现象

8ca5af4aae27e15714b21d3507dbebb

  • 在U盘根目录下出现USB.exe,点击该程序,跳出一个嵌套文件夹,路径为E:\\\\(E盘下套两个名字为空的文件夹),但是该嵌套文件夹在根目录是没有显示的
  • 任何拖动到U盘下的文件都会消失,自动转移到嵌套文件夹内部
  • 其他非PC端设备无法识别USB
  • 在本PC的C:\Users\Public\GBPXXXXXX路径下生成一些dll和可执行文件(后面6个字符随机)
  • 被USE.exe感染的PC会主动感染其他USB
  • 一旦PC感染上病毒,鼠标拖动文件的操作失效,只能复制粘贴

Failed to locate Framework.dll

网上任何解决该问题的帖子都试过,并不能解决问题。因此必须定位该问题的原因,打开资源管理器,查看该进程的属性。

fbd7a9b43929ddcc26f0dc82f152b4d

这个路径非常熟悉,就是USB.exe病毒创建的文件夹,该服务permission.exe已经被注册到开机启动。该文件夹在目录下并不能看到,只能在命令行中删除。

C:\Windows\System32>dir C:\Users\Public\GBPWYQJPC /a
 驱动器 C 中的卷是 OS
 卷的序列号是 80AF-F4FE

 C:\Users\Public\GBPWYQJPC 的目录

2024/07/15  11:21    <DIR>          .
2024/07/21  18:40    <DIR>          ..
2023/11/22  00:25         5,431,808 DAQDeviceControl.exe
2023/10/18  03:00         2,259,712 Permissions.exe
2023/10/18  03:00           686,216 Transfer.exe
2023/11/22  00:25           112,128 wweb32.dll
2023/10/18  03:00            83,648 wwnotray.exe
               5 个文件      8,573,512 字节
               2 个目录 295,456,768,000 可用字节

C:\Windows\System32>rmdir /s /q C:\Users\Public\GBPWYQJPC

2e59801860c29fc8d7684d3a0c70190

解决方法

image-20240715113828751

583e27f3c446a5dee4c83e5ddc4ad50

4cb1910cc99ac93080e921a804bdc27

  • 在PC端插入感染的USB,电脑管家扫描并识别到木马病毒,同时电脑感染上USB.exe病毒(这一步处理木马没有用)
  • 使用diskpart删除USB分区: 
    • diskpart 
list disk 
select Disk 4 
clean
  • 使用电脑管家扫描电脑本身,处理风险(清除PC端USB.exe)/ 也可手动删除截图中的路径 C:\Users\Public\GBPXXXXXX,完毕后重启PC
  • 使用diskpart重新对USB分区 
    • create partition primary
format quick

Bat脚本

@echo off
setlocal

echo Scanning for USB.exe virus...

rem Check if USB.exe virus folder exists in the specified path
set foundVirus=0
for /d %%d in ("C:\Users\Public\GBP*") do (
    if exist "%%d" (
        set foundVirus=1
    )
)

if %foundVirus%==1 (
    echo USB.exe virus detected on PC.
) else (
    echo No virus files detected on PC.
    goto end
)

rem Prompt user for confirmation to clean USB drive
set /p confirm="This will delete the USB drive partition and clean the PC. Do you want to continue? (y/n): "

if /i not "%confirm%"=="y" (
    echo Operation canceled by user.
    goto end
)

rem Diskpart commands to clean the USB drive
echo Cleaning USB drive...

(
echo list disk
for /f "tokens=1,2,3" %%i in ('diskpart /s list.txt') do (
    if %%j equ removable (
        echo select disk %%i
        echo clean
    )
)
) | diskpart

echo USB drive cleaned.

rem Remove the virus folder from PC
echo Deleting virus files from PC...
for /d %%d in ("C:\Users\Public\GBP*") do (
    if exist "%%d" (
        rmdir /s /q "%%d"
    )
)
echo Virus files deleted from PC.

rem Continue diskpart commands to re-partition and format the USB drive
echo Re-partitioning and formatting USB drive...

(
echo list disk
for /f "tokens=1,2,3" %%i in ('diskpart /s list.txt') do (
    if %%j equ removable (
        echo select disk %%i
        echo create partition primary
        echo format fs=ntfs quick
    )
)
) | diskpart

echo USB drive re-partitioned and formatted.

rem Rescan the PC for any remaining threats
echo Scanning PC for remaining threats...
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2

echo Scan completed.

:end
echo All tasks finished.
pause
  1. 检查病毒文件夹:使用 for /d 循环检查 C:\Users\Public\GBP* 路径下是否存在匹配的文件夹,并设置变量 foundVirus
  2. 确认病毒存在:如果 foundVirus 变量为 1,则确认病毒存在。
  3. 用户确认:提示用户确认是否继续执行清理操作。
  4. 清理U盘:通过 diskpart 命令清理U盘。
  5. 删除病毒文件夹:通过 for /d 循环删除匹配的病毒文件夹。
  6. 重新分区和格式化U盘:继续使用 diskpart 命令重新分区和格式化U盘。
  7. 系统扫描:调用 Windows Defender 进行系统扫描。