中了一個U盤病毒,費了好大勁才弄清是什麼毒,記錄在這裡,以為有需要的人。
百度百科上有這個病毒的介紹:這裡是連結。
下面是我的記錄:
一、病毒症狀:
U盤傳播,中毒的U盤隻顯示一個快捷方式,該快捷方式以"U盤名字+容量"的方式命名,如: kingston(4G).
打開檔案夾中隐藏設定: 顯示隐藏檔案+顯示系統保護的檔案,之後可以看到4個檔案:
1. autorun.inf
2. ~$W****.FAT 動态連結庫檔案
3. thumbs.db 說是病毒主體檔案
4. desktop.ini
5. 一個隐藏檔案夾,裡面放了原來U盤的内容.
快捷方式連結到 system32\rundll32.exe ~$W****.FAT crys...
當打開快捷方式時能打開原來檔案,但是當删除~$W****.FAT後,就提示檔案丢失,打不開快捷方式,找不到原檔案.
目前不能确定有無其他危害,也許隻是一個惡作劇代碼,隻要U盤插入有毒電腦,即會感染病毒。
二、解決方法
A. 病毒在相應臨時檔案夾中存在惡意檔案(我的例子),分别為
1. C:\Temp\TrustedInstaller.exe
2. C:\Users\S\Local setting\Temp\msexfa.exe (檔案夾在多個temp目錄都有可能,檔案名随機)
将以上檔案全部删除,為了確定全面清除,要将所有$Temp$中的.exe,.dll檔案全部删除,另外發現.bat批處理、.scr屏保檔案也是病毒。是以,可疑檔案全部删除。
另外,有些檔案夾不能通路,要更改權限:将屬性-安全-所有者 改為目前使用者,并獲得全部權限。
B. 清理系統資料庫資訊
HKCU-software-microsoft-windowsNT-currentversion-windows: load項删除(它指向了msexfa.exe)。
其他系統資料庫資訊删除可以按百度百科上的進行設定,系統資料庫的位置也不确定,以下是可疑位置:
HKCU-software-microsoft-windows-currentversion-Polices-explorer;
HKCU-software-microsoft-windows-currentversion-Run;
HKCU-software-microsoft-windowsNT-currentversion-windows;
HKLM-software-microsoft-windows-currentversion-Polices-explorer;
HKLM-software-microsoft-windows-currentversion-Run;
HKLM-software-microsoft-windowsNT-currentversion-windows;
C. U盤清理
顯示U盤隐藏檔案後,删除相應病毒檔案即可。
D. 完成以上步驟後要重新開機電腦,不要着急把U盤重新插入,以防記憶體中留下的病毒檔案重新傳播。
三、分析
病毒原理沒有找到,也許是利用了windows自動安裝或者更新。另外,程式會自動設定檔案隐藏。
以上為windows7平台經驗。