※Skypee病毒清除方法※

前几天去文印店打东西的时候发现U盘文件夹里面多了几个文件
其实就是每个源文件夹的目录下多了一个同名的快捷方式
作为一名OIer，第一反应当然是点开属性，发现引用的文件位置是C盘的一个文件

显然，这是一个病毒文件

首先尝试删除这些假快捷方式，发现瞬间又重新生成了
于是打开任务管理器，发现一个叫做“AutoIt3.exe”的进程
注意，这个AutoIt3不是那个语言编辑器，而是病毒伪装的同名程序（区别在于i应该是小写）
先强制杀死这个进程，然后再删除所有的快捷方式，发现成功了
为了避免大量的人工操作，我写了一个批处理文件，自动批量删除这些快捷方式
代码如下：

@echo off
　　echo ------ 查找中 ...
　　attrib -a -s -h -r skypee
　　del /f /s /q skypee
　　echo -----Skypee 已删除本盘的毒源------
　　echo.
　　ping -t -n 1 127.0.0.1>nul
　　echo -----清除此盘一级目录下的病毒快捷方式------
　　for /f "tokens=*" %%i in ('dir /ad /b *') do (
　　del /f /s /q "%%i\%%i.lnk")
　　echo -----清除结束------
　　ping -t -n 3 127.0.0.1>nul
exit

使用方法：
新建一个文本文档，将上述内容复制进去，保存后把文件后缀名改为.bat
复制到每一个盘的根文件（包括你的U盘），分别双击运行（有多少个盘就复制多少个来运行！）
（因为这个程序只能删除一个盘里面的假快捷方式！）

然而问题在于，这样只能做到暂时删除，如果重启电脑，病毒又会运行，生成这些快捷方式
所以我们先杀掉这东西的开机启动项！
开机启动项在这个位置：

C:\Users\tqr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

其中tqr是我的用户名，酌情更改，默认的话是Administrator

把里面的奇奇怪怪的文件全部删掉，这样病毒就无法自动运行了

然后找到病毒的源文件，删掉它
经过注册表一顿搜索，源文件的位置是

C:\Google

注意，这个文件夹是无法查看的！就是说就算你打开了隐藏文件夹可见选项，也看不到这个！
唯一的访问方法是在地址栏里面输入这个地址，进入文件夹

然后里面的东西全部删掉
至此，这个病毒就清除结束了

事情并没有这么结束，我把病毒拆解，研究了一下它的原理，如下：

1. 在一台公共电脑上投放这个病毒的初代，感染此公共电脑（多见于文印店）
2. 运行这个病毒，每有U盘插入时，就自动在其目录制造假快捷方式，诱导点击
3. 当U盘被拔出，插入另一个电脑，如果这个快捷方式被点击，那么病毒将会感染这台新的电脑，重复1过程

好在我没有在此病毒源码中发现任何对计算机有损害的内容
可能是谁做了一个软件，无意中传播出去，变成了现在的病毒

由于现在市面上的杀毒软件检测不到这个病毒
所以大家最好查一下自己的U盘/电脑是否中毒，按上述方法杀一下
此病毒非常顽固，不好好调查还真杀不干净……

步骤总结：

1. 打开任务管理器，选择“进程”，关掉名为“AutoIt3.exe”的进程
2. 复制我发的代码，按使用方式在每一个盘的根目录运行一次
3. 到windows的开机启动文件夹中删除其自启动文件
4. 输入C:\Google地址，进入文件夹，删除里面的所有文件

前几天顺手把打印店的病毒也杀了，同学们查一下自己的U盘，别再传播开了
结束