首先是老大的优盘插单位公共打印机后中了毒，本以为插到我装了火绒的电脑上不会有问题，没想到同时插在上边的硬盘也中了招。现在的问题是，不管怎么弄，打开硬盘只有一个快捷方式，所有的文件都在这个快捷方式里边，试了各种方法都解决不了，甚至流氓360都搞不定，真是垃圾。各位电工，考验大家的时候到了。



目标中的内容为：%comspec% /q /c "RECYCLER.BIN\1\CEFHelper.exe 253 42"


根目录下有个.ini的隐藏文件，内容为：[.ShellClassInfo]IconResource=%systemroot%\system32\SHELL32.dll,7
按照5楼的方法还是不可以

进pe里插上移动硬盘 iOS fly ~

回复2#麻辣的皮特


然后呢，大哥求求说明白

这个病毒设置一下隐藏可见就行了吧，非常恶心，不过倒没啥损失
iOS fly ~

感觉它是把你的文件移动到了一个自己创建的“回收站”文件夹里边。

你打开“隐藏文件”功能，看看是不是有2个或者以上的回收站图标。

手动把里边的东西移动出来。另外，根目录下边是不是有一个什么auto*.ini或者inf的文件，删掉后建立一个同名的空记事本文件。你的病毒应该是通过自动运行功能直接运行了。还有别去点那个快捷方式，会主动传播病毒。

进入cmd，切换到你硬盘符下，dir /a 好像也能显示一下你硬盘的隐藏文件。先确认一下病毒藏在哪里。一些小众病毒，杀毒软件也不一定会杀到它。

自己搞要全部恢复隐藏麻烦了点，这类 360可以识别到，问你要不要恢复，点是就好了

进命令行批量改一下文件属性即可。

2楼的方法应该没问题

回复4#redfox100100


也不是显示隐藏这么简单，差不多是5楼说的这么回事。

这可以找火绒技术支持下啊

回复5#maxims

根目录下有一个desktop.ini文件，里边的内容为：[.ShellClassInfo]IconResource=%systemroot%\system32\SHELL32.dll,7
删除后新建一个还是会出现之前的问题，所有的文件都放在那个快捷方式里边

回复6#godzillaqqq


文件并没有隐藏，知识放到了如图所示的快捷方式里边

回复10#mimo


已注册火绒论坛了，等会发帖请教

换个新硬盘，装新系统，装好火绒。

旧硬盘就丢了吧。。。HiPDA怪兽版

不上传病毒样本云分析？

进pe不行吗？

所以，你要在pe下 把文件剪出来，放到新文件夹里 或根下，直接恢复隐藏会弹错误不给操作， 然后把旧的删掉，u盘就算是干净了。硬盘里全部exe应该都有 有专杀的

进PE，或者LINUX启动盘，应该就可以解决。

回复15#by曲终人散


关键是不知道病毒在哪

这就是简单的usb病毒吧
找一个usbkiller或者usbcleaner扫描一下杀毒就行了吧

用压缩软件的文件浏览功能，暂时别用windows自带的浏览功能。 iOS fly ~