的快捷方式即可,PS:该步骤可能不用做,因为火绒安全软件在你插入U盘的时候会对U盘进行检查,有提示病毒的时候你点击确认删除即可恢复正常的文件。
attrib *.* -s -h -r -a /s /d