下载链接在最后

介绍

相信很多人在打印店应该都中过U盘病毒的招，症状是U盘内所有文件都变成了快捷方式，而原来的文件全都消失不见。等到你在你的电脑上打开这些快捷方式以后，你的电脑也会中病毒。这种病毒巧妙的利用了所有电脑最大的漏洞—用户的心理，在打印店猖獗至今。
其实这种病毒的作用机理并不复杂，共有以下几步：

如果病毒文件被执行：

复制自身到C:\Users\用户名\AppData\Roaming\Microsoft Office\中
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中写入自启动项
保持后台运行
检测是否有USB存储设备插入电脑:

如果有，那么：
复制自身到U盘根目录
隐藏此设备目录下所有文件与文件夹
在设备根目录创建恶意快捷方式

知道了它的原理，就不难预防了，因为这种病毒是基于Windows脚本宿主运行的，本体只是一串恶意代码，因此只要将脚本宿主给删掉或者改名即可达到永久预防的效果。
所以我根据这个原理编写了一段批处理程序：

@echo off
taskkill /f /t /im wscript.exe
::结束病毒宿主进程
cd C:/Windows/System32
::打开System32目录
takeown /f wscript.exe
::提权
Icacls wscript.exe /c /grant users:f
::获得完全控制权限
ren wscript.exe wscript1.exe
::重命名
@echo 补丁安装完成！
pause

此补丁可以永久防护基于脚本宿主的U盘病毒。
由于此病毒会隐藏文件而且还会创建一堆快捷方式让U盘变得乱七八糟，因此我又写了一个一键恢复隐藏文件的批处理程序：

@echo off
taskkill /f /t /im wscript.exe
::结束病毒宿主进程
set /p usb=请输入被感染的U盘盘符（例：H:\）：
for /f "delims=?" %%a in ('dir %usb% /a /b') do attrib -a -s -h -r %usb%"%%a"
::恢复U盘根目录下所有文件
del %usb%"Microsoft Word.WsF"
::删除病毒本体
del %usb%*.lnk
::删除病毒创建的恶意快捷方式
@echo 执行完毕，文件已恢复，病毒文件及恶意快捷方式已删除
pause