U盘中毒后的应急处理

教师在使用U盘时经常会碰到这种情况：打开U盘发现里面的文件夹都找不到了，只有一些零散的文件和一些后缀为exe的可执行文件（命名跟失踪的文件夹同名）。这其实是中了一种木马病毒，这时你千万不要去点击那些和失踪的文件夹同名的可执行文件，而应该用下面的几种方法进行处理。
　　利用DOS命令进行的操作:
　　通过在cmd下输入：dir /ah X:可以显示隐藏的文件夹。其中X:为你的U盘所在盘符。
　　那么如何更改其隐藏属性呢？我们可以通过一条命令：attrib -s -r -h -a X:/*.* /s /d来解决。
　　其中X:为你的U盘所在盘符。
    attrib命令详解：
    显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。
    如果在不含参数的情况下使用，则attrib 命令会显示当前目录中所有文件的属性。
语法
attrib [{+r | -r}] [{+a | -a}] [{+s | -s}] [{+h | -h}]
attrib [[Drive:][Path] FileName] [/s[/d]]
参数
+r          设置只读文件属性。
-r          清除只读文件属性。
+a          设置存档属性。
-a          清除存档属性。
+s          设置系统文件属性。
-s          清除系统文件属性。
+h          设置隐藏文件属性。
-h          清除隐藏文件属性。
/s          将attrib 和任意命令行选项应用到当前目录及其所有子目录中的匹配文件。
/d          将attrib 和任意命令行选项应用到目录。
/?           在命令提示符下显示帮助。
　　通过修改注册表的办法来解决问题（不熟悉的请不要乱操作）
　　1、在运行里输regedit回车找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。
　　2、如果你设置仍起不了作用，那么接下来看。
　　有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。
　　针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy/DontShowSuperHidden]
@=""
　　具体操作方法：
　1）通过记事本新建一个文件
　2）将以上内容复制到新建的记事本文件中
　3）通过记事本文件菜单另存为showall.reg
　4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。
　　3、运行regedit,把HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL下的CheckedValue删除,再右健单击新建一个DWORD值命名为CheckedValue,数值取1即可.这是病毒把CheckedValue这项改成字符串值而非原来的DWORD值了。
　　三、下载U盘专杀工具
　　http://www.rensoft.com.cn/这个网站有些不错的工具专门处理一杀专杀用的。其中就有U盘专杀的:Autorun病毒防御者，实用性比较强。强烈建议大家实用，关键还是免费的