-
-
[旧帖] [原创]修复文件终结者病毒破坏的文件 0.00雪花
-
发表于: 2013-8-4 10:33
-
修复文件终结者病毒破坏的文件
前段时间,发现电脑读硬盘异常,就不断去查找异常进程,结束了多个读硬盘数据较多的陌生进程,最后打开资源管理器,发现了大问题,自己电脑中的文件夹突然都变成了回收站。
打开后原本的文件都变成了回收站中的垃圾文件。清空回收站,再打开后,里面所有文件和文件夹都没有了。但是从文件属性中可以看到原来的数据还是在的。最后通过好压浏览到丢失文件,文件走在原来的地方,还发现每个文件夹里都多了一个名文desktop.ini的文件,尝试把它删除,删除后文件夹能够正常显示,但是属性变成了受操作系统保护,通过命令提示符把几个重要的文件夹恢复正常。
找到原来的文件后,却发现文件无法正常打开。无论是充满回忆的照片,辛辛苦苦写出来的代码,压缩包还是重要的文档无法幸免。还有在歌曲列表中歌曲都不存在,打开相应的文件夹,歌曲文件都存在。经过对比发现文件名尾,也就是小数点前多了个空格,导致文件名不同了,原有的文件路径都失效。
由于大部分文件夹包括子文件夹和文件都变成这样,一个一个修复工作量很大,根据病毒症状到网络上找解决方法,金山毒霸说可以解决这可问题,称电脑感染了一种新的木马病毒——“文档终结者2”,该类现象是由于“文档终结者2”感染电脑后,遍历电脑中的文件夹,将文件夹转变成为回收站,导致打开后直接显示回收站中的垃圾文件,并破坏文件夹中的非PE文件(如Word、Excel等)。可见无论怎样操作,电脑中的文件都无法正常使用。
装了个金山毒霸,结果金山毒霸只是杀了毒,把小部分文件夹修复了,但是被破坏的文件一个都没有修复。宝贵的数据就这样被毁灭了?没那么容易,肯定有方法的。尝试打开各个不同类型的文件,只有MP3文件,ZIP格式的压缩文件可以正常打开,文本文件可以打开,但存在乱码。
研究一下各类型的文本文档,得出了一个规律,所有的文本文档前几行乱码,剩下的正常。可以猜到病毒只是对文件做了一些少修改,具体算法有待进一步研究。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
麻烦lz,把相关的文件也传两个上来看看嘛,就是源文件与感染后的文件,我们也对比下是啥样子的哈~~这样更明确
|
|
|
|
|
|
|
