随手记录：WindowsU盘病毒Drive.bat

//随手记录，方便自己以后查阅，同时写在CSDN，博客园，知乎，简书

学校电脑又碰到一种木马病毒，Driver.bat，某度和某歌都查了，也叫1kB病毒，屁话太多，没有实质性解决问题，还是自己来。

先研究病毒具体行为：

S1 根目录生成一个Drive.bat的Windows批处理文件，内容就是启动S2中的一个脚本文件；

S2 生成Drive文件夹，里面有一个文件夹叫597，里面存放着一个JScript脚本文件(不是网页的那个JavaScript，别搞混淆了)，代码太多，看不懂，没仔细研究；

S3 U盘根目录下所有的文件和文件夹都变成快捷方式，原来的都转移到Drive文件夹里，相对位置和名称都没变化。

虽然病毒没有较大的威胁，但每次插上U盘都要仔细地去找文件，并且用完还要去别的电脑(尽量在Liunx上，因为这个病毒只对Windows有效)把U盘里的木马清理干净，恢复文件和文件夹的位置，比较麻烦。(题外话：我很想锤死这个木马制作者)

找到本体，在当前用户应用数据文件夹内的一串小写字母文件夹中，放图

这个木马本体就在

C:\Users\当前用户名\AppData\Roaming\scfkrdh

虽然我是用火绒查出来的233333。嗯，直接暴力删除肯定删不动，系统会报错有应用程序正在使用请重试。那就老规矩，进万能的PE删，好了，问题解决。然后写下这个小文章，记录一下，方便自己以后再遇到类似问题，有参考。

转载于:https://wwwblogs/QK1324575148/p/9463511.html