病毒現象

1） 安全模式無法進入。

2） 注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下多出了許多劫持項，導致一些安全類軟件和工具無法打開。

圖1：Autorun.inf U盤病毒現象——眾多文件打開方式遭劫持

3） “文件夾選項”中原有的“隱藏受保護的操作系統文件（推薦）”選項消失。

圖2：Autorun.inf U盤病毒現象——“隱藏受保護的操作系統文件（推薦）”選項消失

4） 查看U盤中的文件，看似沒有任何異樣，但其實早已危機四伏。病毒將自己偽裝成隱藏的系統文件，并通過惡意手段刪除“文件夾選項”中的“隱藏受保護的操作系統文件（推薦）”欄目來達到徹底隱藏自己的目的。若是在不知情的情況下直接打開U盤，那么很遺憾，您計算機中所有磁盤都會中招。這種情況下我們就需要借助殺毒輔助工具找到隱藏的病毒文件。通過wsyscheck工具可以明顯看到U盤和系統C盤根目錄的兩個病毒文件oydiexc.exe和autorun.inf，這兩個文件若不借助輔助工具，只通過常規方法是看不到的。

圖3：通過wsyscheck工具可以查看到U盤根目錄下隱藏的病毒文件

圖4：通過wsyscheck工具可以查看到C盤根目錄下隱藏的病毒文件

殺毒輔助工具介紹

本次手工處理病毒所借助的工具是wsyscheck，該工具與上一篇文章介紹的XueTr功能類似，這里就不再贅述。為什么會突然換用wsyscheck呢？因為它的“文件管理”功能可以顯示出所選目錄下的所有文件和文件夾，且對于近期創建的可疑文件會以紅色字體突出顯示，若某些文件夾下近期被修改或創建了可疑文件，該文件夾的所有信息也會以特殊顏色（一般為紅色或藍色）顯示來引起注意，這對于盡快找到病毒文件非常有利。

處理方法

1） 利用wsyscheck工具找出并結束可疑進程：rqtcrfo.exe和ccavblx.exe，為了保證計算機重啟后病毒文件不再生成，這里選擇將兩文件直接添加到重啟并刪除文件列表。

圖5：利用wsyscheck找到病毒進程，并添加到“重啟并刪除列表”

2） 通過wsyscheck的“文件管理”功能，將上面已經發現的C盤和E盤下兩個病毒文件oydiexc.exe和autorun.inf也一并發送到重啟并刪除文件列表。

圖6：利用wsyscheck找到C盤根目錄的病毒文件，并添加到“重啟并刪除列表”

圖7：利用wsyscheck找到U盤根目錄的病毒文件，并添加到“重啟并刪除列表”

3） 上述操作已將明顯地病毒文件處理掉，為了保險起見，先不著急重啟計算機，我們再做進一步搜查，試著揪出隱藏更深的病毒文件。通過對文件夾的翻查，以文件創建時間為初步判斷是否為病毒的依據，最后可以確定的可疑文件有C:\Program Files\meex.exe，C:\Program Files\Common Files\Microsoft Shared\wjlarbn.inf，C:\Program Files\Common Files\System\ wjlarbn.inf，將這些文件全部發送到重啟并刪除文件列表中。

圖8：利用wsyscheck找到其他可疑病毒文件，并添加到“重啟并刪除列表”

4） 進入wsyscheck的“安全檢查”—“重啟刪除文件”欄目，可以看到之前添加的所有需重啟刪除的病毒文件，點擊“執行重啟刪除”執行計算機的重啟操作。

圖9：查看待處理的文件，確保無誤，執行重啟刪除操作

5） 計算機重啟后再借助wsyscheck查看，原有的病毒文件已不復存在。下面就要進入殺毒后的“善后”流程了，點擊wsyscheck“工具”選項，依次選擇“修復隱藏文件顯示”和“修復安全模式”。

圖10：確認病毒文件刪除后，修復受損的功能

進入wsyscheck“安全檢查”—“常規檢查”欄目，查看右側“禁用程序管理”，一些安全軟件的被劫持項都在此列出，全部選中后點擊“允許程序運行”去掉劫持項，再次重啟計算機。

6） 計算機重啟后，安全模式已可進入，再回到正常模式下，打開“文件夾選項”，被病毒刪除的“隱藏受保護的操作系統文件（推薦）”欄目已可正常顯示，一些安全類軟件和工具也能正常運行了。至此，該U盤病毒的手工處理過程全部完成。

圖12：處理完病毒重啟后，被病毒隱藏的選項恢復正常

總結

通過上述手工處理病毒的過程不難看出，病毒通過Autorun.inf文件激活oydiexc.exe進程達到感染各個盤符、釋放其他病毒文件的目的，只要結束病毒進程并找到所有病毒文件一次性刪除，重啟計算機后便會還你一個干凈的系統。掌握這種手工殺毒的思路后，處理方法其實大同小異，更多的是靈活運用以及相關經驗。