记一次U盘中毒的经历

前段时间因为把U盘插在了学校机房的电脑上,导致自己的U盘中了病毒,开始只是注意到U盘好像总是会新建一些文件,然后是杀毒软件报毒,但当时也并没有太过在意,过了一段感觉U盘出现各种问题,例如某些文件无法删除等,便开始对病毒进行查杀工作。

病毒分析

因为博主这是个小菜鸟,也不会像大佬那样用一些专业的工具去进行分析(为了更好地观察,我从机房里将病毒样本Skypee文件夹压缩并拷到了U盘里便于回家观察),这里就表达一下我对这个病毒大概工作原理的个人见解(也许有不对的地方)

文件夹病毒

首先当有U盘连接上电脑后,病毒会将你U盘的文件夹全部隐藏起来,然后生成长相跟文件夹几乎一模一样的EXE可执行文件(如果用户没有把“文件夹选项”的“隐藏已知文件的扩展名”取消勾选,那就更逼真了),用户在浏览U盘内容时很容易就被病毒欺骗,点开了被病毒伪装的程序

快捷方式病毒

另外U盘里还不断出现诸如DownloadsMy PictuersMy Videos等这样的快捷方式,看起来让人以为是系统创建的一些文件夹之类的,但当查看其指向目标时便会发现这也是病毒所创建的快捷方式

C:\Windows\system32\cmd.exe /c start Skypee\AutoIt3.exe  /AutoIt3ExecuteScript  Skypee\googleupdate.a3x explorer "%CD%" & exit

通过查询相关资料,了解到这里的AutoIt3.exe是一个类似BASIC脚本语言的软件,可利用模拟键鼠操作来实现自动化任务,并且可以运行Windows和Dos程序以及对注册表进行操作等功能,而这里的googleupdate.a3x应该便是其脚本文件了,用户每点击一次这些快捷方式都会触发病毒

清除病毒

第一步需要在任务管理器中找到进程AutoIt3.exe并结束该进程

删除病毒开机启动项

用 Win+R 打开运行,输入msconfig打开系统配置窗口->启动找到叫AutoIt v3 Script的启动项,取消勾选后确定

删除病毒相关文件

删除的过程过于繁琐,要是用批处理来处理就更方便了

可是自己对DOS以及批处理的一些命令又不怎么了解,所以花了一下午时间通过各种百度完成了如下代码

@echo off&title Skypee病毒专杀 by:Silent.离梦
mode con cols=60 lines=20
color 2f
:welcome
echo Skypee病毒专杀工具 
echo ==============================
echo.
echo @author  :Silent.离梦
echo.
echo @time    :2019-4-20
echo.
echo @article :https://ilimeng.cn/1203.html
echo.
echo ==============================
echo.
set /p pf=请输入要清除病毒的盘符(例:C):
%pf%:
:menu
cls
echo.
echo 请输入编号执行相应的操作:
echo ==============================
echo.
echo 1,中止病毒进程
echo.
echo 2,清除指定磁盘下毒源
echo.
echo 3,清除指定磁盘下的病毒快捷方式
echo.
echo 4,清除文件夹病毒
echo.
echo 5,删除病毒启动项
echo.
echo 6,更换盘符
echo.
echo Q,退出
echo.
echo ==============================
echo.
set /p user_input=请输入数字:
if %user_input% equ 1 goto :taskKill
if %user_input% equ 2 goto :deldir
if %user_input% equ 3 goto :kjfs
if %user_input% equ 4 goto :wjj
if %user_input% equ 5 goto :start
if %user_input% equ 5 goto :welcome
if %user_input%==q exit
goto :menu

:deldir
cls
echo -----正在%pf%盘下清除毒源-----
attrib -a -s -h -r Google
del /f /s /q Google
rd Google
attrib -a -s -h -r Skypee
del /f /s /q Skypee
rd Skypee
echo -----------已清除------------
echo 按任意键返回菜单...
pause>nul
goto :menu
AutoIt3.exe
:kjfs
cls
echo 1,仅删除二级目录下的同名快捷方式
echo.
echo 2,删除根目录及二级目录下的快捷方式
echo.
set /p fs=请选择删除方式:
if %fs%==1 (
cls
echo 正在为您删除二级目录下的同名快捷方式...
for /f "tokens=*" %%i in ('dir /ad /b \*') do del /f /s /q  "\%%i\%%i.lnk"
)
if %fs%==2 (
cls
echo 正在为您删除根目录及二级目录下的快捷方式...
for /f "tokens=*" %%i in ('dir /ad /b *') do del /f /s /q  "%%i\%%i.lnk"
del /f /q  "*.lnk"
)
echo 按任意键返回菜单...
pause>nul
goto :menu

:wjj
cls
echo -----正在恢复被病毒隐藏的文件夹------
for /f "tokens=*" %%a in ('dir /ad /b') do attrib -a -s -h -r "%%a"&del /f /q  "%%a.exe"
echo.
echo -----已恢复被病毒隐藏的文件夹------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

:start
cls
echo -----正在删除病毒启动项------
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiUsbWorm /f
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiWormUpdate /f
echo.
echo -----已删除病毒启动项------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu
:taskKill
cls
echo -----正在中止病毒进程------
taskkill /im AutoIt3.exe /t /f
echo.
echo ----已强制结束病毒进程-----
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

通过这个批处理对各盘病毒进行查杀后,发现U盘里还有一个名为System Volume Information的系统卷标信息文件夹,不知道跟病毒有没有关系,但保险起见还是删掉吧

删除System Volume Information文件夹

System Volume Information 是 windows 操作系统的系统文件夹,默认为隐藏属性,不可见,中文名称可以翻译为“系统卷标信息”。因为是系统目录,所以这里通过文件粉碎机进行删除,为了防止再次生成该目录,可以新建一个空的文本文档,命名为System Volume Information(没有扩展名)然后将其属性设置为“只读”和“隐藏”,这样系统因为同一目录下不能出现同名文件,这样系统下次就无法创建了

通过以上这些操作,病毒也就基本算是根除了吧

本文链接:

https://ilimeng.cn/1203.html
1 + 7 =
7 评论
    范明明Edge 18Windows 10
    4月25日 回复

    自从使用了Windows 10已经很久没有见过病毒了。

      离梦Chrome 72Android P
      4月26日 回复

      @范明明 主要是学校机房现在用的是win7而且也没有装什么电子教室之类的软件,电脑经常出各种问题,或者被学生私自上密码

    niceChrome 72Windows 10
    5月1日 回复

    学校机房有毒!

      离梦Chrome 71Windows 7
      5月2日 回复

      @nice 对,一个电脑有毒,一个U盘用来用去就越来越多中毒的

    repostoneChrome 63Windows 8.1
    5月2日 回复

    好多年没遇到杀不掉的毒了。

      离梦Chrome 72Android P
      5月5日 回复

      @repostone 是毒一般应该都能杀掉吧,只是难易问题

    今日新闻Chrome 63Windows 7
    5月18日 回复

    文章不错非常喜欢