去年下半年以来,有一类可移动设备病毒 Worm.Win32.VB.nk (瑞星病毒档案:http://viruslist.rising.com.cn/viruslist.asp?id=1392777)很是肆虐。它可以在用户可移动设备将用户的正常文件夹隐藏起来,并生成与原文件夹名称、数目、图标相同的病毒体,并利用 autorun.inf 安装脚本实现自动运行。由于一般用户电脑设置为“不显示系统文件(夹)、不显示隐藏文件(夹)、隐藏已知文件类型文件的扩展名”,所以大部分情形下,我们认为那些文件夹图标形式的文件就是我们的正常文件夹——更可恶的是,病毒文件在被执行后会正常地将原正常文件夹打开,这无疑更加混淆视听,将它自己的本来面目掩饰得一点踪影也没有!
中了这种病毒并使用杀毒软件查杀了病毒后,U盘中被病毒隐藏的文件夹却没有被显示出来,这让一些人认为是“杀毒后数据就丢失了”,于是便有一些人认为“这种病毒不能查杀”。而实际上却只是杀毒后,杀毒软件并没有将文件夹恢复成正常属性,数据还在。 杀毒软件仅为你查杀了病毒,却没有为你做好相关的后续操作。为了解决此问题,我查阅了相关资料并掌握了一个批处理命令,将下面分界线中间部分的命令中的盘符 H:\ 改成你的可移动盘的盘符,然后在开始—运行 中运行就可以了:
attrib h:* -s -h -r /s /d
可能上面的命令运行也麻烦,主要是当磁盘中的文件及文件夹较多时效率不高,而且如果在杀毒前运行这个命令,那么使用此命令恢复文件夹病毒还存在盘上。为了解决此问题,ciznx 特用 .net 便捷的面向对象写出了一个小工具,可以很方便地解决此题。您可以点此下载:
它可以判断您是磁盘驱动器里的文件夹是否被恶意程序隐藏了。其运行界面如下:
点此下载此工具 (需要机器上安装有 .Net 2.0 或以上版本,否则可能出现初始化错误)
对于开发技术人员,如果您需要此程序的代码,请点此下载 VB.net 版本的源代码
您可以改正此代码,但请您注明来源,您不应该具有商业目的地分发此代码。
