如果你着急，请看这个步骤: （1) for /f “delims=” %%i in (‘dir /ah /s/b’) do attrib “%%i” -s -h 另存为.bat 保存到u盘 （2）执行，

故事大概是这样的: 一天下午，接到个任务，屁颠屁颠地下到业务去看看，突然忘记在哪个地方了，，到的时候，人都已经齐了，围成一个圈，里面放了很重要数据文件,好像问题还挺严重的。 我刚到，旁边两位大哥一直问我能不能想办法溯源文件夹的蠕虫病毒。。。给我整的蒙蒙的，啥事能扯到溯源上？ 花了点时间看了看，，是u盘的全部文件夹都改成了exe执行文件，而且还有杀软报毒。 大概如图： 然后，当时的思路错了，，往1kb u盘病毒的思路去想了，，没复原出来， ，u盘拷了份样本压缩包，回去后拉到虚拟机，，有意思的地方来了，u盘的全部文件夹也都成了exe执行文件，

然后，，花了几分钟随便翻了翻，找到这个命令，，用for遍历隐藏文件，

for /f “delims=” %%i in (‘dir /ah /s/b’) do attrib “%%i” -s -h 记事本右键另存为.bat 这串代码的作用是在当前目录及其子目录下搜索具有隐藏属性(h)的文件，并把它们的系统属性(s)和隐藏属性(h)去掉。其实就是把之前隐藏的文件都显示出来了

重点来了，这里往虚拟机内插了u盘，才能复原，吧u盘内的文件拷入虚拟机执行是不生效的；因为exe-u盘病毒只对u盘文件生效，你拷到主机上不管怎么写注册表、跑什么命令都是假的，，只拷到了样本。

中了exe病毒恢复数据步骤: （1) for /f “delims=” %%i in (‘dir /ah /s/b’) do attrib “%%i” -s -h 另存为.bat 保存到u盘 （2）执行，

客户就是太着急，，才导致的问题，，幸好没给u盘格式化，