关于防范incaseformat病毒的通知
关于防范incaseformat病毒的通知
关于防范incaseformat病毒的通知.docx
对于incaseformat的病毒,请各单位留意:
1、D、E、F盘文件被清除出现incaseformat文本文
2、针对此终端断网进行查杀(清除信任区进行查杀)和修复(360系统急救箱等系统恢复工具)。
病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。
此病毒启动后将自身复制到C:WINDOWStsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行为。
处理建议:
1、所有未感染前,把所有重要文件备份(这个过程非常重要)。
2、使用U盘前使用病毒软件扫描后再使用,也可以通过管控功能禁止不明移动存储设备进入内网,同时对全网终端进行全盘扫描。
3、建议将病毒库更新到最新。
4、如果不慎感染,已经安装病毒软件的终端检查一下信任区,查看是否有被信任的病毒文件,清理信任区之后进行全盘扫描,清除病毒。
5、如果感染之后没有重启电脑的终端,清理完成病毒后,先将C盘以外盘符中被隐藏的文件,从磁盘拷贝出来后再重启电脑。如果已经被重启的终端,清理完病毒之后尝试使用第三方数据恢复工具恢复文件。
其它解决方法:
使用需要满足一个条件,就是你的感染原因是和描述是一样的,也就是说被感染文件夹内的incaseformat.txt是可以自由删除的,不会被提示该文件正在被占用。
首先usbcleaner,网盘链接如下:
链接:https://pan.baidu.com/s/1FUn5fGl6SEYDBCCKy48iFA
提取码:wnby
下来之后 直接解压到一个没有被病毒感染的文件夹内,如果都被感染了那就解压到桌面上,无需安装。
其次,通过搜索将所有的incaseformat.txt文件全部删除掉,一般都只会感染一级文件,不会深入感染到子文件夹的。
随后将电脑的所有程序都关了,在安全模式下重启电脑(这是为了防止病毒继续扩散),同时也可以避免其他杀毒软件的干扰。
启动USBcleaner:
文件夹图标病毒(包括1kb快捷方式病毒)专杀。
这样就可以启动Folder Cure组件了,再点击开始扫描并选择扫描对象为被感染的文件区域(每次只能选一个,为了提高速度可以将遍历子目录前面的对号去掉)如下图所示:
运行过程中他会直接帮你删除掉那些.exe文件
之后会看到它已经完成了修复,这时再打开之前被感染的文件,会发现原来的文件完好如初的出现了,而病毒产生的.exe文件全被删除掉了,同时可能会产生一个System Volume Information的隐藏文件夹,这个我查过是系统自动生成的还原点信息文件,并不是病毒。
这样就完成了消灭incaseformat病毒的全部操作,之后用正常模式重启电脑,再用自带的杀毒软件查杀一下残余的问题就全部解决了!
同样,被感染的U盘要在移动盘检测中一步一步进行查杀,具体操作根据提示一步一步操作即可。
首先incaseformat病毒是通过全盘镜像来起作用的,有一个负责在文件夹内生成这一病毒的进程,incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字:文件夹图标病毒。
2、这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己,并且用所在文件夹的名字给自己命名,然后把自己复制满文件夹,保证每个文件夹下都有木马。蠕虫会感染exe文件,也就是可执行程序,然后在点击这个文件的时候,启动木马来传播到别的文件夹中。
3、这个病毒的核心作用机理在于,将你的实际文件全部强制隐藏掉,而用一个大小一样的.exe文件来出现在原有的位置,让你误以为这个文件就是原来的文件。如下图所示:
可以在文件资源管理器的 查看 选项卡最右侧一栏 显示/隐藏 那一块勾选文件扩展名这一条,来看看现在文件夹里面被感染的文件是什么样子,不出意外的话,这个都是.exe。这些其实不是当前的文件,而是病毒创造出来的钓鱼图标。