文件夹EXE病毒的解决方法pc软件 文章资讯 手机软件

您当前的位置→图文中心电脑技术文件夹EXE病毒的解决方法

文件夹EXE病毒的解决方法


2009/8/20  编辑:佚名 来源:本站整理  关键词:

文件夹EXE病毒的解决方法

 

文件程序夹EXE病毒

  同名文件程序夹EXE病毒:
 
  木马名称:Worm.Win32.AutoRun.soq
 
  当您把您的U盘插入到一台电脑后, 突然发现U盘内生成了以文件程序夹名字命名的文件程序, 扩展名为exe, 更要命的是它们的图标跟文件程序夹是一样的, 很具有迷惑性。 相信很多人见到过这种情况, 我已经就在百度知道上回答了同一个个问题N次了, 但是还是有人会中奖, 所以就在这里建立一个百科, 真的希望对大家有用。
 
  一、病毒原理及相关分析
 
  一台电脑中毒后, 电脑里面会有一个 XP-****.exe(其中****是一个大写字母与数字混合, 如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程, 同一个时间建立D7F45.exe及一个文件程序夹的几个启动项, 当您插入U盘后, 它会把原文件程序夹隐身, 同一个时间建立同名的EXE文件程序夹, 例如 软件.exe 这样的病毒文件程序夹, 文件程序夹大小为1.44M, 不知道的人双击就一定会中毒。
 
  病毒名称:Worm.Win32.AutoRun.soq
 
  病毒类型:蠕虫类
 
  危害级别:3
 
  感染平台:Windows
 
  病毒行为:
 
  1、病毒运行后会释放以下文件程序:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件程序, 而是汉语编程易语言的支持库文件程序)到系统system盘的\WINDOWS\system32里面
 
  2、新增以下注册表项, 已达到病毒随系统system启动而自启动的目的。
 
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
  注册表值:XP-290F2C69(后8位随机)
 
  类型:REG_SZ
 
  值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)
 
  3、添加以下启动项, 实现病毒自启动:
 
  “C:\Documents and Settings\Administrator\「现在开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件程序。
 
  4、下载病毒文件程序: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件程序, 并且运行它们:
 
  %Windir%\System32\winvcreg.exe
 
  %Windir%\System32\2080.EXE (名称随机)
 
  5、被感染的电脑接入移动磁盘后, 病毒会遍历移动磁盘根目录下的文件程序夹, 衍生自身到移动磁盘根目录下, 换名字为检测到的文件程序夹名称, 修改原文件程序夹属性为隐藏, 使用户就在其他电脑计算机使用移动磁盘打开其文件程序夹时运行病毒, 以达到病毒随移动磁盘传播的目的。
 
  二、解决处理方案
 
  专杀消除方法:
 
  下载瑞星等杀毒软件。 (网上有免费正版的, 只不过好像只能使用半年左右)
 
  手工消除方法:
 
  1、结束病毒进程。 打开超级巡警, 选择中进程管理功能, 终止进程XP-290F2C69.EXE(后8位随机), winvcreg.exe, 2080.exe(随机名)。
 
  2、删除病毒就在System32生成的以下文件程序:
 
  com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)
 
  3、删除病毒的启动项, 删除以下启动项:
 
  “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);
 
  “C:\Documents and Settings\Administrator\「现在开始」菜单\程序\启动” 里的“ .lnk”。
 
  4、手工删除后缀为exe的文件程序,之后显示被隐藏的文件程序夹。 用鼠标点击“现在开始”---“运行”----输入“cmd” , 进入命令提示符, 之后进入您U盘所就在的根目录, 具体操作如下, 比如您的U盘盘符位G, 那么就输入“g:”就在回车就可以能够了。 最后, 输入如下命令:attrib -r -a -s -h *.* /s /d。
 
  三、安全主张
 
  养成右键打开U盘的习惯, 主张安装360安全卫士
 
  或者是启动USBCleaner的Usbmon.exe保护程序
 
  这个毒是小毒来的, 只要您装了360, 启动了除ARP防火墙(可根据记录个人再启动)其余的实时保护, 就不会再怕那个毒了
 
  虽然是小毒, 但是safe360当前最新版(比如就在目前的5.0)、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0版都杀不了这个毒, 甚至查都查不出来, 当然, 病毒库都是当前最新的, 除了专杀好象其他杀软都对这个毒忽略了, 让我感到意外的是瑞星居然还能查杀, 虽然我对瑞星的杀毒能力会一直不断持怀疑态度, 这个毒的数据信息我也提交了好几次, 但是杀软和这个毒会一直不断相安无事。
 
  当前最新消息, 就在目前KAV7.0的当前最新病毒库已经能查杀该病毒了(有可能是变种)
 
相关文章
  • 蘑菇ROM助手提取IMG文件内容的方法
  • CAD保存文件时出现致命错误如何处理怎么解决?
  • CAD2007创建新文件的方法,AutoCAD 2007如何新建文件?
  • 腾讯微云同步文件的方法?腾讯微云怎么才能够同步文件
  • CAD2007转换成CAD2005方法?AutoCAD2007文件如何转换成AutoCAD2005?
  • DWG文件怎么可以转换成彩色JPG图片?
  • 360安全卫士怎么粉碎文件?360安全卫士如何粉碎文件?
  • 如何把wps文件转换成word?wps格式转换成word的方法技巧
  • Win10系统下avi文件无法打开怎么办?
  • 压缩文件修复,压缩文件解压失败了怎么办?
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图