该病毒执行后会自复制到系统盘Windows目录下,将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除。
故障现象:发现除C盘外其他磁盘文件不见,磁盘中存在0kb大小incaseformat.txt文件。
应急处理方案:
步骤一:发现文件丢失,不要重启系统,清空360安全卫士信任区后全盘杀毒。360安全卫士支持此病毒的拦截和查杀,但因故障环境中都存在病毒文件被加入到信任区,导致病毒文件不能被及时查杀。
作恶的病毒文件:
病毒以及病毒创建的exe被加入到了信任区:
步骤二、全盘杀毒并按照提示处理并重启电脑。文件恢复参考:360安全卫士--功能大全中搜索“文件恢复”尝试恢复数据或者联系专业的数据恢复人员协助处理。
注意:数据恢复不能保证100%的恢复成功,即便恢复出来也不能保证文件一定能正常使用。如果使用360文件恢复无法恢复或者恢复的文件无法使用,建议联系专业的数据恢复人员处理。
步骤三、
文件恢复后,通过360安全卫士木马查杀或急救箱再次重新全盘查杀病毒。
安全防护建议:建议广大用户在未做好安全防护及病毒查杀工作前请勿重启电脑。
1、不要随意下载安装未知软件,尽量在官方网站进行下载安装。
2、尽量关闭不必要的共享,或设置共享目录为只读模式。
3、严格规范U盘等移动介质的使用,使用前先进行查杀。
4、360安全卫士更新到最新版本检测杀毒。