煩惱

作為老師，我經常需要帶著優盤到教室。可是最近一段時間，只要一往教室電腦上拷貝幻燈，優盤立即中毒。

這個病毒，就是列印店最常見的autorun病毒。它利用優盤自動執行檔案的安全漏洞，感染所有外接USB裝置。

被感染之後，優盤就帶了傳染性，可以傳染其他Windows系統。

好在我的電腦是macOS，因為執行機理不同，不會中毒。但是回家開啟優盤一看，檔案都找不到了，成了這個樣子。

這兩個exe檔案顯然不是我原先的文件目錄。我在命令列方式下執行了檔案全顯示命令，病毒帶來的牛鬼蛇神就全都顯現了原形。

我原先的教學目錄“teaching”好端端還在那裡，只是無法正常顯示出來了。根目錄下多了許多雜七雜八的exe檔案，不只是Finder裡面顯示出來的那兩個。

開啟autorun.inf檔案，我們看到了如下資訊：

[autorun]
open=\Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE
shell\open=??(&O)
shell\open\Command=Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE
shell\open\Default=1
shell\explore=??Դ??????(&X)
shell\explore\Command=Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE

只要一連線優盤到Windows系統，這些exe結尾的檔案都會被執行。很恐怖。

修復

解決的第一步需要刪除掉這些害人的exe檔案，避免繼續貽害。

sudo rm -f *.exe ; sudo rm -f .*.exe ; sudo rm -f autorun.inf ; sudo rm -rf Recycled*

我們再次列出所有檔案，清爽多了。

回到Finder底下看一看。

我的teaching資料夾呢？感染的檔案和目錄都已經清除，但是teaching資料夾還是無法顯示。

我經過反覆測試發現，只需要給目錄重新命名到臨時目錄名稱，再重新命名回來，原先的正常資料夾就可以正常顯示了。

例如先執行：

mv teaching teaching-new

再改回來：

mv teaching-new teaching

列出檔案看看：

好像跟剛才比起來沒有什麼變化嘛。彆著急，這時再看Finder：

成功了，教學資料夾已經回來了。

自動

但是，教室電腦感染病毒這個事防不勝防。每次都這麼執行一遍來修復優盤，很煩人。而且有的時候，優盤上有多個資料夾，一個個調整簡直就是體力活兒了。

於是我編了一個指令碼，並且分享出來給大家使用。

你只需要執行以下語句即可下載它：

git clone https://github.com/wshuyi/usbstick_autorun_fix_mac.git

執行的時候，首先進入工具目錄。

cd usbstick_autorun_fix_mac

然後找到你需要修復的優盤路徑。我這裡是/Volumes/SANDISK32G。那麼我需要執行：

python remove_autorun.py /Volumes/SANDISK32G

你執行的時候，請把最後的優盤路徑替換為自己的就可以了。

看一看，是不是被感染的優盤又完好如初了？

討論

在macOS上，你還知道哪些更簡便的修復被感染優盤的方法？歡迎留言，我們一起交流討論。