故障说明:由于用户中了病毒,导致文件服务器的共享被病毒感染,全部变为隐藏文件夹,然后生成伪装的exe应用,名字就是文件夹的名称,如果点击了就会继续感染,同时还会生成scr后缀名的文件。
由于公司并没有进行集中管控防毒中心,所以一时半会并不知道哪台电脑感染的,于是先缩小范围定位。
先确定该文件夹有读写权限的用户,发现只有一个用户符合条件,管理员用户忽略。
该用户是生产测试车间的公用账号,覆盖三五十台电脑,怎么办?只能马上一个个去检查,发现病毒特征的电脑都登记。
一般开机启动项都会存在一个***.vbs文件,那基本都被感染过了。
最后发现一台电脑符合特征:
1、该用户可以看到被隐藏的服务器文件夹,而其他用户完全看不到隐藏的文件。
2、杀毒软件日志看到17号有隔离过病毒感染,而服务器文件夹刚好是18号受到感染的。
3、杀毒提示的盘符是F盘,但是发现本机并未有F盘,可以判定该用户使用的U盘。
可以确定该用户就是病毒源头了。
赶紧询问该用户是不是使用过U盘,回答是肯定的,接着询问U盘都接过哪些电脑?
原来该用户用U盘接过车间测试主机,赶紧去那台主机上看,由于该主机没联网,默认忽略了安装杀毒软件,测试把U盘接入该主机,马上被病毒感染,原来,真正的病毒源是该电脑。
U盘里面有最新版的离线杀毒工具,于是装上去赶紧杀毒,查到7000多个后电脑崩溃了,只能几千个病毒的时候就清理掉。
建议手动先删除一些TEMP之类的文件夹,这样病毒自动就消失了一大部分,不然扫描过程特别慢。
杀毒第一次完成后进入360急救盘PE版本,让病毒无法运行的情况下再次杀毒。
**这病毒开发者应该也是新手,这手段太水了
由于文件并没有真正的删除,只是做了隐藏,所以可以直接通过命令行就行恢复
首先选择你的盘符,比如C盘,就在CMD命令行输入C:
之后输入下面的代码,不用修改,直接复制粘贴,就可以修复C盘的所有隐藏文件夹了
attrib -s -h -r *.* /D /S
741
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
