别人拿来一个U盘,在我机器上使用,NOD32居然没有任何报警,结果发现U盘根目录里有隐藏的autorun.inf文件,检查其它盘符,都发现了这个文件,才意识到中病毒了。用NOD32反复检查也检查不出任何问题。
分析了一下autorun.inf,以及每个盘符隐藏的SOLA目录及里面的脚本,发现这只是一个自动执行,自我复制,通过U盘传播的windows脚本。清除还算比较容易,以下是具体操作。
1、重新启动进入安全模式
2、删除各个根目录(包括U盘)隐藏的autorun.inf和SOLA目录
3、删除以下文件(部分文件为隐藏文件)
%systemroot%\Fonts\Regedit.reg
%systemroot%\Fonts\sleep.exe
%systemroot%\Fonts\SOLA.BAT
%systemroot%\Fonts\est_type2032.fon
%systemroot%\Tasks\Tasks.job
4、删除%systemroot%\Fonts\solasetup目录
5、更改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]
"Start"=dword:00000000
(00000004是自动播放,禁用自动播放我不知道是哪个值,估计应该是0。)
6、重启机器