数周以来,我们的 Windows2003 服务器上一直存在以下问题,每天共享文件夹都会被隐藏,并被与原始文件夹同名的 .exe 文件替换。我可以“取消隐藏”它们并隐藏或删除 .exe“文件夹”,但它会在几个小时内不断出现。Windows 已完全更新,我们每晚都会进行“彻底”病毒扫描(F-Prot),但没有检测到任何病毒,而 SpyBot S&D(F-Prot 支持技术推荐)仅检测到 3 个“跟踪 cookie”,这听起来不太可能隐藏文件夹。
我们的网络中确实存在“W32/Conficker”,这不是一个很好的问题,因此清理客户端当然是当务之急,但我不知道哪种可能性更大——它是隐藏在服务器上,还是一直来自连接到共享的客户端。
任何建议都非常感谢!
答案1
您的网络服务器或客户端 PC 感染了蠕虫。此蠕虫通过更改其属性来隐藏您的原始文件夹。您需要做的第一件事是扫描整个服务器,尤其是共享文件夹。有报告称防病毒软件无法检测到感染。根据我自己的经验,我发现 Microsoft Security Essentials 在清除感染方面做得很好。清除后,您必须删除驱动器上的所有 exe 文件夹,然后更改驱动器的所有属性,以显示隐藏文件夹。就个人而言,这种方法最有效,在公司服务器上,我建议您安装一个脚本来为您完成手动工作,因为这可能是一个耗时的项目。以下脚本似乎可以解决问题,但需要对路径和驱动器位置进行编辑。
- 安装并更新您的防病毒应用程序。我使用了 Symantec,它发现了 w32.sillyfdc
- 删除所有检测到的文件。刚刚删除的 .exe 文件夹。现在您需要做的是显示原始文件夹
- 打开文件管理器
- 转到顶部菜单,工具 > 文件夹选项。选择“查看”选项卡
- 标记“显示隐藏文件和文件夹”。
- 转到“开始”>“运行”,在“打开:”框中键入 cmd,然后按“确定”。这将显示 DOS 命令提示符
- 使用“我的电脑”,查看隐藏文件夹的驱动器
- 转到命令提示符并键入以下内容以取消隐藏所有文件夹和文件:attrib e:*.* /d /s -h -r -s
其中“e”是隐藏文件夹所在的驱动器
那就可以了。
脚本示例如下。
attrib -s -h -r autorun.inf del autorun.inf md autorun.inf attrib +s +h +r autorun.inf attrib -s -h -r RECYCLER rd /s RECYCLER copy /y NUL RECYCLER attrib +s +h +r RECYCLER cacls /P autorun.inf 所有人:N cacls /P RECYCLER 所有人:N