发现过程
在公司电脑插u盘后盘内文件均变为了.lnk结尾的文件,且无法打开。根据快捷方式指向为VBS后缀,确定为VBScript Script编写的脚本木马
处理过程
根据以往经验,输入regedit打开注册表,找到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts/Ink并删除.lnk文件夹,打开cmd后输入assoc.Ink=Inkfile,显示拒绝访问,观测是因为未使用管理员权限,且无法使用搜索启动管理员cmd,故进入C:\WINDOWS\System32\cmd.exe右击管理员权限运行后输入assoc.lnk=lnkfile重置,成功后自动恢复快捷方式的文件。
U盘病毒的手动查杀
这种病毒的特点是会自我复制,修改文件属性为系统性隐藏文件,并创建相应的快捷方式连接到相应文件。开机自启动。
打开管理员权限cmd,然后切换目录到C盘根目录命令如下cd/ 执行attrib -a -r -h -s /d *.去除它们的只读、隐藏、系统属性,你会发现多出来一个.vbs脚本和一个文件名为-的文件夹 你被隐藏的文件就存在于这里。然后cmd输入del *.vbs删除存在于电脑的vbs脚本文件。切换制自己的u盘盘符X:,输入attrib -a -r -h -s /s /d *.(attrib命令输入-help即可获取)输入del /s *.vbs删除残留在盘的vbs主文件,输入del *.lnk删除快捷方式(注:如果有需要的快捷方式请手动删除)
清除完之后请进行一次病毒查杀,确保没有其他病毒都存在。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
