|
|
3 V- p. V( }) \2 y1 ]7 v& H+ }这就是文件夹出现的情况 (西安特快 小超搜集整理)早上在论坛看到网友“无敌新人王”发帖求助到:救命!我的电脑中了病毒!症状如下:硬盘中文件夹的都有.exe的后缀。而且查看属性一看本来几G的内容,变成了1点几M。但是文件夹双击还是能打开,就是速度变慢了许多。而且我还发现,这个病毒传染呢,我电脑的硬盘、移动硬盘还有mp3的文件夹都有这种情况,我用软件杀毒还杀不掉,真是郁闷死了……到底这是什么病毒啊?厉害么?怎么样能杀掉啊?我硬盘里还有很多重要的东西不会要格式化吧?神啊救救我吧!!!
$ Q8 d- D8 e! t( f 呵呵,估计神仙倒是救不了你,小超倒是能帮帮你,不过小超可不是神仙啊,哈哈。听到“无敌新人王”说的这个情况,小超我是没有遇到过,不过问了问周围的同事,他们中倒是有遇见过的,当时也是不知所措,不过后来发现这种病毒也没有想象中的那么恐怖。 ~: }. c& @7 A6 C+ X0 v% u; c
以下就是小超找到的一些相关的资料和杀毒办法,相信能够帮助你:) e! J+ n- P" @; S" G6 Z! C- G
病毒名称:同名文件夹EXE病毒------木马名称:Worm.Win32.AutoRun.soq
/ ]6 z6 c+ c7 J- J, h4 q( C! B 症状:该病毒中毒症状是,任务管理失效,文件夹和文件都被重命名,然后就瘫痪了 r5 H" C% j) p& n+ y8 A: X
病毒原理及相关分析:一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中**是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如 软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。
4 P- c' M$ D8 O C; R8 r- H% O' o- c g
病毒名称:Worm.Win32.AutoRun.soq1 s0 T- n$ F4 e4 Q- P$ e+ D6 g
) B) N0 c+ U! \- l 病毒类型:蠕虫类
3 ]% K7 Q, Z2 D$ D
1 Z8 a+ E0 F* n: Q; w 危害级别:36 s4 p2 D8 ~/ y* F R
9 ]( C2 k2 F" v( C. E! k* a2 K
感染平台:Windows$ J/ b% ?$ }9 g. N' I) F6 I4 Z
' R; B- X$ M. I
病毒行为:
5 |0 f. g5 ?* E% M& x/ d
4 [8 N. z: ]7 r, W+ P 1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)到系统盘的\WINDOWS\system32里面2 D' z9 R0 ?8 s, u
2 h* `5 ^% u; y% n. }2 e2 B 2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。
7 K( L; `# L3 G( ~2 q9 t. B" E+ y6 P8 d( P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
( @& w5 \# a, x# Z: n& z+ A# P1 L: B3 Y2 a( Z
注册表值:XP-290F2C69(后8位随机)! _+ c, F# I* r0 j8 q% u4 Y
4 m" Z7 o# A! p g8 Z) c
类型:REG_SZ
: \- ~- m! Y& }" O0 e" ]/ r, T. W" c7 r8 {+ b+ A
值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)
& }$ J) h. y! J; d8 _) P# a$ ]. m0 i! ?5 m9 d9 x
3、添加以下启动项,实现病毒自启动:; ?+ [; l* T: r# i
/ s: {% m$ t9 j Z% t# b" ~
“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。! [( @, B: l4 ^0 v% s) G
) M: s* I% O5 y: a, `
4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件,并且运行它们:) S8 [- g( L* ?1 q- X6 [
9 V+ P( R: W) h5 ] %Windir%\System32\winvcreg.exe
5 Z( |8 O- M/ ^$ {$ \ P0 ^8 m' ]
6 N7 W* C7 p' B- \$ P %Windir%\System32\2080.EXE (名称随机) + x& }, s# j" u5 O+ ~
1 n3 d9 y- k* ~3 M. {8 `6 d( F, C 5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移。动磁盘传播的目的2 s/ a/ i# v$ i2 S; W# k" c% s
二、解决方案3 ?0 M! H; F; v) P3 ]+ f2 h6 B
1 y i9 m. G' O2 U6 W 专杀清除方法:
9 o5 ?" q0 r8 U) z I" k
2 c% [$ r9 u5 H5 d5 e 到这里下载专杀“文件夹同名病毒专杀” http://www.qupan.com/down/tzc0120_2204003.html& n& [. x9 a1 o5 {$ P% D2 `
2 ~. j" m4 y* F 建议再下载usbcleaner20081119.zip7 o& `" J3 G3 g5 e+ N- w( v" d2 u l
7 s7 t: G( G% L 手工清除方法:4 r: s' @8 b2 T2 y
0 Y y( b( b) S7 i# ~: t1 G 1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。, l3 H9 `2 Q" F. Z! G" E
1 U* i# P: z7 f o$ f; Z" q 2、删除病毒在System32生成的以下文件:
: W; a3 V0 r" Q9 W8 B- d
/ r+ e8 J2 q' G# c' h com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名) 3 c. l; K; G Z( p/ c, u; r
# E a# _1 d7 z" n! @- `- v
3、删除病毒的启动项,删除以下启动项:
: c9 g) z7 M6 L s4 Y( J) T7 A
6 V" O# C, f# \: ]9 y) ~ “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);
2 i [( r* Z& m& [, _6 _2 {: ~ l$ ]$ I) P( @
“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。
8 F. M: R' `" A9 i0 J
5 ^6 i" g' S6 b 4、显示移动磁盘里隐藏的原有文件夹,方法是:工具--文件夹选项--查看--取消"隐藏受保护的操作系统文件"前的勾,以及选择"显示所有的文件和文件夹"确定,并删除以文件夹图标为图标的exe病毒文件。
% M$ U5 n% _/ u D* h% b; J/ R- F. j4 z& [5 v7 V* z
三、安全建议
+ i b; l6 i/ {( _ S, A/ f) n8 ^# k- h- ^( u
养成右键打开U盘的习惯,建议安装360安全卫士- h; u4 }) T+ U& S# e7 T4 h
9 Y: [) {( _- I+ G 或者是开启USBCleaner的Usbmon.exe保护程序: t8 i& F* I: X/ h2 n" N4 _( n
小超建议使用专杀工具进行杀毒处理,省时省力。如果你是高手的话那就推荐手动处理。不管哪款总有一款适合你,最后小超再次提醒,网上病毒多,浏览下载多谨慎!
8 Y7 r/ h7 {5 { |
1 o- r o: v: g5 X/ ^
|
|
|
IP卡
狗仔卡
发表于 2009-3-22 00:07:37
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
