①病毒表现

        6月中旬发现台式机直播很卡，没太注意。6月14日直播pdf时cpu一直占用近100%，bilibili直播姬则占用50%以上，如图1所示，正常直播夜神模拟器时cpu都没有那么高占用率，才怀疑中病毒了。进一步调查发现，电脑开机时必然有一进程占用cpu 50%以上，关掉这个进程则不久另一进程又会占用cpu50%以上。所有磁盘和一个移动硬盘根目录下出现autorun.inf文件和随机命名的exe（或pif）文件。exe文件删除后会重新生成，autorun.inf无法删除。开机时文件显示模式自动修改为“不显示隐藏文件”。由于电脑没装任何杀毒软件，防火墙一直关闭，基本可以断定感染病毒了，途径为6月初u盘在打印店打印时传入，autorun文件生成时间证实了这一点。因此，应该为Autorun病毒。

        ②USB killer杀毒

        6月15日，下载USB killer，杀毒后，autorun.inf文件仍然自动生成，无法进行病毒免疫。切换到安全模式下杀毒，磁盘内autorun.inf文件不再自动生成，但移动硬盘仍然自动生成。经检查，确认笔记本没有感染病毒，于是在笔记本上运行USB killer，插入移动硬盘，杀毒后可以进行免疫，且移动硬盘在笔记本取消免疫后不会自动生成病毒文件，说明移动设备只要用USB killer可以完全杀毒，磁盘因为有操作系统所以无法完全杀毒。杀毒后之后，台式机不再有autorun.inf文件和exe文件，但仍然会有进程占用cpu 50%以上，且取消病毒免疫后会立即重新生成autorun.inf和exe或pif文件。因此可以断定，病毒开机时已经自动加载进内存。还需要继续杀毒。

        ③电脑管家杀毒、360杀毒、资料备份

        6月15日，安装电脑管家，无法扫描出病毒，安装其自带的急救箱，安全模式下仍然无法检测到病毒。由于电脑是双系统，另一系统本来装有360安全卫士和360杀毒，于是切换到另一操作系统，但360提示“已阻止360Tray修改360自启动”，其他exe文件也有提示，看来360也被感染了，无法杀毒。于是准备先备份资料，重新分区并安装系统（这倒不止是病毒原因，本来就想重装），结果发现，移动硬盘exe文件和另一备份移动硬盘exe文件大小不同，进一步调查发现，台式机大多exe文件大小都变大了，这应该是被注入病毒了，于是在笔记本先将移动硬盘和备份移动硬盘进行比对，删除移动硬盘所有病毒文件，并将备份移动硬盘中资料重新拷入移动硬盘。为试试重装系统，将U盘杀毒后制作Win7安装盘，电脑关机，插入U盘，开机，到安装页面，然后拔出U盘，查到笔记本，发现也感染病毒了，所以更加断定病毒开机就常驻内存。

        ④卡巴斯基杀毒

        6月16日，进一步调查发现，USB killer的exe文件也感染病毒了，大小变大，于是将没病毒和有病毒的exe文件压缩上传至virscan，检查结果如图3所示。将另一列车时刻表exe病毒文件和原文件压缩后上传杀毒，发现360无法检测出，而卡巴斯基可以检测出，病毒为Virus.Win32.Sality.Gen，是一种蠕虫病毒，简介如图4所示。 于是决定先下载卡巴斯基杀毒（之所以用卡巴斯基还有个原因是很久以前我的笔记本病毒也是用卡巴斯基消灭的）。下载卡巴斯基2020免费版，安装后升级为1个月正式版试用版，开始杀毒，如图5所示。杀毒时检测出内存有病毒，但无法清除，选择重新启动，之后就可以清除了。这样，花了一天时间，所有病毒都消灭了，之后电脑就正常了，不免疫病毒也不会生成autorun文件了，cpu也正常了。此外，一个数码相机的SD卡也有autorun病毒，清除了。手机和平板的TF卡则没有病毒。

by 让人微笑的光景

200620