pc软件 文章资讯 手机软件

您当前的位置→图文中心电脑技术文件夹EXE病毒的解决方法
阅读排行

文件夹EXE病毒的解决方法


2009/8/20  编辑:佚名 来源:本站整理

文件夹EXE病毒

  同名文件夹EXE病毒:

 
  木马名称:Worm.Win32.AutoRun.soq

 
  当你把你的U盘插入到一台电脑后, 突然发现U盘内生成了以文件夹名字命名的文件, 扩展名为exe, 更要命的是它们的图标跟文件夹是一样的, 很具有迷惑性。 相信很多人见到过这种情况, 我已经在百度知道上回答了同一个问题N次了, 但是还是有人会中奖, 所以在这里建立一个百科, 希望对大家有用。

 
  一、病毒原理及相关分析

 
  一台电脑中毒后, 电脑里面会有一个 XP-****.exe(其中****是一个大写字母与数字混合, 如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程, 同时建立D7F45.exe及一个文件夹的几个启动项, 当你插入U盘后, 它会把原文件夹隐身, 同时建立同名的EXE文件夹, 例如 软件.exe 这样的病毒文件夹, 文件夹大小为1.44M, 不知道的人双击就会中毒。

 
  病毒名称:Worm.Win32.AutoRun.soq

 
  病毒类型:蠕虫类

 
  危害级别:3

 
  感染平台:Windows

 
  病毒行为:

 
  1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件, 而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面

 
  2、新增以下注册表项, 已达到病毒随系统启动而自启动的目的。

 
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 
  注册表值:XP-290F2C69(后8位随机)

 
  类型:REG_SZ

 
  值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)

 
  3、添加以下启动项, 实现病毒自启动:

 
  “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。

 
  4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件, 并且运行它们:

 
  %Windir%\System32\winvcreg.exe

 
  %Windir%\System32\2080.EXE (名称随机)

 
  5、被感染的电脑接入移动磁盘后, 病毒会遍历移动磁盘根目录下的文件夹, 衍生自身到移动磁盘根目录下, 更名为检测到的文件夹名称, 修改原文件夹属性为隐藏, 使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移动磁盘传播的目的。

 
  二、解决方案

 
  专杀清除方法:

 
  下载瑞星等杀毒软件。 (网上有免费正版的, 只不过好像只能使用半年左右)

 
  手工清除方法:

 
  1、结束病毒进程。 打开超级巡警, 选择进程管理功能, 终止进程XP-290F2C69.EXE(后8位随机), winvcreg.exe, 2080.exe(随机名)。

 
  2、删除病毒在System32生成的以下文件:

 
  com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)

 
  3、删除病毒的启动项, 删除以下启动项:

 
  “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);

 
  “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。

 
  4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。 点击“开始”---“运行”----输入“cmd” , 进入命令提示符, 然后进入你U盘所在的根目录, 具体操作如下, 比如你的U盘盘符位G, 那么就输入“g:”在回车就可以了。 最后, 输入如下命令:attrib -r -a -s -h *.* /s /d。

 
  三、安全建议

 
  养成右键打开U盘的习惯, 建议安装360安全卫士

 
  或者是开启USBCleaner的Usbmon.exe保护程序

 
  这个毒是小毒来的, 只要你装了360, 开启了除ARP防火墙(可根据个人再开启)其余的实时保护, 就不再怕那个毒了

 
  虽然是小毒, 但是safe360最新版(比如目前的5.0)、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0版都杀不了这个毒, 甚至查都查不出来, 当然, 病毒库都是最新的, 除了专杀好象其他杀软都对这个毒忽略了, 让我感到意外的是瑞星居然还能查杀, 虽然我对瑞星的杀毒能力一直持怀疑态度, 这个毒的数据我也提交了好几次, 但是杀软和这个毒一直相安无事。

 
  最新消息, 目前KAV7.0的最新病毒库已经能查杀该病毒了(可能是变种)

 

相关文章

编辑PDF文件实用说细教程:现在很多人的工作中,需要用到PDF文件了。

快速找回ppt文件的简单方法:快速找回ppt文件的简单方法PPT文件修复工具1.0绿色免费版PowerPoint文件修复工具运行环境:Win9X/2000/XP/2003/win7/vista|ME/|NT软件语言:简体中文|授权方式:绿色免费版软件类型:国产软件-应用...。

如何在PDF文件中修改图片透明度?:如何在PDF文件中修改图片透明度?捷速PDF编辑工具v1.1绿色最新版运行环境:PC-windows操作系统软件语言:简体中文|授权方式:绿色最新版软件类型:国产软件-应用软件-pdf阅读器软件大小:463KB下载地址1、在电脑上运行捷速P...。

发表评论
网站帮助 - 广告合作 - 下载声明 - 网站地图