计算机技术论坛

 找回密码
 立即注册
  • 欢迎访问 计算机技术论坛-电脑迷与初学者的家园!由于论坛管理严格,新注册会员可能遇到各种问题,无法解决的请发邮件 admin@jsjbbs.cn
查看: 6818|回复: 2

文件夹EXE病毒的解决方案

[复制链接]
发表于 2015-5-22 11:35:37 | 显示全部楼层 |阅读模式
木马名称:Worm.Win32.AutoRun.soq 当你把你的U盘插入到一台电脑后,突然发现U盘内生成了以文件夹名字命名的文件,扩展名为exe,并且它们的图标跟windows xp默认的文件夹图标是一样的,很具有迷惑性。杀毒不如防毒本人亲证,及时更新win7操作系统,xp已漏洞百出。

1、病毒感染现象
  • 莫名其妙文件夹画质和分辨率降低,似乎打了马赛克。当然,图标大才看的出来;
  • 分区与U盘容量突然减少,常达50MB;
  • 打开文件夹,突然出现延迟,甚至卡顿;
  • 搜索可执行文件。不知如何搜索结果量急剧膨胀,常达2000以上;
  • 想修改某文件扩展名,修改文件夹选项后突然扩展名消失,或者卡顿后扩展名消失;
  • 删除文件夹,发现删除后还是会再次出现;
  • 杀毒软件频繁报毒;
  • 出现“拒绝访问”的文件夹;
  • 结束一个进程(必须是非系统进程),确认没有打开任何程序。打开文件夹后进程重新出现;
  • autorun.inf出现;
  • 结束进程后修改文件夹选项,出现两个同名文件夹图标文件。一个黯淡显示,一个马赛克较深;


2、相关分析一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中****是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,并建立autorun.inf自动播放文件,和Recycled.exe的病毒文件,当不知道的人点击这个假冒的文件夹时,就会激活病毒。并且这种病毒变种很多,一般的杀毒软件都不会有所提示。
补充:生成的同名EXE文件,双击运行后,病毒程序执行,但还是会打开此文件夹以此迷惑你,一般不会引起注意,很具有迷惑性。
病毒名称:Worm.Win32.AutoRun.soq
病毒类型:蠕虫类
危害级别:3
感染平台:Windows

3、病毒行为1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面
2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值:XP-290F2C69(后8位随机)
类型:REG_SZ
值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)
3、添加以下启动项,实现病毒自启动:
“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。
4、下载病毒文件: (16,896 字节)保存为以下文件,并且运行它们:
%Windir%\System32\winvcreg.exe
%Windir%\System32\2080.EXE (名称随机)
5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移动磁盘传播的目的。

4、解决方案专杀清除方法下载杀毒软件。

手工清除方法1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。
2、删除病毒在System32生成的以下文件:
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)
3、删除病毒的启动项,删除以下启动项:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);
“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。
4、点击“开始”---“运行”----输入“cmd” ,进入命令提示符,然后进入你U盘所在的根目录,具体操作如下,比如你的U盘盘符位G,那么依次运行如下命令(第一行的“G:”为你的U盘盘符):
cd /d G:
for /f "delims=" %a in ('dir /b /ad') do (del /a /f /q "%a.exe")
for /f "delims=" %a in ('dir /b /adh') do (attrib -s -h -r "%a")


5、防范方法1:一定要注意在网上下载的任何程序。最好全部进行扫描。如果没有杀软,请不要下载外挂、盗版游戏、黑客工具等高危软件。请注意,有的安装程序会有捆绑,安装时一定要把隐蔽处的“√”叉掉。
2:当你不能杀掉病毒,但是U盘必须插入工作,请一定要结束进程。(比如我的学校由于U盘交叉感染,我要求每一个U盘都例行检查,并结束掉病毒进程。)
3:尽量把电脑设置为:
A、显示所有隐藏的文件
B、显示所有文件的扩展名

经过这样处理后,所有的exe文件的扩展名都会暴露,并且隐藏的文件夹会由于系统设置(文件夹一般在前)而跑到病毒文件之前。这样就减少了病毒执行的可能性。但是要注意!当病毒存在进程时,它会狂扫文件夹选项的设置。如果存在异常,会马上恢复。请先结束进程。

发表于 2015-6-5 15:50:26 | 显示全部楼层
好详细,我之前只是把exe文件找到,然后删除。再把原来的文件夹显示出来。或者把文件夹里面的文件拷贝出来之后,文件夹删除。
老大这个太详细了。

点评

原来我也是自己找源文件,这些放心也是我从别的地方找出来分享到这里的。  详情 回复 发表于 2015-6-9 16:28
 楼主| 发表于 2015-6-9 16:28:40 | 显示全部楼层
最后一片落叶 发表于 2015-6-5 15:50
好详细,我之前只是把exe文件找到,然后删除。再把原来的文件夹显示出来。或者把文件夹里面的文件拷贝出来 ...

原来我也是自己找源文件,这些放心也是我从别的地方找出来分享到这里的。{:soso_e100:}

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

无图版|手机版|计算机技术论坛 JSJBBS.CN 2008-2019 ( 鲁ICP备17021708号 )

技术支持 : 北京康盛新创科技有限责任公司

快速回复 返回顶部 返回列表