安全｜用批处理简单解决Skypee（AutoIt3） U盘病毒

前段时间因为把U盘插在了学校机房的电脑上，导致自己的U盘中了病毒，开始只是注意到U盘好像总是会新建一些文件，然后是杀毒软件报毒，但当时也并没有太过在意，过了一段感觉U盘出现各种问题，例如某些文件无法删除等，便开始对病毒进行查杀工作。

病毒分析

因为博主这是个小菜鸟，也不会像大佬那样用一些专业的工具去进行分析（为了更好地观察，我从机房里将病毒Skypee文件夹压缩并拷到了U盘里便于回家观察），这里就表达一下我对这个病毒大概工作原理的个人见解（也许有不对的地方）

文件夹病毒

首先当有U盘连接上电脑后，病毒会将你U盘的文件夹全部隐藏起来，然后生成长相跟文件夹几乎一模一样的EXE可执行文件（如果用户没有把“文件夹选项”的“隐藏已知文件的扩展名”取消勾选，那就更逼真了），用户在浏览U盘内容时很容易就被病毒欺骗，点开了被病毒伪装的程序

快捷方式病毒

另外U盘里还不断出现诸如Downloads、My Pictuers、My Videos等这样的快捷方式，看起来让人以为是系统创建的一些文件夹之类的，但当查看其指向目标时便会发现这也是病毒所创建的快捷方式

C:\Windows\system32\cmd.exe /c start Skypee\AutoIt3.exe  /AutoIt3ExecuteScript  Skypee\googleupdate.a3x explorer "%CD%" & exit

通过查询相关资料，了解到这里的AutoIt3.exe是一个类似BASIC脚本语言的软件，可利用模拟键鼠操作来实现自动化任务，并且可以运行Windows和Dos程序以及对注册表进行操作等功能，而这里的googleupdate.a3x应该便是其脚本文件了，用户每点击一次这些快捷方式都会触发病毒

清除病毒

第一步需要在任务管理器中找到进程AutoIt3.exe并结束该进程

删除病毒开机启动项

用 Win+R 打开运行，输入msconfig打开系统配置窗口->启动找到叫AutoIt v3 Script的启动项，取消勾选后确定

删除病毒相关文件

删除的过程过于繁琐，要是用批处理来处理就更方便了

可是自己对DOS以及批处理的一些命令又不怎么了解，所以花了一下午时间通过各种百度完成了如下代码

@echo off&title AutoIt3病毒专杀 by：Silent.离梦
mode con cols=60 lines=28
color 2f
:welcome
cls
echo AutoIt3病毒专杀工具 
echo ==============================
echo.
echo @author  :Silent.离梦
echo.
echo @time    :2019-4-20
echo.
echo @article :https://ilimeng.cn/1203.html
echo.
echo ==============================
echo.
set /p pf=请输入要清除病毒的盘符（例：C）：
%pf%:
title %pf%盘 by：Silent.离梦
:menu
cls
echo.
echo 请输入编号执行相应的操作：
echo ==============================
echo.
echo 1，中止病毒进程
echo.
echo 2，删除病毒启动项
echo.
echo 3，清除指定磁盘下毒源
echo.
echo 4，清除指定磁盘下的病毒快捷方式
echo.
echo 5，清除文件夹病毒
echo.
echo 6，更换盘符
echo.
echo 7，U盘免疫
echo.
echo 8，U盘修复
echo.
echo Q，退出
echo.
echo ==============================
echo.
set /p user_input=请输入数字：
if %user_input% equ 1 goto :taskKill
if %user_input% equ 2 goto :start
if %user_input% equ 3 goto :deldir
if %user_input% equ 4 goto :kjfs
if %user_input% equ 5 goto :wjj
if %user_input% equ 6 goto :welcome
if %user_input% equ 7 goto :upanmy
if %user_input% equ 8 goto :repair
if %user_input%==q exit
goto :menu

:deldir
cls
echo -----正在%pf%盘下清除毒源-----
if exist Google (
attrib -a -s -h -r Google
del /f /s /q Google
rd Google
echo 目标目录已删除
) else echo 未发现目标文件
if exist Skypee (
attrib -a -s -h -r Skypee
del /f /s /q Skypee
rd Skypee
echo 目标目录已删除
) else echo 未发现目标文件
echo -----------完成------------
echo 按任意键返回菜单...
pause>nul
goto :menu


:kjfs
cls
echo 1，仅删除二级目录下的同名快捷方式
echo.
echo 2，删除根目录及二级目录下的快捷方式
echo.
set /p fs=请选择删除方式：
if %fs%==1 (
cls
echo 正在为您删除二级目录下的同名快捷方式...
for /f "tokens=*" %%i in ('dir /ad /b \*') do del /f /s /q  "\%%i\%%i.lnk"
)
if %fs%==2 (
cls
echo 正在为您删除根目录及二级目录下的快捷方式...
for /f "tokens=*" %%i in ('dir /ad /b *') do del /f /s /q  "%%i\%%i.lnk"
del /f /q  "*.lnk"
)
echo 按任意键返回菜单...
pause>nul
goto :menu

:wjj
cls
echo -----正在恢复被病毒隐藏的文件夹------
for /f "tokens=*" %%a in ('dir /ad /b') do attrib -a -s -h -r "%%a"&del /f /q  "%%a.exe"
echo.
echo -----已恢复被病毒隐藏的文件夹------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

:start
cls
echo -----正在删除病毒启动项------
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiUsbWorm /f
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiWormUpdate /f
echo.
echo -----已删除病毒启动项------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

:taskKill
cls
echo -----正在中止病毒进程------
taskkill /im AutoIt3.exe /t /f
echo.
echo ----已强制结束病毒进程-----
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu


:upanmy
cls
set /p upan=请选择U盘盘符（例：G）：
%upan%:
if exist autorun.inf (
attrib -a -s -h -r autorun.inf
del /f /q  "autorun.inf"
)
md autorun.inf
md autorun.inf\U盘免疫...\
attrib autorun.inf +h +r
%pf%:
echo 已对所选盘符进行免疫！
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

:repair
cls
chkdsk %pf%: /F
echo 已修复！
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

通过这个批处理对各盘病毒进行查杀后，发现U盘里还有一个名为System Volume Information的系统卷标信息文件夹，不知道跟病毒有没有关系，但保险起见还是删掉吧

删除System Volume Information文件夹

System Volume Information 是 windows 操作系统的系统文件夹，默认为隐藏属性，不可见，中文名称可以翻译为“系统卷标信息”。因为是系统目录，所以这里通过文件粉碎机进行删除，为了防止再次生成该目录，可以新建一个空的文本文档，命名为System Volume Information（没有扩展名）然后将其属性设置为“只读”和“隐藏”，这样系统因为同一目录下不能出现同名文件，这样系统下次就无法创建了

通过以上这些操作，病毒就基本清除了