手動刪除隨身碟病毒

特徵：
不是自動執行類型的，會將隨身碟所有檔案 (除了系統資料夾) 移進資料夾，然後隱藏起來，製造一個捷徑打開病毒批次檔，批次檔會將病毒複製到電腦執行，並開啟隱藏的資料夾讓使用者使用，所以只要點開捷徑就會中毒，只有插隨身碟不會中毒。中毒的電腦會產生一個 u123456 (u+6個隨機數字) 的服務，新的隨身碟進來，就會變成新的帶原者。

手動移除：

1. 開啟工作管理員停止病毒服務
   工作管理員切到「服務」，找到 u 開頭後面接 6 個數字的服務 (例：u513772)，按右鍵 → 停止
   
   因工作管理員沒有刪除服務選項，如要刪除這個服務要使用 CMD 指令模式刪除。
   
   
2. CMD 以系統管理員身分執行
1. 如要刪除病毒服務
   sc delete u513772
   
   
   
2. 刪除病毒 dll、exe 執行檔 (以下也可以用檔案總管刪除)
   (因為 CMD 以系統管理員身分執行，工作目錄會在 C:\Windows\System32\，如果不是要先切到 C:\Windows\System32\)
   先取得 printui.dll 檔案擁有權與完全權限
   takeown /f printui.dll
   icacls  printui.dll /grant Administrators:F
   del printui.dll
   
   del u513772.dll
   del svctrl64.exe
3. 刪除病毒資料夾 wsvcz
   rmdir wsvcz /S /Q
3. 重新開機測試，服務已沒有 u513772 出現。
4. 保險一點建議花一點時間檢查並修復 Windows 元件
   DISM /Online /Cleanup-Image /RestoreHealth
   (因為 DISM 要下載最新元件會花比較多時間)
   sfc /scannow
   
   
   

PS:

1. 剛開始只刪除 u513772.dll、 printui.dll，沒用，重開仍有病毒服務。
2. 後來安裝 Avast 可以清除病毒。
3. 觀察 Avast 的隔離區有 u123456.dll、svctrl64.exe 兩個檔案，查網路還有個病毒資料夾 wsvcz，把這些通通刪了就成功刪除病毒了。
   (u513772.dll、 printui.dll、svctrl64.exe、wsvcz 全都在 C:\Windows\System32\ 裡面)
4. printui.exe 是系統檔案不可刪除，誤刪了就檢查並修復 Windows 元件，看可不可以救回。
5. 把隨身碟病毒執行的批次檔給 AI 分析，其中有一段是將病毒目錄與 System32 加入防毒排除，刻意避開 Windows Defender 偵測，所以 Windows 內建防毒會失效。
6. 刪除隨身碟上的病毒-使用檔案總管
1. 千萬不要點開隨身碟上的捷徑。
2. 設定 → 選項
   
   
   
3. 勾選「顯示隱藏的檔案、資料夾及磁碟機」
   取消「隱藏保護的作業系統檔案...」
   
   
   
   
4. 刪除最上層的病毒捷徑。
5. 刪除 sysvolume 裡所有 u123456 類型的檔案。
6. 將隱藏資料夾的檔案搬回上一層，並刪除隱藏資料夾。
7. 刪除隨身碟上的病毒 - 使用 CMD 可能用到的指令
1. 在根目錄解除檔案 (資料夾) 唯讀、隱藏、系統狀態。
   attrib -r -h -s *.*
2. 到系統資料夾 sysvolume。
   cd sysvolume
3. 刪除病毒相關檔案。
   del u*.*
4. 其他給使用者用檔案總管處理。
8. 應該可以寫成批次檔，只要觀察服務名稱，跟著改病毒名稱再執行就好。