資料夾EXE病毒
電腦在聯網的情況下, 或電腦經常使用U盤等即插即拔設備很容易中毒, 電腦中毒的情況有很多, 有的無法破解, 只能通過專業的資料恢復挽救, 而有的中毒可以自己處理, 比如檔或資料夾後輟變成.exe。
突然某天, 發現電腦中所有資料夾名字還是一樣, 但是格式都變“原檔案名.exe”, 而且所有這樣帶.exe資料夾容量都變的很小, 大小一樣。 這是中毒的一種表現, 如果碰到這樣的情況, 切記不要按兩下打開資料夾, 避免按兩下感染(中毒後, 儘量不要操作檔了, 如果需要的話, 就最好, 在檔案名上, 選擇右鍵打開)。
資料夾EXE病毒
資料夾EXE病毒
名稱:Worm.Win32.AutoRun.soq
當你把你的U盤插入到一台電腦後, 突然發現U盤內生成了以資料夾名字命名的檔, 副檔名為exe, 並且它們的圖示跟windows xp預設的資料夾圖示是一樣的, 很具有迷惑性。
先給大家介紹一下病毒感染的現象:
1.莫名其妙資料夾畫質和解析度降低, 似乎打了馬賽克。
2.分區與U盤容量突然減少, 常達50MB;
3.打開資料夾, 突然出現延遲, 甚至卡頓;
4.搜索可執行檔。 不知如何搜索結果量急劇膨脹, 常達2000以上;
5.想修改某檔副檔名, 修改資料夾選項後突然副檔名消失, 或者卡頓後副檔名消失;
6.刪除資料夾, 發現刪除後還是會再次出現;
7.殺毒軟體頻繁報毒;
8.出現“拒絕訪問”的資料夾;
9.結束一個進程(必須是非系統進程), 確認沒有打開任何程式。
10.autorun.inf出現;
11.結束進程後修改資料夾選項, 出現兩個同名資料夾圖示檔。 一個黯淡顯示, 一個較深。
如果出現上述現象, 一首《涼涼》帶給你。
分析病毒
接下來我們分析一下病毒行為:
病毒名稱:Worm.Win32.AutoRun.soq
病毒類型:蠕蟲類
危害級別:3
感染平臺:Windows
一台電腦中毒後, 電腦裡面會有一個 XP-****.exe(其中****是一個大寫字母與數位混合, 如XP-0B4C1.exe)的類似XP補丁的進程以及D7F45.exe的類似進程, 同時建立D7F45.exe及一個資料夾的幾個啟動項, 當你插入U盤後, 它會把原資料夾隱身, 同時建立同名的EXE資料夾, 並建立autorun.inf自動播放檔, 和Recycled.exe的病毒檔, 當不知道的人點擊這個假冒的資料夾時, 就會啟動病毒。 並且這種病毒變種很多, 一般的殺毒軟體都不會有所提示。
補充:生成的同名EXE檔, 按兩下運行後, 病毒程式執行, 但還是會打開此資料夾以此迷惑你, 一般不會引起注意, 很具有迷惑性。
病毒運行後會釋放以下檔:
1.com.run/dp1.fne/eAPI.fne/internet.fne/krnln.fn/rog.dll/og.edt/RegEx.fnr fne/spec.fne/ul.dll/XP-290F2C69.EXE(後8位隨機)到系統磁片的\WINDOWS\system32裡面
2.新增以下註冊表項, 已達到病毒隨系統啟動而自啟動的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
註冊表值:XP-290F2C69(後8位隨機)
類型:REG_SZ
值:
C:\WINDOWS\system32\XP-290F2C69.EXE(後8位隨機)
3.添加以下啟動項, 實現病毒自啟動:
“C:\Documents and Settings\Administrator\「開始」功能表\程式\啟動” 裡的“xx.lnk”指向病毒檔。
4.下載病毒檔: 保存為以下檔, 並且運行它們:
%Windir%\System32\winvcreg.exe
%Windir%\System32\2980.EXE (名稱隨機)
5.被感染的電腦接入移動磁片後, 病毒會遍歷移動磁片根目錄下的資料夾, 衍生自身到移動磁片根目錄下, 更名為檢測到的資料夾名稱, 修改原資料夾屬性為隱藏, 使使用者在其他電腦使用移動磁片打開其資料夾時運行病毒,
解決方法
最簡單的解決方法, 用殺毒軟體進行U盤查殺!
但是如果電腦上面沒有殺毒軟體怎麼辦?
只能手動查殺。
1.打開我的電腦, 選擇工具—資料夾選項—查看—隱藏受保護的作業系統檔(推薦)前選項方框空著——不顯示隱藏的檔, 資料夾或驅動器前圓圈空著——顯示隱藏的檔, 資料夾和驅動器前圓圈點著——隱藏已知檔案類型的副檔名前方框空著——點擊右下角“應用”, 把所有隱藏檔和檔副檔名顯示出來, 設置如圖。 如果所有的資料夾後輟都有.exe, 確定中毒。
找到病毒檔, 具體查找方式:
看資料夾大小是否一樣, 看名字是否顯示, 而非隱藏檔的虛白色。 如果資料夾大小一樣, 而且是非隱藏資料夾,
圖片來源網路, 因為我的U盤沒中毒, SO沒辦法截圖
接著在各個磁片中搜索autorun.inf和recycle.exe, 找到後刪除, 這樣就可以把病毒清除了, 資料夾會正常顯示。
我的電腦是xp系統, WIN7系統的操作類似。
2.也可以:
新建一個記事本檔, 在記事本中輸入
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]“CheckedValue"=dword:00000001
將新建文本的檔尾碼改為.reg
按兩下打開reg檔
然後新建第2個文字檔,
在檔中輸入
for /f "delims=" %%i in ('dir /ah /s/b') do attrib "%%i" -s -h
這是windows下的命令, 可以放到文字檔中, 保存為.bat批次檔, 然後按兩下該檔執行。
這串代碼的作用是在目前的目錄及其子目錄下搜索具有隱藏屬性(h)的檔, 並把它們的系統屬性(s)和隱藏屬性(h)去掉。 其實就是把之前隱藏的檔都顯示出來了。
將此檔保存重命名為檔案名.bat
將bat檔複製到U盤目錄中, 直接按兩下運行檔, U盤中隱藏的檔會全部出現,電腦會彈出重命名視窗,使用滑鼠點擊視窗中是按鈕。然後刪除所有的.exe文件。
防範方法
1.一定要注意在網上下載的任何程式,最好全部進行掃描。如果沒有殺軟,請不要下載外掛、盜版遊戲、駭客工具等高危軟體。請注意,有的安裝程式會有捆綁,安裝時一定要把隱蔽處的“√”叉掉。
2.當你不能殺掉病毒,但是U盤必須插入工作,請一定要結束進程。
3.儘量把電腦設置為:
顯示所有隱藏的檔
顯示所有檔的副檔名。
經過這樣處理後,所有的exe檔的副檔名都會暴露,並且隱藏的資料夾會由於系統設置(資料夾一般在前)而跑到病毒檔之前。這樣就減少了病毒執行的可能性。但是要注意!當病毒存在進程時,它會狂掃資料夾選項的設置。如果存在異常,會馬上恢復。請先結束進程。
讓心情去旅行
希望你可以記住我,記住我這樣活過,這樣在你身邊呆過。
——村上春樹《挪威的森林》
U盤中隱藏的檔會全部出現,電腦會彈出重命名視窗,使用滑鼠點擊視窗中是按鈕。然後刪除所有的.exe文件。防範方法
1.一定要注意在網上下載的任何程式,最好全部進行掃描。如果沒有殺軟,請不要下載外掛、盜版遊戲、駭客工具等高危軟體。請注意,有的安裝程式會有捆綁,安裝時一定要把隱蔽處的“√”叉掉。
2.當你不能殺掉病毒,但是U盤必須插入工作,請一定要結束進程。
3.儘量把電腦設置為:
顯示所有隱藏的檔
顯示所有檔的副檔名。
經過這樣處理後,所有的exe檔的副檔名都會暴露,並且隱藏的資料夾會由於系統設置(資料夾一般在前)而跑到病毒檔之前。這樣就減少了病毒執行的可能性。但是要注意!當病毒存在進程時,它會狂掃資料夾選項的設置。如果存在異常,會馬上恢復。請先結束進程。
讓心情去旅行
希望你可以記住我,記住我這樣活過,這樣在你身邊呆過。
——村上春樹《挪威的森林》