手动查杀 drivemgr.exe U盘病毒
前情提要
今天上工程实训课,需要使用u盘进行文件拷贝,但是当插入U盘并且打开之后,发现U盘内并不是正常U盘的样式,而是被改为了一个显示着盘符以及驱动盘名称的“快捷方式”。
我之前也遇到过这个病毒,初步尝试格式化U盘是否生效,但是并未奏效。而学校的电脑的环境没有网络,我也无法下载杀毒软件,所以只能手动查杀。
分析步骤
首先查看 那个顶替了 U盘正常文件夹的快捷方式的属性,发现其实际为使用cmd命令创建的快捷方式,其目标为C:\Windows\System32\cmd.exe /c start ./___/drivemgr.exe && start "" "./___" && exit。
可以发现,实际上其将所有文件存储在了___文件夹中,并且进行了隐藏,使正常无法看见文件夹。其次,其穷的那个了一个drivemgr.exe文件,这个文件是病毒的核心文件,其会在U盘插入时自动运行,将U盘内的文件夹隐藏,并且创建一个快捷方式,将原文件夹隐藏。当尝试格式化或者删除快捷方式的时候,它会重新在U盘内创建一个快捷方式。
其原理为诱导用户点击快捷方式,从而运行drivemgr.exe,从而使得病毒持续运行在系统中,并且感染其他插进来的U盘。
查杀步骤
1. 找到drivemgr.exe文件
当打开 显示隐藏的文件的时候,会发现并不能够看见___文件夹,这是因为其将其设置为了 系统关键文件,而系统默认是不显示的,需要在文件夹选项中进行设置。
文件夹选项 -> 查看 -> 取消勾选“隐藏受保护的操作系统文件(推荐)” -> 确定。 之后,你将能够看到___文件夹以及drivemgr.exe文件。
2. 停止病毒进程
这类病毒一般会在C盘根目录下偷偷创建一个以数字命名的文件夹,里面存放一个和正常系统程序同名的exe文件,然后在注册表中添加一个自启动项,使得这个exe文件在系统启动时自动运行。
我们需要首先找到这个文件夹,之后在进程列表里面找到这个进程(注意打开任务管理器的显示路径,确认是处于该文件夹的进程,以防误伤系统进程),并且结束进程。
之后,删除该文件夹,此时病毒已经被停止。
3. 还原U盘文件夹
删除drivemgr.exe文件之后,我们可以将___文件夹中的文件复制到U盘根目录,之后删除___文件夹,即可还原U盘文件夹。
总结
这类病毒一般是通过U盘传播的,所以在使用U盘的时候,一定要注意查看U盘内的文件是否正常,不要随意点击快捷方式,以免感染病毒。
在电脑中,一定要安装杀毒软件,定期查杀病毒,以防止病毒感染。
学校的电脑使用环境复杂,很多人都会使用U盘,所以一定要注意自己的U盘是否被感染,以免传播病毒。