|
8 t! a% c( v! C3 _
这就是文件夹出现的情况 (西安特快 小超搜集整理)早上在论坛看到网友“无敌新人王”发帖求助到:救命!我的电脑中了病毒!症状如下:硬盘中文件夹的都有.exe的后缀。而且查看属性一看本来几G的内容,变成了1点几M。但是文件夹双击还是能打开,就是速度变慢了许多。而且我还发现,这个病毒传染呢,我电脑的硬盘、移动硬盘还有mp3的文件夹都有这种情况,我用软件杀毒还杀不掉,真是郁闷死了……到底这是什么病毒啊?厉害么?怎么样能杀掉啊?我硬盘里还有很多重要的东西不会要格式化吧?神啊救救我吧!!!
1 v r, H2 \3 k# t6 n2 r 呵呵,估计神仙倒是救不了你,小超倒是能帮帮你,不过小超可不是神仙啊,哈哈。听到“无敌新人王”说的这个情况,小超我是没有遇到过,不过问了问周围的同事,他们中倒是有遇见过的,当时也是不知所措,不过后来发现这种病毒也没有想象中的那么恐怖。) F; Q8 K; [1 k7 M q7 M
以下就是小超找到的一些相关的资料和杀毒办法,相信能够帮助你:! r- a$ d/ e1 L- f
病毒名称:同名文件夹EXE病毒------木马名称:Worm.Win32.AutoRun.soq8 E r. K/ L' ]* `/ r8 W
症状:该病毒中毒症状是,任务管理失效,文件夹和文件都被重命名,然后就瘫痪了 6 j$ l: f3 |( } g8 z5 U! e
病毒原理及相关分析:一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中**是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如 软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。
+ N7 A. b5 N# y
! R4 d3 i9 X5 t) n6 V: b- W. ` 病毒名称:Worm.Win32.AutoRun.soq
/ F6 }4 |) Y1 g# S
) l' Q0 n, F @) d 病毒类型:蠕虫类
9 Q" U, S! W$ O2 s8 ]1 F6 T" [2 `5 V8 U
危害级别:3: j' k: `: s3 X* q. C: \& c
5 q: G6 I- w9 x1 M/ h" x3 y 感染平台:Windows
# f* @% P6 q* s: ~" c2 p2 e# W& w
7 Q, j- m* v2 W) p 病毒行为:
9 r2 u! V! V& p! }$ G9 J# u7 E1 ?/ J% Z& d, E" ~
1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)到系统盘的\WINDOWS\system32里面5 _) }& W( f/ ?4 M3 K7 r% j
$ n1 Q8 y9 l% |9 q 2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。
' i8 |( e8 R$ W% e/ U/ y% q3 X; ` R# R- B T# w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
$ r& h" Q, p3 t. o X/ T1 O+ L9 M& Y9 J. v' f; ?8 y- u
注册表值:XP-290F2C69(后8位随机)% [8 k: u" d( W J
1 V; x$ m/ s9 w; _
类型:REG_SZ& K5 o* L$ B) z7 _9 M& ~
% C/ C7 J0 D3 ]3 w! r7 w0 O! I% [ 值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机), l$ G2 e- v' \8 X, N
6 f4 Y; U3 q7 P
3、添加以下启动项,实现病毒自启动:
( Y# L- w7 m1 F8 a
" o6 ?4 B3 L5 v: N* C# ?' { “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。! Z( Q4 a5 D9 r$ w6 f6 A% y
% x3 ? g ~6 F% e# C 4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件,并且运行它们:
7 B) U- H7 ^7 ^1 \
9 K1 ?# e c5 U( \; i* b %Windir%\System32\winvcreg.exe
( X+ U& |* ?2 g4 E* L5 m6 {4 R1 F, A+ ?. _) q0 v$ I
%Windir%\System32\2080.EXE (名称随机) & c1 p; A) ?' r9 n( U
, X3 f( g5 S [) r1 ?( Z
5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移。动磁盘传播的目的
& Y* ~; m9 J2 I 二、解决方案
( r: N/ {# L: X, i( H8 y( `5 g: u) I$ I& A% K
专杀清除方法:
% F7 |' d7 g: A0 }) D4 i0 X- v( I2 ^8 k* P: X& `8 e/ ]! A
到这里下载专杀“文件夹同名病毒专杀” http://www.qupan.com/down/tzc0120_2204003.html
) R8 o! g1 d6 R" W
0 [ E. y7 E) T" R/ E 建议再下载usbcleaner20081119.zip
. P8 z- y. q1 p) `9 s% c% c2 r/ k- f! l @' S4 u2 l
手工清除方法:
2 `4 d- P2 }# D$ `& w
( i9 G ?3 k& W 1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。/ I6 s4 ?( x+ U f2 ]% ~8 f
1 u7 b% E5 _) L L1 T1 R; o 2、删除病毒在System32生成的以下文件:
! O2 t/ ]# E/ l0 f p) L- W( S
% ?9 S7 Q ?* D E$ ^* R: ^ com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名) ( W0 ~, v6 a% T4 a
: @; O& ?- w; c" J
3、删除病毒的启动项,删除以下启动项:
) W( y' o; H/ p% ]' `
: g2 O/ S9 s5 Q “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);: W$ g: B! e$ B4 T( t \
% N$ ~$ w% ^$ ^, E6 z/ w9 z& x “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。
5 X( u% ?( D' Q" l* K& p- }2 ?7 D: Z' C0 B p4 i4 N% x
4、显示移动磁盘里隐藏的原有文件夹,方法是:工具--文件夹选项--查看--取消"隐藏受保护的操作系统文件"前的勾,以及选择"显示所有的文件和文件夹"确定,并删除以文件夹图标为图标的exe病毒文件。
# G1 Y4 s) d. R; E$ ^2 [" ?' g% j, n4 E& E
三、安全建议
2 X8 z" X6 D7 x) s& D' |( F0 C+ H* t) U8 B# e6 k) s9 ?5 J8 R
养成右键打开U盘的习惯,建议安装360安全卫士
3 ?# `( p1 M* J& Z3 S: p+ u6 u9 r/ e* l, z- T" d
或者是开启USBCleaner的Usbmon.exe保护程序
; A ^4 A% F: ?4 O9 f+ h 小超建议使用专杀工具进行杀毒处理,省时省力。如果你是高手的话那就推荐手动处理。不管哪款总有一款适合你,最后小超再次提醒,网上病毒多,浏览下载多谨慎!2 E; W) x5 a3 d' J! s, f6 C& C
|
( H9 m+ C# t9 m' m3 E |
|
|