U盘中毒后的应急处理
来源:互联网 发布:黑马程序员工资真假 编辑:程序博客网 时间:2024/04/28 17:32
教师在使用U盘时经常会碰到这种情况:打开U盘发现里面的文件夹都找不到了,只有一些零散的文件和一些后缀为exe的可执行文件(命名跟失踪的文件夹同名)。这其实是中了一种木马病毒,这时你千万不要去点击那些和失踪的文件夹同名的可执行文件,而应该用下面的几种方法进行处理。
利用DOS命令进行的操作:
通过在cmd下输入:dir /ah X:可以显示隐藏的文件夹。其中X:为你的U盘所在盘符。
那么如何更改其隐藏属性呢?我们可以通过一条命令:attrib -s -r -h -a X:/*.* /s /d来解决。
其中X:为你的U盘所在盘符。
attrib命令详解:
显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。
如果在不含参数的情况下使用,则attrib 命令会显示当前目录中所有文件的属性。
语法
attrib [{+r | -r}] [{+a | -a}] [{+s | -s}] [{+h | -h}]
attrib [[Drive:][Path] FileName] [/s[/d]]
参数
+r 设置只读文件属性。
-r 清除只读文件属性。
+a 设置存档属性。
-a 清除存档属性。
+s 设置系统文件属性。
-s 清除系统文件属性。
+h 设置隐藏文件属性。
-h 清除隐藏文件属性。
/s 将attrib 和任意命令行选项应用到当前目录及其所有子目录中的匹配文件。
/d 将attrib 和任意命令行选项应用到目录。
/? 在命令提示符下显示帮助。
通过修改注册表的办法来解决问题(不熟悉的请不要乱操作)
1、在运行里输regedit回车找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。
2、如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy/DontShowSuperHidden]
@=""
具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为showall.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
3、运行regedit,把HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL下的CheckedValue删除,再右健单击新建一个DWORD值命名为CheckedValue,数值取1即可.这是病毒把CheckedValue这项改成字符串值而非原来的DWORD值了。
三、下载U盘专杀工具
http://www.rensoft.com.cn/这个网站有些不错的工具专门处理一杀专杀用的。其中就有U盘专杀的:Autorun病毒防御者,实用性比较强。强烈建议大家实用,关键还是免费的
利用DOS命令进行的操作:
通过在cmd下输入:dir /ah X:可以显示隐藏的文件夹。其中X:为你的U盘所在盘符。
那么如何更改其隐藏属性呢?我们可以通过一条命令:attrib -s -r -h -a X:/*.* /s /d来解决。
其中X:为你的U盘所在盘符。
attrib命令详解:
显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。
如果在不含参数的情况下使用,则attrib 命令会显示当前目录中所有文件的属性。
语法
attrib [{+r | -r}] [{+a | -a}] [{+s | -s}] [{+h | -h}]
attrib [[Drive:][Path] FileName] [/s[/d]]
参数
+r 设置只读文件属性。
-r 清除只读文件属性。
+a 设置存档属性。
-a 清除存档属性。
+s 设置系统文件属性。
-s 清除系统文件属性。
+h 设置隐藏文件属性。
-h 清除隐藏文件属性。
/s 将attrib 和任意命令行选项应用到当前目录及其所有子目录中的匹配文件。
/d 将attrib 和任意命令行选项应用到目录。
/? 在命令提示符下显示帮助。
通过修改注册表的办法来解决问题(不熟悉的请不要乱操作)
1、在运行里输regedit回车找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。
2、如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy/DontShowSuperHidden]
@=""
具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为showall.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
3、运行regedit,把HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL下的CheckedValue删除,再右健单击新建一个DWORD值命名为CheckedValue,数值取1即可.这是病毒把CheckedValue这项改成字符串值而非原来的DWORD值了。
三、下载U盘专杀工具
http://www.rensoft.com.cn/这个网站有些不错的工具专门处理一杀专杀用的。其中就有U盘专杀的:Autorun病毒防御者,实用性比较强。强烈建议大家实用,关键还是免费的
- U盘中毒后的应急处理
- u盘中毒后对attrib的使用
- U盘中毒后,怎么恢复被隐藏的文件
- U盘中毒后如何安全打开
- U盘中毒后怎么恢复数据
- 防止U盘中毒的简便方法
- 防止U盘中毒的小方法
- 避免U盘中毒的方法
- U盘中毒后被隐藏的文件夹无法隐藏选项无法取消
- U盘 or 移动硬盘中毒后文件消失的一种解决方法
- U盘中毒后,手把手教你恢复文件
- U盘中毒修复
- U盘中毒解决方法
- [安全]中毒后的6招处理方法
- 如何防止u盘中毒
- u盘中毒后文件后缀变为exe,杀毒后文件被隐藏之解决办法
- U盘中毒,word文档变成exe文件的解决办法
- 使中毒被隐藏打不开的U盘文件恢复
- 使用eclipse在jsp上显示水晶报表(七)用sql 命令对象作为数据源1
- 数据完整性浅析
- 澄清P问题、NP问题、NPC问题的概念
- 表空间数据文件丢失的恢复
- 简单了解学习CSS的伪类(特别是hover,actived)
- U盘中毒后的应急处理
- Linux系统分区和挂载
- 关于个性化主页定制分析
- 流程是什么
- IT项目管理的六种错误思维
- ORACLE误删数据的恢复
- SOAP
- 第一篇文章的标题
- linux分区例子