硬盘外借,感染了病毒,导致内容变成快捷方式,这个经常出现在U盘。U盘去学校打印店打印容易感染此病毒。正常点击快捷方式可以打开,内容并未丢失。如果开了杀毒软件,可能会提示管理员权限CMD,导致无法打开内容。
该快捷方式对应的目标是一句dos命令。
%comspec% /q /c "RECYCLER.BIN\1\CEFHelper.exe 727 71"
运行cmd程序,执行d命令
%Comspec%的意思是DOS 的命令处理器。
CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V
[[/S] [/C | /K] string]
/C 执行字符串指定的命令然后终断
/K 执行字符串指定的命令但保留
/S 在 /C 或 /K 后修改字符串处理(见下)
/Q 关闭回应
点击快捷方式,直接进入硬盘原来的内容。但是在此目录下,所有文件已作为系统文件隐藏。
设置文件夹隐藏选项,查看隐藏文件
可以看到存在隐藏文件主要是$RECYCLE.BIN RECYCLER.BIN System Volume Information。原来的文件均在第一个文件名为空格的隐藏文件夹内。删除回收站的隐藏文件仍然无效。
当退出硬盘重新进入又重新隐藏变为快捷方式。
采用dos命令attrib -h -r -s /d /s H:\*.* 显示H盘(硬盘)内所有隐藏文件。可以看到里面存在这个CEFHelper.exe软件。当退出硬盘重新进入后又全部隐藏。
将隐藏的无关文件全部删除后仍然无效。这是因为无法删除干净。搜索发现依旧存在CEFHelper.exe
360杀毒 金山毒霸进行全局扫描和移动硬盘单独扫描并未发现病毒。这两款软件弹窗多,操作不友好。
Kaspersky扫描也未发现病毒,只存在其他文件的提示。
另外采用几款usbcleaner软件仍然无法找到病毒。
虽然硬盘文件还在,但是严重影响使用,主要处理和检查如下
ctrl+F中,所有与该软件相关的注册表,进行删除,或许不存在。msconfig查看自启动的服务,是否存在异常服务。存在异常的禁用。做完几个操作之后移动硬盘的文件已经恢复,不会自动变成快捷方式了。
只要思想不滑坡,办法总比困难多。
原文:https://www.cnblogs.com/elapsetor/p/14307381.html