|
|
1 H \3 D. w1 f" Y0 k
这就是文件夹出现的情况 (西安特快 小超搜集整理)早上在论坛看到网友“无敌新人王”发帖求助到:救命!我的电脑中了病毒!症状如下:硬盘中文件夹的都有.exe的后缀。而且查看属性一看本来几G的内容,变成了1点几M。但是文件夹双击还是能打开,就是速度变慢了许多。而且我还发现,这个病毒传染呢,我电脑的硬盘、移动硬盘还有mp3的文件夹都有这种情况,我用软件杀毒还杀不掉,真是郁闷死了……到底这是什么病毒啊?厉害么?怎么样能杀掉啊?我硬盘里还有很多重要的东西不会要格式化吧?神啊救救我吧!!!- o; j9 M4 }! y% I- K- z& _
呵呵,估计神仙倒是救不了你,小超倒是能帮帮你,不过小超可不是神仙啊,哈哈。听到“无敌新人王”说的这个情况,小超我是没有遇到过,不过问了问周围的同事,他们中倒是有遇见过的,当时也是不知所措,不过后来发现这种病毒也没有想象中的那么恐怖。+ s) Q9 {0 R# e- Q
以下就是小超找到的一些相关的资料和杀毒办法,相信能够帮助你:7 Y2 S* P2 d: u
病毒名称:同名文件夹EXE病毒------木马名称:Worm.Win32.AutoRun.soq
* L, d0 z' K0 f0 z& T 症状:该病毒中毒症状是,任务管理失效,文件夹和文件都被重命名,然后就瘫痪了
3 F ~0 ~0 }5 N8 E# R a a 病毒原理及相关分析:一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中**是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如 软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。 z9 Y7 ]& S b& E3 J1 _
- \$ M4 y' u) @( j. W. W
病毒名称:Worm.Win32.AutoRun.soq- T8 r g! j+ y- m" P( `
" F: ?) R+ k! m) y! \ 病毒类型:蠕虫类
, A! b5 E" V+ p! h, [$ P
3 y, l. E. [2 r 危害级别:39 z- U( K, T" R$ K2 j
) p7 h9 d- E+ [6 G1 K# L 感染平台:Windows
( e( Y! X7 r# D( s6 O7 O9 P8 D `0 _& M, T
病毒行为:( b( k6 ^# @) E% @
. s. n( X1 J6 p) Q- m! _ `* H( D 1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)到系统盘的\WINDOWS\system32里面
- a2 Q8 C: G$ q A; v- N
( v- s! u5 S8 m 2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。 ) g" z; E Z& B* ?$ N z
( a( R9 X( g P+ @/ C4 F
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run% D6 I7 I7 K9 v( u2 z6 b+ b
, Y0 E7 i7 V" a( d# O8 A( p t 注册表值:XP-290F2C69(后8位随机)
. ~5 G t8 W! |/ w6 p' Z7 q3 ?0 F1 |' E5 p8 j: q
类型:REG_SZ1 d' k9 }8 }7 v
% [0 Z5 | T7 F9 Z
值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)
( d! Q2 j. g# ?' K% c7 ? Z0 a* x* l/ _+ K/ {. }4 u; K! i
3、添加以下启动项,实现病毒自启动:& y, ]+ {! o* c( q2 ^1 Y v( u& E
& |9 d( U5 b5 q6 Y1 a/ j “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。
. |9 Z# H% ]( D( k. \0 q
* q& k- e' [+ _# z$ N 4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件,并且运行它们:
9 l0 k( P/ |0 V" ?8 H" c) E
6 h2 g6 @) t4 h! g$ j, P %Windir%\System32\winvcreg.exe ! k+ g' X z4 [% U. \
% i+ Z5 N1 l! J3 |
%Windir%\System32\2080.EXE (名称随机) 0 s4 P8 I; g1 \0 x/ l- \1 s
2 m2 ]: ~+ @# o& a3 W* z( \
5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移。动磁盘传播的目的
* E9 o# F5 ^% K6 f9 h 二、解决方案
* T4 K. [) ^. ~% v2 B
4 s& H5 }! I+ `, O 专杀清除方法:
) {' q! d4 f: I" A$ i" s4 E
% X! Q) @3 ~% r; p1 n% W$ V 到这里下载专杀“文件夹同名病毒专杀” http://www.qupan.com/down/tzc0120_2204003.html
* J0 S/ K0 D7 \, u; O$ \6 V- l+ K2 R0 K8 t
建议再下载usbcleaner20081119.zip
4 m8 G( d1 a3 J$ ~+ F6 M
! S" U' A* }# U/ ?. t- Q 手工清除方法:
$ \8 e# |4 T- w0 d6 K" Z* Y! H" I1 X1 b* U) Z1 k1 p! m
1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。
. u3 ^+ a% x7 E: ]* @4 u2 M5 E, u; Z' c5 C6 I# L: }
2、删除病毒在System32生成的以下文件:
' e" J8 u* P. C' E- n
# i- q9 x& j$ n' I com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名) / o4 m9 u$ h) Z, @4 s1 _
# h+ E! H H! X
3、删除病毒的启动项,删除以下启动项:
" F2 X. L: f) R9 `* z! }) [
" m) t+ ~1 b) c# A, G “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);
- R! [/ C' T, ^- f& ^# f8 ]/ N4 y- Q: s* k- y) H
“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。
$ N+ a) H" Q8 h# I" Z3 I v) i: N9 F5 j( }
4、显示移动磁盘里隐藏的原有文件夹,方法是:工具--文件夹选项--查看--取消"隐藏受保护的操作系统文件"前的勾,以及选择"显示所有的文件和文件夹"确定,并删除以文件夹图标为图标的exe病毒文件。4 J, x' t3 H) f2 D
5 A0 {+ U0 W' _5 r
三、安全建议# T3 ?" M: `! P2 y
4 h% O6 a. i2 G3 [
养成右键打开U盘的习惯,建议安装360安全卫士' E. h0 u/ D. e; _! V3 V! y
# }* N' r6 f/ n+ A, ^ 或者是开启USBCleaner的Usbmon.exe保护程序
+ G% \* t, z2 l8 ~1 h; k- E 小超建议使用专杀工具进行杀毒处理,省时省力。如果你是高手的话那就推荐手动处理。不管哪款总有一款适合你,最后小超再次提醒,网上病毒多,浏览下载多谨慎!
9 }8 K: h* Y# R8 c% j0 Y3 l4 b) O |
9 `% b; K1 T8 E' T5 u
|
|
|
IP卡
狗仔卡
发表于 2009-3-22 00:07:37
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
