文件夹恶意软件WORM_AUTORUN.FIU处理

概述

感染现象

处理过程

善后

概述

这是一个很老的恶意软件。一般存在于老的校园网，打印店，通过U盘传播

感染现象

大多是U盘中的文件全部被隐藏了，然后变成

文件夹.exe

或者链接文件。我通过360 或者脚本 去除文件夹隐藏，发现过了一会儿它又给我隐藏了。是的，就是这么坑

处理过程

我分析了一下，这个东东肯定是开机的时候启动了个啥进程常驻内存了。

1，我用任务管理器查看启动项，发现了个叫做 Program 的启动项。是的，我把它禁止了。然后重启了一下机器，事情发展到这里，你以为这就解决了嘛？too yung too simple，然后发现并没有什么nuan 用

2，这下就坑了啊，我用任务管理器查看进程和详细信息观察有没有啥异常进程。简直看瞎了我的眼。。。这真不是人干的活，不过发现了，有几个命令行程序，过几秒就要闪一次

3，为了偷懒，我启动

事件查看器

查看日志，结果这种小任务windows不会记录好嘛，压根就找不到

4，我在网上找了找资料，说是有个usbclear 的程序可以专杀这个病毒，然后还给了官网。是不是很激动。面无表情。。。。我发现他们的官网都进不去了，域名都没有绑定了。。。。网上有之前的软件，然后我下载下来了，用了一下，恢复文件还可以，然后又被隐藏了啊。衰。。。

5，没办法只有把任务管理器的程序一个一个禁运行来排除了。最后把目标锁定到了一个叫做

winsystem.exe

的进程，凭借我多年的经验，微软不会傻逼的把进程名取成这个样子。下面开始我的表演

6，我打开进程的所在文件位置，然后禁止了进程运行，这个文件夹居然还在window目录下，我轻轻的删了这个文件夹，然后到system32 window 目录下删除了最近两天新添加的所有文件和文件夹。

7，然后重启一下，恢复了一下文件夹隐藏，他就没有再给我改回去了。

8，我又去google了一下这个叫做 winsystem的文件夹，最后发现这个东东原来叫做WORM_AUTORUN.FIU。。。。找到这个http://www.solvusoft.com/en/malware/worms/worm-autorun-fiu/网址给出来处理的方法。我扫描了一下啊user 和windows文件夹，这个好慢啊，建议还是晚上让它自己扫

9，用cclean清理了注册表。

10，完事。为什么一定要写完事，因为要凑个整数10啊。我有强迫症。

善后

再用360恢复一次文件。然后，写了这篇博文，嘻嘻嘻。。。