今日,一朋友的U盘中毒,在杀毒软件把病毒干掉之后,发现原来的正常文件都没有了。点击盘符查看属性,所占的空间还在,使用常规的办法查看隐藏文件无法看到,应该是所有东西都被隐藏起来。
解决办法
- 杀毒:其实这种病毒的流行时间已经很长,变种已经发展到一定程度。光删掉木马本体很难做到治本。因为还有一大群的downloader随时生成新的病毒体。所以,如果自己没有能力用hips类软件分析,普通杀毒软件和专杀软件难以清除干净,最佳办法是备份系统后立刻从干净U盘上安装最新杀毒软件。普通杀毒软件推荐使用东方微点、可牛(卡巴斯基)和Avast!,有能力的朋友使用Eqsecure和Malware Defender等hips类软件手动清毒。
- 用批命令修改文件属性:清除病毒之后其实还是不能用常规手法把被隐藏的文件改回。通过google搜索,发现可以用dos命令attrib来改变属性。大家可以到依默博客下载小批量处理命令,点击下载之后解压ok.bat到U盘目录下运行即可。
分析和思考
其实这个病毒并不可怕,技术上完全没有任何创新之处,依旧是最简单的Autorun.ini运行方式。基本上任何安装了杀毒软件的机器都不会中毒,但是很显然,很多朋友还是喜欢裸奔,而且很多人还是没有良好的操作习惯。下面就是我对这件事的一些反思,可以视为建议:
- 良好的操作习惯:尽量不要双击打开盘符。一般我建议打开文件夹的方法是,WIN+E键,然后单击左侧目录树的盘符,而不是直接双击盘符进入一个盘。因为双击盘符很有可能就直接运行了Autorun.ini及其附带的木马。
- 显示文件名后缀和隐藏文件夹:能更好地区分伪装成各种文件/文件夹的病毒木马。如果U盘里无缘无故多出一个Autorun.ini,然后一个文件夹后边是.exe后缀,那就1000%有问题,直接删除掉一点也不冤枉。更为明显的是,所有东西都变成两份儿,基本上都会看出有问题的吧?
- 使用freecommander等工具替代Explorer:以前熊猫烧香横行的时候,我的机器始终没有染毒,甚至到后来在虚拟机上想捕捉病毒样本进行研究的时候,发现pif根本无法运行。当时用的是xplorer破解版,而且100%的U盘病毒都失效了。原因就是这些工具跳过Autorun.ini,病毒没法运行。而且很多这些软件一般都默认显示隐藏文件和文件名后缀,基本上一眼就能看出哪些是病毒哪些不是。当然,免费的freecommander显然更值得推荐,而且功能上一点儿也不逊色。更多freecommander的介绍。
- 权威网站下载软件:官方下载的软件是最为可靠的,其次是各大下载网站。而其它一些乱七八糟的网站建议最好不要去用。如何区分呢?好吧,最简单的办法,用google输入软件名称,基本上第一个就是官方网站。
- 尽量少用盗版软件:盗版软件不仅对作者是极大的伤害,对使用者本身也有诸多不安全的因素。盗版软件中经常带有恶意软件甚至是病毒木马,有些则根本就直接是病毒木马,连一个原装软件都不放。所以,珍惜生命,尽量远离盗版。那一些软件我要用怎么办呢?其实一些免费的甚至开源软件(暂且把开源软件当作免费来看吧)已经完全可以替代常见的盗版软件了。如果您有需要,请多多关注古博和悠游绿洲,留言询问,相信您会得到满意的答复。
- 使用一个好的杀软:这个没什么说的,杀软就像衣服(内衣裤),人手必备(非win系统的请无视)。如果一定有朋友耍个性,要裸奔,请您尝试一下到最繁华地段脱光衣服昂头挺胸的走一段路,然后再回来考虑一下。个性需要资本,没有资本的过度个性就是zhuangbility,子曾经曰过:装逼被雷劈。没有那个技术就别学高手裸奔,我所知道的一些高手,裸奔的很少,基本上都会有杀软、影子系统、hips软件甚至组策略。因为现在的病毒发展程度已经令人发指,普通个人系统中毒之后手工清除的成本太高,甚至不如直接还原方便,但是之前的系统数据会有丢失的风险。好的免费杀软推荐:东方微点、可牛(卡巴斯基)和Avast!
- 使用小众浏览器:Firefox在我这个圈子里已经成为主流。我只有1%左右的时间在用IE。但是国内,IE6就是网民的首选。缓慢、低效、安全性差、对网页标准支持差(png竟然不透明)让我吃尽了苦头。曾经看到一位女生的IE工具栏,5~8个的乱七八糟的工具条颇为壮观,基本上一打开IE必死,而另外一个浏览器是腾讯TT,orz… 推荐浏览器:chromeplus、opera、firefox
其实,计算机、病毒、木马并不是多么的复杂。花一个月的时间上一个电脑基础培训班,了解一下什么是硬件,什么是软件,基本上就能知道个大概。当然,一般的电脑培训教师是没有耐心告诉你这些具体的安全操作技巧和良好的操作习惯的。
15 thoughts on “中病毒后U盘文件消失的分析和解决办法”
前段时间一个同事的U盘中毒,格式化都不能清除,最终把U盘低格才解决问题,杯具
这个比较奇怪。因为格式化之后什么数据都没了,如果还有就是系统里带毒,自动写入新的病毒文件到U盘。既然系统有毒,不管是低格还是高格都应该会写入病毒文件啊,为什么低格之后就解决问题了呢?
早点看到这文章,我也许可以救回一些文件。
@老实人博客, 我对杀软等安全方面有些研究,以后有问题可以找我嘛。以前专门找熊猫烧香病毒样本到我电脑上运行,死活运行不起来,当时用的是bblean+xplorer的组合,印象深刻
用nod32杀毒~
@小松, 我自己还是比较喜欢avast,卡巴斯基,东方微点。nod32虽然跑vb100不错,启发杀毒也世界领先,但是本地病毒库方面还是稍微落后一些。
裸奔太不安全了~~
电脑里有点资料的估计都不会裸奔~
IE想扔扔不掉,很多插件程序都基于IE内核,非IE不能用,他弟的。
我就有遇到这样的情况,当时把我女朋友可吓坏了,因为里面有好多重要的东西,后来我用数据恢复软件恢复过来的,现在才知道是什么原因了
原来要尽量不双击进入盘符。以后会注意的。
@vastar, 强烈推荐用freecommander,哈哈。其它比较流行的就是totalcommander,不过不是免费的,有破解版等……
现在很多人的安全意识还是很差啊
上次有位同学中了u盘病毒,杀毒软件全杀了,一会儿又冒出来了。只有重装系统才正常了。
通过申请已经为WordPress啦插件扩展板块斑竹。
@WordPress啦, 呵呵
@随缘, 呃,觉得自己写的文章应该努力向外推广一下,作为某个论坛的版主应该有不错的可信度,另外自己汉化了一些wordpress的插件,担心以后忙了后续无人,论坛作为一个团体的持续性应该还是很强的