病毒现象

1） 安全模式无法进入。

2） 注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下多出了许多劫持项，导致一些安全类软件和工具无法打开。

图1：Autorun.inf U盘病毒现象——众多文件打开方式遭劫持

3） “文件夹选项”中原有的“隐藏受保护的操作系统文件（推荐）”选项消失。

图2：Autorun.inf U盘病毒现象——“隐藏受保护的操作系统文件（推荐）”选项消失

4） 查看U盘中的文件，看似没有任何异样，但其实早已危机四伏。病毒将自己伪装成隐藏的系统文件，并通过恶意手段删除“文件夹选项”中的“隐藏受保护的操作系统文件（推荐）”栏目来达到彻底隐藏自己的目的。若是在不知情的情况下直接打开U盘，那么很遗憾，您计算机中所有磁盘都会中招。这种情况下我们就需要借助杀毒辅助工具找到隐藏的病毒文件。通过wsyscheck工具可以明显看到U盘和系统C盘根目录的两个病毒文件oydiexc.exe和autorun.inf，这两个文件若不借助辅助工具，只通过常规方法是看不到的。

图3：通过wsyscheck工具可以查看到U盘根目录下隐藏的病毒文件

图4：通过wsyscheck工具可以查看到C盘根目录下隐藏的病毒文件

杀毒辅助工具介绍

本次手工处理病毒所借助的工具是wsyscheck，该工具与上一篇文章介绍的XueTr功能类似，这里就不再赘述。为什么会突然换用wsyscheck呢？因为它的“文件管理”功能可以显示出所选目录下的所有文件和文件夹，且对于近期创建的可疑文件会以红色字体突出显示，若某些文件夹下近期被修改或创建了可疑文件，该文件夹的所有信息也会以特殊颜色（一般为红色或蓝色）显示来引起注意，这对于尽快找到病毒文件非常有利。

处理方法

1） 利用wsyscheck工具找出并结束可疑进程：rqtcrfo.exe和ccavblx.exe，为了保证计算机重启后病毒文件不再生成，这里选择将两文件直接添加到重启并删除文件列表。

图5：利用wsyscheck找到病毒进程，并添加到“重启并删除列表”

2） 通过wsyscheck的“文件管理”功能，将上面已经发现的C盘和E盘下两个病毒文件oydiexc.exe和autorun.inf也一并发送到重启并删除文件列表。