电脑文件夹内多了rlvcfg文件及unnamed volume快捷方式 - 你可能中了蠕虫病毒哦

[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!

有网友说公司服务器是有一个数据库和一个业务系统，同时给四五台电脑提供共享文件，然而插了个来源不明的U盘，然后就挂了~~~下面是网友的描述

中了这个病毒后，第一个症状是，在共享文件夹中，突然多了个rlvcfg文件，删除后，过一会儿就又会出现。。。

第二个症状是，会自动把共享文件夹的文件隐藏，然后隐藏进一个叫unnamed volume的快捷方式中去，点上面的隐藏文件和下面的unnamed volume都可以正常进到共享文件夹去。。。

第三个症状是，复制粘贴会失效。

第四个症状是，会莫名其妙多一个隐藏的U盘盘符，我在设备管理器里卸载掉这个U盘，过一阵子就又会出现。

大概就是这些，这个病毒比较奇怪的地方在于:

1、没有感染其他内网的电脑；

2、只影响共享文件夹的文件，我尝试了几次只有共享文件夹的文件会出现上述问题；

3、也没有文件被勒索，不知道这个病毒到底是干啥的。。。

用企业版奇虎杀毒杀过了，显示很安全。。。。。。。。。

其实这个是Phorpiex木马，好像是和勒索软件合作，负责在目标电脑上安装勒索软件，然后进行勒索哦~~~

Phorpiex 木马症状

启动：

• 释放 C:\WINDOWS\sysppvrdnvs.exe 并执行
• 将目录加到 Windows Defender 例外："C:\Windows\System32\cmd.exe" /c powershell -Command "Add-MpPreference -ExclusionPath $env:windir; Add-MpPreference -ExclusionPath $env:TEMP; Add-MpPreference -ExclusionPath $env:USERPROFILE"
• 停止服务："C:\Windows\System32\cmd.exe" /c sc stop UsoSvc & sc stop WaaSMedicSvc & sc stop wuauserv & sc stop DoSvc & sc stop BITS /wait
• 添加自启动：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Settings
• 禁用系统更新；
• 和后台服务器通信等待下一步指令。

然而在奇虎企业版中查杀了N次都没有啥特别的，不过经过火绒的技术，给出了答案~~如下为火绒技术给的答案~~

火绒的技术人员，他们说个人版火绒就可以清理，给了个处理流程：蠕虫处理流程：
1、清空控制中心信任文件及终端上信任区
2、安全设置中调整文件实时监控等级为第三项
3、有共享环境需要暂时关闭共享
4、进入网络安全模式全盘查杀，不要使用自定义查杀，火绒会提示驱动版本不匹配，这是正常的，病毒查杀功能可以正常使用，如进入普通安全模式火绒会提示安全服务异常，查杀功能无法正常使用，一定要进入网络安全模式。
5、所有风险项全部处理，以防病毒残留再次感染

然而按照火绒技术处理后，暂时一切正常，也没有再次出现，然而经过几天的观察也还一切正常，有遇到此病毒的，可以根据此操作一下！

问题未解决？付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信

所写所说，是心之所感，思之所悟，行之所得；文当无敷衍，落笔求简洁。 以所舍，求所获；有所依，方所成！