文件夹图标病毒
病毒介绍文件夹图标病毒不是一个病毒,而是具有类似性质的病毒的统称,此类病毒会将真正的文件夹隐藏起来,并生成一个与文件夹同名的EXE文件,并使用文件夹的图标,使用户无法分辨,从而频繁感染,一些用户的文件夹被隐藏影响正常的工作与学习。
文件夹图标病毒具有Autorun属性。该病毒是用易语言编写,运行后会在系统目录下生成类似XP-8B618895.EXE的病毒副本,其中8B618895是随机的,并搜索移动设备,生成autorun文件,并根据移动存储设备根目录文件夹名生成同名EXE文件,并将原文件夹隐藏起来。另外病毒还会删除临时文件及Cookies,删除IE访问记录TypedURL。
生成文件(以系统盘为C盘,winxp Sp3为例,U:代表U盘盘符)
C:WINDOWSsystem32XP-8B618895.EXE 1,501,856
C:WINDOWSsystem32ul.dll 2,404
C:WINDOWSsystem32og.dll 692
C:WINDOWSsystem32com.run 270,336
C:Documents and SettingsNick「开始」菜单程序启动.lnk 指向C:WINDOWSsystem32XP-8B618895.EXE(注意空格)
U:autorun.inf
U:Recycled.exe
在U盘根目录生成文件夹图标同名EXE文件
以下是易语言的库文件等:
C:WINDOWSsystem32dp1.fne
C:WINDOWSsystem32eAPI.fne
C:WINDOWSsystem32internet.fne
C:WINDOWSsystem32krnln.fnr
C:WINDOWSsystem32RegEx.fnr
C:WINDOWSsystem32shell.fne
C:WINDOWSsystem32spec.fne
添加注册表启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
XP-8B618895(这里也是随机的,根据病毒名生成的不同而变)
查杀方式1.下载usbcleaner,并运行其中的foldercure.exe 下载地址:http://www.usbcleaner.net/index1.htm
2.下载usbcleaner单独的文件夹图标病毒专杀工具,下载地址:http://www.usbcleaner.net/analyse.htm
3.手动查杀:
结束进程
XP-8B618895.EXE(注意名称不固定,最好用icesword,其图标是文件夹容易区分)
依次删除
C:WINDOWSsystem32ul.dll 2,404
C:WINDOWSsystem32og.dll 692
C:WINDOWSsystem32com.run 270,336
C:Documents and SettingsNick「开始」菜单程序启动.lnk 指向C:WINDOWSsystem32XP-8B618895.EXE(注意空格)
C:WINDOWSsystem32og.EDT&一个VB程序那种图标的exe(名字记不清了,总之看修改日期就好几乎与其他可疑文件是同一时期而且这几个文件都在一块呢)
(以上两个原文里虽然没提但还是也一并删除吧,再啰嗦一句,当然XP-*.exe这些看见也一概删除)
(删除下面几个是关键哦,网上一般解决办法都没提)
以下是易语言的库文件等:
C:WINDOWSsystem32dp1.fne
C:WINDOWSsystem32eAPI.fne
C:WINDOWSsystem32internet.fne
C:WINDOWSsystem32krnln.fnr
C:WINDOWSsystem32RegEx.fnr
C:WINDOWSsystem32shell.fne
C:WINDOWSsystem32spec.fne
删除病毒启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
XP-8B618895(此处根据病毒名称而定)
手动删除U盘根目录的文件夹图标同名EXE文件
-------------------------------
病毒危害模仿文件夹的病毒目前发现至少五种,其行为恶劣程度不等,轻微恶劣的更像是恶作剧程序,最恶劣的一个是连系统盘各目录内都模仿全了,总之如果U盘有了文件夹图标的exe千万不要点(右键也不要!)。删除的时候务必选择强制删除才好。还有除了删除上述所说的文件外,请务必也将temp文件夹下的易语言库文件用IceSword强制删除,我的建议是搜索C盘所有后缀名为fne&fnr的文件然后删之(杀任何病毒都应有此习惯)。否则虽然system32下的虽删除了,但如果重启动作慢的话依然有可能复发哦!
病毒防范该病毒的主要传播方式为U盘传播,象打印店,大学计算机机房,公司电脑等这些频繁使用U盘的地方极易感染此病毒。所以我们需要通过一些软件(比如360卫士)关闭我们电脑的U盘自动播放功能,防止AUTORUN的病发。