|
: ^1 m4 F) \8 Z3 K. ^) E
这就是文件夹出现的情况 (西安特快 小超搜集整理)早上在论坛看到网友“无敌新人王”发帖求助到:救命!我的电脑中了病毒!症状如下:硬盘中文件夹的都有.exe的后缀。而且查看属性一看本来几G的内容,变成了1点几M。但是文件夹双击还是能打开,就是速度变慢了许多。而且我还发现,这个病毒传染呢,我电脑的硬盘、移动硬盘还有mp3的文件夹都有这种情况,我用软件杀毒还杀不掉,真是郁闷死了……到底这是什么病毒啊?厉害么?怎么样能杀掉啊?我硬盘里还有很多重要的东西不会要格式化吧?神啊救救我吧!!!
! q$ x6 s& J' g( D9 O 呵呵,估计神仙倒是救不了你,小超倒是能帮帮你,不过小超可不是神仙啊,哈哈。听到“无敌新人王”说的这个情况,小超我是没有遇到过,不过问了问周围的同事,他们中倒是有遇见过的,当时也是不知所措,不过后来发现这种病毒也没有想象中的那么恐怖。
# _: s& a: J4 C0 F2 A) O 以下就是小超找到的一些相关的资料和杀毒办法,相信能够帮助你:4 {& B" R: |, A" N
病毒名称:同名文件夹EXE病毒------木马名称:Worm.Win32.AutoRun.soq/ Q! o l+ [! q8 T1 t: n! p, e4 R( ]
症状:该病毒中毒症状是,任务管理失效,文件夹和文件都被重命名,然后就瘫痪了 $ V+ x+ _& T+ {
病毒原理及相关分析:一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中**是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如 软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。2 p' t0 N9 f) S3 l2 n0 x8 p8 q
. E1 ~# G! }) `! c+ B9 z 病毒名称:Worm.Win32.AutoRun.soq6 i4 E/ e0 j$ b( ?
/ m$ z+ e2 S; R6 q
病毒类型:蠕虫类
9 p" `) v; s: Z& |* X4 a7 A) @
/ j& Z. i B: u: P1 Y, B 危害级别:3
; S% }4 o6 l- U# W& b# r+ }% [+ `
感染平台:Windows# m- y7 p2 s H# E+ D O
0 e, u* m( J4 i" r; J 病毒行为:
; H( K. C& ~* x
4 c" w$ x+ @, k8 h 1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)到系统盘的\WINDOWS\system32里面0 B3 S7 a4 p- g R3 F# s
) x; i4 w e8 \- x
2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。
: P! ?5 P: ]5 T5 ~, I8 {
0 Y8 n5 D( N) r HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
. w0 W; y1 i ]8 Y0 I1 T! k' V$ T- j" C9 r! k8 u, Z/ I
注册表值:XP-290F2C69(后8位随机)1 y! [2 l8 h$ L7 }" Q% A; a% M7 T& r7 o
5 y% T; `* I3 w B9 e) E" @) S
类型:REG_SZ
' n% f$ L9 v0 V9 \9 ^! C! S" U) }! U; Q1 c# f2 v- l" R
值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)( L; {' M' x8 L# c, m
1 v$ j2 e6 Z3 u# H2 ^1 r+ y1 @
3、添加以下启动项,实现病毒自启动:
7 R2 y8 x1 ]) K7 H8 `9 l1 U
* P4 I( J; M, c- s% {+ i$ `: b& S “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。! W/ l. Y$ X8 g# r6 L* Q
, `6 Z8 s9 v/ b9 M
4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件,并且运行它们:6 l9 Z- q' i) Q+ j
9 m* T2 }1 Y: E' l %Windir%\System32\winvcreg.exe
; {- C9 u" v0 {3 s6 N
2 O1 ?6 g) Y( p- v- f% T %Windir%\System32\2080.EXE (名称随机) # I/ e$ W; [( E2 K3 a
" @- L: D& G' f' r* I, Q
5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移。动磁盘传播的目的, S+ j; J* `3 M
二、解决方案
: i( [! a2 H- a) M9 o" I! c9 Y# [, H
1 w- M5 G! p/ Z% y6 y+ T 专杀清除方法:) X4 _6 [3 q% t6 |$ f" v/ ~
3 R. `; e7 G4 e6 f8 [' S L J, U4 ~0 e 到这里下载专杀“文件夹同名病毒专杀” http://www.qupan.com/down/tzc0120_2204003.html) s' {7 `- Q5 ~) p. Y+ D |/ t
- o; L5 j6 ^5 q4 ` 建议再下载usbcleaner20081119.zip
! Q- Z! D: A" o* b
( o- h N+ T4 V8 s6 ]: D7 v 手工清除方法:
$ T+ a8 h# }, B! m: s& @
& S/ m' O: c& u* b 1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。" _, ~" v8 {% {. F
& q$ t( U2 ]; r' i9 W 2、删除病毒在System32生成的以下文件:
* r: y1 U! U% q+ W
0 d! h. P# D5 `7 I9 E" _& |) M com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)
$ A% Q, ^* d6 S+ ^8 P7 E+ b) ?6 V; O5 f1 \
3、删除病毒的启动项,删除以下启动项:" a8 G$ \* V: s0 n" r
9 @' ?% |1 e. g
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);6 X# h/ l0 Q8 o6 v% a' J
: K' @$ G# L3 B: [2 x “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。
0 a) r3 `. b1 S2 U6 W& l2 y) h P3 H
) ?- v) O% ~/ i: M- ~ 4、显示移动磁盘里隐藏的原有文件夹,方法是:工具--文件夹选项--查看--取消"隐藏受保护的操作系统文件"前的勾,以及选择"显示所有的文件和文件夹"确定,并删除以文件夹图标为图标的exe病毒文件。' J- e! y& O! L. r
" H1 M4 T& U+ }: R; ]2 P3 ]
三、安全建议
' e; S( B# d1 ~6 \" c& s* ?. ?* w4 S0 X' Q3 i% W
养成右键打开U盘的习惯,建议安装360安全卫士' _( n: Y% ^7 d* y, M' V( P
8 S$ g; w F- L, b 或者是开启USBCleaner的Usbmon.exe保护程序0 G) G# T# S% c: |; [
小超建议使用专杀工具进行杀毒处理,省时省力。如果你是高手的话那就推荐手动处理。不管哪款总有一款适合你,最后小超再次提醒,网上病毒多,浏览下载多谨慎!
9 \7 A8 B8 d% j l Y/ Q0 K |
+ w- h& @% g0 W; ^8 t9 F: R$ ~ |
|
|