病毒行为分析:
中毒的U盘中的自动运行文件autorun.inf 中的内容为:
[AutoRun]
open=wscript.exe u.vbe
shellopenCommand=wscript.exe u.vbe
shellexploreCommand=wscript.exe u.vbe
shellfindCommand=wscript.exe u.vbe
用户双击中毒的U盘后激活u.vbe脚本,导致用双击、右键菜单、资源管理器等方式无法打开U盘。
解决办法:
找到注册表中的以下项:
[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{fe02d37c-f28e-11db-86e7-000aeb4a4655}]
删除项目下的shell{fe02d37c-f28e-11db-86e7-000aeb4a4655}。可能每个的机器上的值都不同,只要找到下面有shell的那个字符串,把项shell删除就可以打开u盘。
@echo off
echo.正在清理...
setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONS
cd /d "%systemroot%"
del /a /f /q "%systemdrive%已经被反U盘病毒的“病毒”感染.txt" inf.tem uda.a u.vbe uhere-*.txt "%ALLUSERSPROFILE%「开始」菜单程序启动u.vbe" u.bat zap.a zap.exe uda.exe ReadMe.txt s.vbe uda-解压.bat 主操控.bat Anti-U盘免疫.bat U盘病毒分析.bat 打开发送功能.bat
set /a n=0
set dl=CDEFGHIJKLMNOPQRSTUVWXYZ
:s
set d=!dl:~%n%,1!:
if exist %d% (cd /d %d%& del /a /f /q u.bat u.vbe !uda.a U盘病毒分析Beta3.exe autorun.inf *.sk)
set /a n=n+1
if not %n%==24 goto s
reg delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v vbe /f
echo.清理完成!建议重新启动计算机以更新设置。
echo.按任意键退出...
