烦恼

作为老师，我经常需要带着优盘到教室。可是最近一段时间，只要一往教室电脑上拷贝幻灯，优盘立即中毒。

这个病毒，就是打印店最常见的autorun病毒。它利用优盘自动执行文件的安全漏洞，感染所有外接USB设备。

被感染之后，优盘就带了传染性，可以传染其他Windows系统。

好在我的电脑是macOS，因为执行机理不同，不会中毒。但是回家打开优盘一看，文件都找不到了，成了这个样子。

这两个exe文件显然不是我原先的文档目录。我在命令行方式下执行了文件全显示命令，病毒带来的牛鬼蛇神就全都显现了原形。

我原先的教学目录“teaching”好端端还在那里，只是无法正常显示出来了。根目录下多了许多杂七杂八的exe文件，不只是Finder里面显示出来的那两个。

打开autorun.inf文件，我们看到了如下信息：

[autorun]
open=\Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE
shell\open=??(&O)
shell\open\Command=Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE
shell\open\Default=1
shell\explore=??Դ??????(&X)
shell\explore\Command=Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE

只要一连接优盘到Windows系统，这些exe结尾的文件都会被执行。很恐怖。

修复

解决的第一步需要删除掉这些害人的exe文件，避免继续贻害。

sudo rm -f *.exe ; sudo rm -f .*.exe ; sudo rm -f autorun.inf ; sudo rm -rf Recycled*

我们再次列出所有文件，清爽多了。

回到Finder底下看一看。

我的teaching文件夹呢？感染的文件和目录都已经清除，但是teaching文件夹还是无法显示。

我经过反复测试发现，只需要给目录重命名到临时目录名称，再重命名回来，原先的正常文件夹就可以正常显示了。

例如先执行：

mv teaching teaching-new

再改回来：

mv teaching-new teaching

列出文件看看：

好像跟刚才比起来没有什么变化嘛。别着急，这时再看Finder：

成功了，教学文件夹已经回来了。

自动

但是，教室电脑感染病毒这个事防不胜防。每次都这么执行一遍来修复优盘，很烦人。而且有的时候，优盘上有多个文件夹，一个个调整简直就是体力活儿了。

于是我编了一个脚本，并且分享出来给大家使用。

你只需要执行以下语句即可下载它：

git clone https://github.com/wshuyi/usbstick_autorun_fix_mac.git

执行的时候，首先进入工具目录。

cd usbstick_autorun_fix_mac

然后找到你需要修复的优盘路径。我这里是/Volumes/SANDISK32G。那么我需要执行：

python remove_autorun.py /Volumes/SANDISK32G

你执行的时候，请把最后的优盘路径替换为自己的就可以了。

看一看，是不是被感染的优盘又完好如初了？

讨论

在macOS上，你还知道哪些更简便的修复被感染优盘的方法？欢迎留言，我们一起交流讨论。