u盘病毒感染文件怎么恢复,永久免疫U盘脚本病毒和恢复被U盘病毒隐藏文件教程 | A Randint Day's Lab

下载链接在最后介绍

相信很多人在打印店应该都中过U盘病毒的招，症状是U盘内所有文件都变成了快捷方式，而原来的文件全都消失不见。等到你在你的电脑上打开这些快捷方式以后，你的电脑也会中病毒。这种病毒巧妙的利用了所有电脑最大的漏洞—用户的心理，在打印店猖獗至今。其实这种病毒的作用机理并不复杂，共有以下几步：

如果病毒文件被执行：

复制自身到C:\Users\用户名\AppData\Roaming\Microsoft Office\中在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中写入自启动项保持后台运行检测是否有USB存储设备插入电脑:如果有，那么：复制自身到U盘根目录隐藏此设备目录下所有文件与文件夹在设备根目录创建恶意快捷方式

知道了它的原理，就不难预防了，因为这种病毒是基于Windows脚本宿主运行的，本体只是一串恶意代码，因此只要将脚本宿主给删掉或者改名即可达到永久预防的效果。所以我根据这个原理编写了一段批处理程序：

@echo offtaskkill /f /t /im wscript.exe::结束病毒宿主进程cd C:/Windows/System32::打开System32目录takeown /f wscript.exe::提权Icacls wscript.exe /c /grant users:f::获得完全控制权限ren wscript.exe wscript1.exe::重命名@echo 补丁安装完成！pause

此补丁可以永久防护基于脚本宿主的U盘病毒。由于此病毒会隐藏文件而且还会创建一堆快捷方式让U盘变得乱七八糟，因此我又写了一个一键恢复隐藏文件的批处理程序：

@echo offtaskkill /f /t /im wscript.exe::结束病毒宿主进程set /p usb=请输入被感染的U盘盘符（例：H:\）：for /f "delims=?" %%a in ('dir %usb% /a /b') do attrib -a -s -h -r %usb%"%%a"::恢复U盘根目录下所有文件del %usb%"Microsoft Word.WsF"::删除病毒本体del %usb%*.lnk::删除病毒创建的恶意快捷方式@echo 执行完毕，文件已恢复，病毒文件及恶意快捷方式已删除pause总结

通过编写这个脚本，我学会了如何利用cmd指令来提权+完全控制那些被拒绝访问的文件，再也不用手动右键属性等乱七八糟的方法来删掉权限不够的文件了用法：

takeown /f 文件名将指定文件所有者更改为当前用户

Icacls 文件名 /c /grant users:f获得指定文件的完全控制权两条指令都必须在管理员模式下执行才能生效。

参考教程

Takeown、Cacls、Icacls-文件、文件夹夺权用法 - 51CTO

下载链接

usb-v patch.rar - 蓝奏云