移动硬盘内容变成快捷方式处理

移动硬盘内容变成快捷方式处理

硬盘外借，感染了病毒，导致内容变成快捷方式，这个经常出现在U盘。U盘去学校打印店打印容易感染此病毒。正常点击快捷方式可以打开，内容并未丢失。如果开了杀毒软件，可能会提示管理员权限CMD，导致无法打开内容。

---

该快捷方式对应的目标是一句dos命令。

%comspec% /q /c "RECYCLER.BIN\1\CEFHelper.exe 727 71"

运行cmd程序，执行d命令
%Comspec%的意思是DOS 的命令处理器。
CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V
[[/S] [/C | /K] string]
/C 执行字符串指定的命令然后终断
/K 执行字符串指定的命令但保留
/S 在 /C 或 /K 后修改字符串处理(见下)
/Q 关闭回应

点击快捷方式，直接进入硬盘原来的内容。但是在此目录下，所有文件已作为系统文件隐藏。

显示隐藏文件

设置文件夹隐藏选项，查看隐藏文件

可以看到存在隐藏文件主要是$RECYCLE.BIN RECYCLER.BIN System Volume Information。原来的文件均在第一个文件名为空格的隐藏文件夹内。删除回收站的隐藏文件仍然无效。

当退出硬盘重新进入又重新隐藏变为快捷方式。

---

---

采用dos命令attrib -h -r -s /d /s H:\*.* 显示H盘（硬盘）内所有隐藏文件。可以看到里面存在这个CEFHelper.exe软件。当退出硬盘重新进入后又全部隐藏。

将隐藏的无关文件全部删除后仍然无效。这是因为无法删除干净。搜索发现依旧存在CEFHelper.exe。正是这个狗东西导致你的东西被隐藏，只需要把电脑里的这个后台运行程序关掉，然后删除就行。

正式这个CEFHelper.exe导致文件隐藏

杀毒软件查杀

360杀毒 金山毒霸进行全局扫描和移动硬盘单独扫描并未发现病毒。这两款软件弹窗多，操作不友好。

Kaspersky扫描也未发现病毒，只存在其他文件的提示。

另外采用几款usbcleaner软件仍然无法找到病毒。

所以杀毒软件对这个狗东西是不管用的。

手动删除

虽然硬盘文件还在，但是严重影响使用，主要处理和检查如下，对于一般的U盘病毒管用。

• 结束该软件的进程或者服务
• 删除所有该软件文件，在C盘也可能存在
• 设置注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 设置文件夹可见性，值为1。这个为了显示隐藏文件夹，也可以不设置。
• 看注册表中的自启动计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动的程序，看看有没有异常开机自启动的。
• 搜索注册表ctrl+F中，所有与该软件相关的注册表，进行删除。或许不存在，有的软件不会写入注册表。
• win+r 输入msconfig查看自启动的服务，是否存在异常服务。如果存在异常的服务禁用。

最关键的就是一点：任务管理器关闭这个流氓程序，然后删掉病毒源文件。

后续

做完几个操作之后移动硬盘的文件已经恢复，不会自动变成快捷方式了。
只要思想不滑坡，办法总比困难多。