近日incaseformat蠕虫病毒爆发，除了C盘其他盘符资料被清空，请勿恐慌。请各单位做好以下防范：

　　重点关注XP系统防护

　　杀毒软件病毒库保持更新

　　重要电脑建议断网

　　注意U盘管控

　　记得重要数据进行备份

　　我司已处理多家单位的incaseformat病毒，请用户单位留意：

　　D、E、F盘文件被清除出现incaseformat文本文件

　　针对此终端断网进行查杀(清除信任区进行查杀)和修复(360系统急救箱等系统恢复工具)

　　病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。

　　此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出，等待重启运行，下次开机启动后约20s就开始删除行为。

　　其他解决方法

　　使用需要满足一个条件，就是你的感染原因是和我一样的，也就是说你的被感染文件夹内的incaseformat.txt是可以自由删除的，不会被提示该文件正在被占用。

　　首先下载usbcleaner，网盘链接如下：

　　链接：https://pan.baidu.com/s/1FUn5fGl6SEYDBCCKy48iFA

　　提取码：wnby

　　下载下来之后 直接解压到一个没有被病毒感染的文件夹内，如果都被感染了那就解压到桌面上，无需安装。

　　首先，通过搜索将所有的incaseformat.txt文件全部删除掉，一般都只会感染一级文件，不会深入感染到子文件夹的。

　　随后将电脑的所有程序都关了，在安全模式下重启电脑(这是为了防止病毒继续扩散)，同时也可以避免其他杀毒软件的干扰。

　　启动USBcleaner：

　　进入之后在主界面点击全面检测：

　　检测完成之后会提示进行广谱检测，可以直接点是，中间跳出的提示可以直接点是，但是可能会提示系统时间错误，请你点否。

　　完成之后，软件会提示是否启动文件夹图标病毒专杀工具，点是。

　　之后的操作分两块：

　　首先在电脑本地的病毒，使用上述文件夹图标病毒专杀工具可以消灭，启动文件夹图标病毒专杀工具的方法还有一个，在上方工具及插件一页中的左侧，选择其他组件这一项，点击最上方的文件夹图标病毒(包括1kb快捷方式病毒)专杀。

　　这样就可以启动Folder Cure组件了，再点击开始扫描并选择扫描对象为被感染的文件区域(每次只能选一个，为了提高速度可以将遍历子目录前面的对号去掉)如下图所示：

　　点击程序设置，将所有的处理发现病毒的选项都改为彻底删除，默认的是隔离。

　　运行过程中他会直接帮你删除掉那些.exe文件

　　运行完成之后会询问你是否同意修复，点击是。

　　之后会看到它已经完成了修复，这时再打开之前被感染的文件，会发现原来的文件完好如初的出现了，而病毒产生的.exe文件全被删除掉了，同时可能会产生一个System Volume Information的隐藏文件夹，这个我查过是系统自动生成的还原点信息文件，并不是病毒。

　　这样就完成了消灭incaseformat病毒的全部操作，之后用正常模式重启电脑，再用自带的杀毒软件查杀一下残余的问题就全部解决了!

　　同样，被感染的U盘要在移动盘检测中一步一步进行查杀，具体操作比较简单我这里就不赘述了。

　　对病毒深入研究

　　病毒的作用机理，整理如下：

　　首先incaseformat病毒是通过全盘镜像来起作用的，有一个负责在文件夹内生成这一病毒的进程，incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字：文件夹图标病毒。

　　这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己，并且用所在文件夹的名字给自己命名，然后把自己复制满你的文件夹，保证每个文件夹下都有木马。蠕虫会感染你的exe文件，也就是可执行程序，然后让你在点击这个文件的时候，启动木马来传播到别的文件夹中。

　　这个病毒的核心作用机理在于，将你的实际文件全部强制隐藏掉，而用一个大小一样的.exe文件来出现在原有的位置，让你误以为这个文件就是原来的文件。如下图所示：

　　你可以在文件资源管理器的 查看 选项卡最右侧一栏 显示/隐藏 那一块勾选文件扩展名这一条，来看看你现在文件夹里面被感染的文件是什么样子，不出意外的话，这个都是.exe。这些其实不是你的文件，而是病毒创造出来的钓鱼图标。