现象
- 在U盘根目录下出现
USB.exe
,点击该程序,跳出一个嵌套文件夹,路径为E:\\\\
(E盘下套两个名字为空的文件夹),但是该嵌套文件夹在根目录是没有显示的 - 任何拖动到U盘下的文件都会消失,自动转移到嵌套文件夹内部
- 其他非PC端设备无法识别USB
- 在本PC的
C:\Users\Public\GBPXXXXXX
路径下生成一些dll和可执行文件(后面6个字符随机) - 被USE.exe感染的PC会主动感染其他USB
- 一旦PC感染上病毒,鼠标拖动文件的操作失效,只能复制粘贴
Failed to locate Framework.dll
网上任何解决该问题的帖子都试过,并不能解决问题。因此必须定位该问题的原因,打开资源管理器,查看该进程的属性。
这个路径非常熟悉,就是USB.exe病毒创建的文件夹,该服务permission.exe
已经被注册到开机启动。该文件夹在目录下并不能看到,只能在命令行中删除。
C:\Windows\System32>dir C:\Users\Public\GBPWYQJPC /a
驱动器 C 中的卷是 OS
卷的序列号是 80AF-F4FE
C:\Users\Public\GBPWYQJPC 的目录
2024/07/15 11:21 <DIR> .
2024/07/21 18:40 <DIR> ..
2023/11/22 00:25 5,431,808 DAQDeviceControl.exe
2023/10/18 03:00 2,259,712 Permissions.exe
2023/10/18 03:00 686,216 Transfer.exe
2023/11/22 00:25 112,128 wweb32.dll
2023/10/18 03:00 83,648 wwnotray.exe
5 个文件 8,573,512 字节
2 个目录 295,456,768,000 可用字节
C:\Windows\System32>rmdir /s /q C:\Users\Public\GBPWYQJPC
解决方法
- 在PC端插入感染的USB,电脑管家扫描并识别到木马病毒,同时电脑感染上USB.exe病毒(这一步处理木马没有用)
- 使用diskpart删除USB分区:
-
diskpart list disk select Disk 4 clean
-
- 使用电脑管家扫描电脑本身,处理风险(清除PC端USB.exe)/ 也可手动删除截图中的路径
C:\Users\Public\GBPXXXXXX
,完毕后重启PC - 使用diskpart重新对USB分区
-
create partition primary format quick
-
Bat脚本
@echo off
setlocal
echo Scanning for USB.exe virus...
rem Check if USB.exe virus folder exists in the specified path
set foundVirus=0
for /d %%d in ("C:\Users\Public\GBP*") do (
if exist "%%d" (
set foundVirus=1
)
)
if %foundVirus%==1 (
echo USB.exe virus detected on PC.
) else (
echo No virus files detected on PC.
goto end
)
rem Prompt user for confirmation to clean USB drive
set /p confirm="This will delete the USB drive partition and clean the PC. Do you want to continue? (y/n): "
if /i not "%confirm%"=="y" (
echo Operation canceled by user.
goto end
)
rem Diskpart commands to clean the USB drive
echo Cleaning USB drive...
(
echo list disk
for /f "tokens=1,2,3" %%i in ('diskpart /s list.txt') do (
if %%j equ removable (
echo select disk %%i
echo clean
)
)
) | diskpart
echo USB drive cleaned.
rem Remove the virus folder from PC
echo Deleting virus files from PC...
for /d %%d in ("C:\Users\Public\GBP*") do (
if exist "%%d" (
rmdir /s /q "%%d"
)
)
echo Virus files deleted from PC.
rem Continue diskpart commands to re-partition and format the USB drive
echo Re-partitioning and formatting USB drive...
(
echo list disk
for /f "tokens=1,2,3" %%i in ('diskpart /s list.txt') do (
if %%j equ removable (
echo select disk %%i
echo create partition primary
echo format fs=ntfs quick
)
)
) | diskpart
echo USB drive re-partitioned and formatted.
rem Rescan the PC for any remaining threats
echo Scanning PC for remaining threats...
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
echo Scan completed.
:end
echo All tasks finished.
pause
- 检查病毒文件夹:使用
for /d
循环检查C:\Users\Public\GBP*
路径下是否存在匹配的文件夹,并设置变量foundVirus
。 - 确认病毒存在:如果
foundVirus
变量为 1,则确认病毒存在。 - 用户确认:提示用户确认是否继续执行清理操作。
- 清理U盘:通过 diskpart 命令清理U盘。
- 删除病毒文件夹:通过
for /d
循环删除匹配的病毒文件夹。 - 重新分区和格式化U盘:继续使用 diskpart 命令重新分区和格式化U盘。
- 系统扫描:调用 Windows Defender 进行系统扫描。
评论区