关于防范incaseformat病毒的通知

近日incaseformat蠕虫病毒爆发,除了C盘其他盘符资料被清空,请勿恐慌.
请各单位做好以下防范:1、重点关注XP系统防护2、杀毒软件病毒库保持更新3、重要电脑建议断网4、注意U盘管控5、记得重要数据进行备份对于incaseformat的病毒,请各单位留意:1、D、E、F盘文件被清除出现incaseformat文本文……2、针对此终端断网进行查杀(清除信任区进行查杀)和修复(360系统急救箱等系统恢复工具).

病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为.

此病毒启动后将自身复制到C:\WINDOWS\tsay.
exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行为.

处理建议:1、所有未感染前,把所有重要文件备份(这个过程非常重要).
2、使用U盘前使用病毒软件扫描后再使用,也可以通过管控功能禁止不明移动存储设备进入内网,同时对全网终端进行全盘扫描.

3、建议将病毒库更新到最新.
4、如果不慎感染,已经安装病毒软件的终端检查一下信任区,查看是否有被信任的病毒文件,清理信任区之后进行全盘扫描,清除病毒.

5、如果感染之后没有重启电脑的终端,清理完成病毒后,先将C盘以外盘符中被隐藏的文件,从磁盘拷贝出来后再重启电脑.
如果已经被重启的终端,清理完病毒之后尝试使用第三方数据恢复工具恢复文件.

其它解决方法:使用需要满足一个条件,就是你的感染原因是和描述是一样的,也就是说被感染文件夹内的incaseformat.
txt是可以自由删除的,不会被提示该文件正在被占用.

首先下载usbcleaner,网盘链接如下:链接:https://pan.
baidu.
com/s/1FUn5fGl6SEYDBCCKy48iFA提取码:wnby下载下来之后直接解压到一个没有被病毒感染的文件夹内,如果都被感染了那就解压到桌面上,无需安装.

其次,通过搜索将所有的incaseformat.
txt文件全部删除掉,一般都只会感染一级文件,不会深入感染到子文件夹的.

随后将电脑的所有程序都关了,在安全模式下重启电脑(这是为了防止病毒继续扩散),同时也可以避免其他杀毒软件的干扰.

启动USBcleaner:进入之后在主界面点击全面检测:检测完成之后会提示进行广谱检测,可以直接点是,中间跳出的提示可以直接点是,但是可能会提示系统时间错误,请你点否.

完成之后,软件会提示是否启动文件夹图标病毒专杀工具,点是.
之后的操作分两块:首先在电脑本地的病毒,使用上述文件夹图标病毒专杀工具可以消灭,启动文件夹图标病毒专杀工具的方法还有一个,在上方工具及插件一页中的左侧,选择其他组件这一项,点击最上方的文件夹图标病毒(包括1kb快捷方式病毒)专杀.

这样就可以启动FolderCure组件了,再点击开始扫描并选择扫描对象为被感染的文件区域(每次只能选一个,为了提高速度可以将遍历子目录前面的对号去掉)如下图所示:点击程序设置,将所有的处理发现病毒的选项都改为彻底删除,默认的是隔离.

运行过程中他会直接帮你删除掉那些.
exe文件运行完成之后会询问你是否同意修复,点击是.
之后会看到它已经完成了修复,这时再打开之前被感染的文件,会发现原来的文件完好如初的出现了,而病毒产生的.
exe文件全被删除掉了,同时可能会产生一个SystemVolumeInformation的隐藏文件夹,这个我查过是系统自动生成的还原点信息文件,并不是病毒.

这样就完成了消灭incaseformat病毒的全部操作,之后用正常模式重启电脑,再用自带的杀毒软件查杀一下残余的问题就全部解决了!

同样,被感染的U盘要在移动盘检测中一步一步进行查杀,具体操作根据提示一步一步操作即可.

病毒的作用机理,整理如下:1、首先incaseformat病毒是通过全盘镜像来起作用的,有一个负责在文件夹内生成这一病毒的进程,incaseformat.
txt就是一个镜像文件.
这种病毒有一个统一的名字:文件夹图标病毒.

2、这个病毒属于木马和蠕虫两类病毒的结合体.
木马只是复制自己,并且用所在文件夹的名字给自己命名,然后把自己复制满文件夹,保证每个文件夹下都有木马.
蠕虫会感染exe文件,也就是可执行程序,然后在点击这个文件的时候,启动木马来传播到别的文件夹中.

3、这个病毒的核心作用机理在于,将你的实际文件全部强制隐藏掉,而用一个大小一样的.
exe文件来出现在原有的位置,让你误以为这个文件就是原来的文件.
如下图所示:可以在文件资源管理器的查看选项卡最右侧一栏显示/隐藏那一块勾选文件扩展名这一条,来看看现在文件夹里面被感染的文件是什么样子,不出意外的话,这个都是.
exe.
这些其实不是当前的文件,而是病毒创造出来的钓鱼图标.