最近非常流行的一个病毒,将电脑或者U盘里的文件全部用快捷方式替换,真实文件被隐藏起来,下面我们就具体了解下此种病毒吧,做好预防与杀毒工作。

一、病毒名称

病毒名称:移动盘同名文件夹病毒;文件夹EXE病毒;同名文件夹EXE病毒

木马名称:Worm.Win32.AutoRun.soq

二、中毒特征

移动盘中毒后,移动盘中的所有文件夹被隐藏起来,病毒伪装成文件夹,但露出了尾巴,也就是露出了它的扩展名exe,因为我见到的文件夹一般是没有扩展名的,而且你可以往里面放东西的,所以,见到exe你应该想到它不是文件夹了,它是一个应用程序。系统中毒后,进程中会出现一两个随机数字和字母命名的进程,病毒文件被复制到系统根目录和系统临时文件夹以及自启动和注册表中。它们可以相互感染传播,只要移动盘中毒了或者电脑中毒了,它们就会感染没有中毒的一方。该病毒经过几次变异,目前它在命名上和隐藏路径上出现了新变化,阻止显示隐藏文件,达到加强生存的能力,这个需要注意。

以下几个是中毒后的典型特征:

1、移动盘中的文件夹带exe

其实该带exe的文件夹不是文件夹,而是可执行程序,它的图标是文件夹,扩展名为.EXE,大小约为1.20M-1.50M,通常是1.44M。

2、进程中出现以数字和字母随机命名的进程

旧版病毒通常以"XP"开头,如XP-F84AA1B5.EXE。变异后是六位随机命名,如96015E.exe。

3、自启动出现两个病毒快捷方式

自启动中出现一个文件夹图标或者没有图标的快捷方式,该快捷方式没有名称,或者名称是空格,但空格通常占有一定位置这样".lnk"。同时出现在启动项中还有随机命名的病毒快捷方式。

4、常见病毒主体

病毒主体被拷贝到系统根目录和系统临时文件夹中,病毒主体主要有以下几个:

XP-*.EXE(随机命名)

96015E.exe(随机命名)

winvcreg.exe

og.dll

ul.dll

og.EDT

21c0.EDT

21c0.inf

69fe.inf

com.run

dp1.fne

eAPI.fne

internet.fne

krnln.fnr

RegEx.fnr

shell.fne

spec.fne

msdll.dll

5、移动盘中的文件夹被隐藏起来

可以通过显示隐藏文件查看,但新变异病毒会阻止查看隐藏文件。

6、自动传播

该病毒可以实现电脑和移动盘相互感染传播,特别是在没有禁用系统自动播放功能和没有免疫autoruns的系统上,一插入中毒盘,病毒就会自动打开移动盘,即使经过免疫,双击该(带EXE的文件夹)病毒,该病毒也会自动运行。

三、危害程度

目前尚不明确该毒的主要危害,据说可以自动下载木马。它对系统的危害性不是很明显,它的危害更多来自病毒自动传播上给人们带来的困扰、担忧和恐惧。该病毒07、08年开始流行,当前泛滥于办公电脑和个人电脑,新闻报道80%的办公电脑和移动盘中过该毒。

四、杀毒方式

由于该病毒的危害性不是很明显,许多杀毒软件都当它是小儿科,根本不值一提,正是这种轻视的态度造成了该病毒的泛滥,困扰着人们的工作和生活。

1、杀毒工具:

目前据说瑞星已经将其列入查杀项目,不清楚其它杀毒软件是否有此计划。

据我所知,当前能够有效查杀该病毒的有USBCleaner。

360安全卫士能够检测出来,但不一定能够完整清理。检测力强,杀毒力软,这也是360一直被人诟病的地方。

其它的如木马克星、超级巡警等专门查杀木马和专门查杀优盘的杀毒软件道理上应该都可以查杀该病毒。

当然,杀毒软件每日都在更新,今天说不能杀不代表明天不能杀。

2、病毒专杀:

网上的专杀很多,大家可以尝试,一般都能够手到病除,但要注意及时更新。推荐使用文件夹图标专杀工具。

3、手动专杀:

该病毒还是比较容易查杀的,只要找到该病毒的藏身之所你就可以将其清除。在查杀的时候,可以使用批处理来协助查杀,方法如下:

[1]将以下代码复制到记事本中,另存为"专杀同名文件夹病毒.bat"运行即可,注意格式为【.bat】。

 1 @echo off
 2 title 移动盘同名文件夹病毒专杀工具(升级改进版2009.12.1)
 3 copy %0%SYSTEMDRIVE%>nul
 4 COLOR3C
 5 echo 开始杀毒,正在检查……
 6 for /f%%ain('tasklist')doecho%%a|findstr"[0-9]"|findstr/i/v"360tray.exe">>psyf.txt
 7 for /f%%ain(psyf.txt)docls&echo发现可疑进程:%%a&taskkill/f/im%%a
 8 taskkill /f /im XP*
 9 taskkill explorer
10 taskkill/f/imexplorer.exe
11 echo清除病毒……
12 for/f%%ain(psyf.txt)do(wmicprocesswherename="%%a"getExecutablePath|find/i".exe")>>fpath.txt
13 for/f%%ain(fpath.txt)doifexist%%a(attrib-h-r-s-a%%)&(DEL/F/Q%%a)
14 for/f"delims="%%ain(psyf.txt)do(
15 for/r%SYSTEMROOT%\system32%%iin(%%a)do(
16 ifexist%%iecho%%i>nul
17 ifexist%%i(attrib-h-r-s%%i)
18 (DEL/F/Q%%i)
19 )
20 )
21 for/r%SYSTEMROOT%\system32%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
22 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
23 )>nul
24 for/r%temp%%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
25 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
26 )>nul
27 attrib-h-r-s%TEMP%\E_4
28 rd%TEMP%\E_4\
29 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
30 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
31 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
32 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
33 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
34 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
35 echo清除病毒自启动……
36 ::是否需要修改RUN中一个无名文件夹的二进制数值?
37 attrib-r-h-s-a"%USERPROFILE%\「开始」菜单\程序\启动\.lnk"
38 del"%USERPROFILE%\「开始」菜单\程序\启动\.lnk"/q/f
39 for/f"delims=."%%ain(psyf.txt)do(regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v%%a/f)
40 Del"%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.*"/q/f
41 Del"%USERPROFILE%\「开始」菜单\程序\启动\*.*"/q/f
42 Del"C:\Docume~1\DefaultUser\「开始」菜单\程序\启动\*.*"/q/f
43 delpsyf.txt,fpath.txt
44 start%SYSTEMROOT%\explorer.exe
45 cls&echo.
46 echo以下清理移动盘中的EXE病毒,请插入移动盘继续!
47 echo.
48 echo◇移动盘中与文件夹名字相同的EXE程序将被清理。
49 echo◇移动盘中的EXE程序大小小于2M的将被清理。
50 echo◇请做好备份后继续。
51 echo.
52 echo.&pause
53 cls&echo.
54 for/f"skip=1"%%ain('wmiclogicaldiskwhere"drivetype='2'"getdeviceid')do(
55 setlocalEnableDelayedexpansion
56 dir%%a>nul&&IFERRORLEVEL0settvd=%%a
57 )>nul
58 echo.
59 echo移动盘www.2cto.com是:!tvd!
60 echo.
61 echo正在恢复显示移动盘中的文件,请稍候……(文件过多可能会影响速度。)
62 echo.
63 for/f%%iin("!tvd!")doattrib%%~di\*.*-s-r-h-a/d/s
64 setlocalEnableDelayedexpansion
65 for/r%tvd%%%ein(.)do(
66 setw2=%%~fe
67 for/r%tvd%%%iin(*.exe)do(
68 setw1=%%~dpni
69 if!w1!==!w2!del/f/a/q%%i
70 )
71 )
72 for/r%tvd%%%iin(*.exe)do(
73 if%%~zilss2000000(ifexist%%idel/f/q/a%%i)
74 )
75 del/a/f/q%tvd%\Autorun.inf.exe
76 del/a/f/q%tvd%\Autorun.exe
77 del/a/f/q%tvd%\RECYCLER.exe
78 del/a/f/qRecycled.exe
79 del/a/f/q%tvd%\Notepad.exe
80 del/a/f/q%tvd%\autorun.inf
81 echo移动盘同名文件夹病毒专杀工具>%tvd%\autorun.inf
82 attrib+a+h+r+s%tvd%\autorun.inf
83 copy%0%tvd%>nul
84 cls&echo.
85 echo杀毒完毕!
86 echo.
87 pause

五、安全防护

安全防护意识低是导致该病毒泛滥的一大原因。请检查自己的优盘、MP3、MP4、内存卡、手机等等是否中了该病毒,中毒了请注意查杀。

特别是那种公用优盘或者公用电脑,一定要准备一个USB专杀工具,凡是插入的盘都要经过查杀再运行,这样才能有效的阻止病毒的传播。

同时,禁用系统的自动播放功能和免疫Autoruns能够有效的预防病毒的自动运行和传播。最近两年移动盘病毒泛滥的一个主要原因就是系统存在两个漏洞,autoruns和desktop。请检查你的电脑是否也存在该漏洞。

U盘中病毒,文件消失或不显示相关推荐

  1. U盘中病毒,文件消失,但U盘的大小却没有改变

    前些天U盘中病毒,所有的文件夹都显示不出来,但是U盘显示却是还有着文件,用着杀毒软件查杀的话,也能够读取到那些文件. 最后找了好久才发现,原来是病毒把我的存档文件改成了系统文件,而一般计算机为了保护系 ...

  2. u盘中病毒文件被隐藏怎么恢复?看看这三种方法

    U盘是我们日常生活中常用的存储设备,但是如果U盘被病毒感染,可能会导致文件被隐藏或丢失.被病毒隐藏的U盘文件给我们的生活.工作带来了很大的麻烦,因此必须马上采取行动来恢复这些文件. 而解决" ...

  3. sd卡中病毒的表现及sd文件消失后的恢复方法

    sd卡在日常使用中十分常见,但有时也会发生一些意外情况.例如,不小心意外感染病毒,导致sd卡中存储的文件消失.那么对于丢失的文件,我们该如何恢复呢?下面将带您了解sd卡中病毒的表现以及sd卡文件消失怎 ...

  4. 关于U盘中病毒将文件改为系统文件属性并隐藏文件夹的解决方法

    关于U盘中病毒将文件改为系统文件属性并隐藏文件夹的解决方法 参考文章: (1)关于U盘中病毒将文件改为系统文件属性并隐藏文件夹的解决方法 (2)https://www.cnblogs.com/wend ...

  5. u盘扫描并修复后文件消失了怎么办?2种方法帮助找回

    演示机型:技嘉 H310M HD22.0 系统版本:Windows 10 专业版 软件版本:云骑士数据恢复软件3.21.0.17 案例分享:"我的u盘每次插电脑都会弹出要不要扫描并修复的提示 ...

  6. 关于U盘中的文件全部变成快捷方式的解决办法

    首先可以肯定的是你的U盘中病毒了,但是不要慌,先在"我的电脑"里看看,文件还在不在(U盘占用空间跟原来一样).在的话,恭喜你,按照以下方式处理即可: 一.安装杀毒软件,对U盘进行扫 ...

  7. U盘中的文件夹全变成应用程序格式如何解决?

    昨天,同学让把Office2010拷给她,不知怎的,U盘中的文件夹全部变成了应用程序,用360杀不管用,只好等到今天来了机房整. 起初不敢把U盘插在电脑上的,就先查了查解决办法: 第一步:右键打开你的 ...

  8. Dcim.exe病毒文件感染相机SD卡处理方案

    症状:数码相机SD卡中的照片目录看不到了,但是右键SD卡查看占用情况时,空间占用挺大,说明文件还在盘中. 解决方案:直接在我的电脑->工具->文件夹选项:不勾选隐藏受保护的操作系统文件,同 ...

  9. 怎么防止U盘中病毒?中毒后怎么处理?

    怎么防止U盘中病毒?中毒后怎么处理? 为了防止U盘中毒,每次插∪盘的时候,按住"Shift" 键,它就不会自动打开,打开∪盘的时候不要双击,要右击打开,因为有时候中了毒会出现两个打 ...

最新文章

  1. Linux 内核网络子系统 总结 (未完待续)
  2. Linux下的主辅DNS服务器同步
  3. JAVA_OA(十四):SSM练手项目bug-Oracle分页web页面无法转到下一页
  4. hdu 2586(LCA + 节点间距离)
  5. WEB入门实践-张晨光-专题视频课程
  6. Python爬虫之编辑cookie实例:必胜客餐厅
  7. testng 检查异常_TestNG异常– ExpectedExceptions,ExpectedExceptionsMessageRegExp
  8. 一次贴近实战的CTF比赛(cookie欺骗、php函数、Tomcat漏洞、注入、逆向等)
  9. 金蝶凭证序时簿在哪_怎么用金蝶kis记账王打开会计分录序时簿
  10. 1.工作汇报结构: 黄金圈法则结构、PREP结构、时间轴结构、金字塔结构
  11. 关于outlook不能发送126邮件的问题
  12. 图灵奖Alan Kay:突破常规思维!道翰天琼认知智能机器人平台API接口大脑为您揭秘
  13. 微生物组-扩增子16S分析第10期(线上/线下同时开课,本年最后一期)
  14. 2020牛客暑期多校训练营(第九场) The Escape Plan of Groundhog
  15. python从入门到精通编程汪老师_游戏AI开发从入门到精通:最全游戏AI编程书单...
  16. java代码实现pdf按页拆分以及合并
  17. 计算机无法进入bios按,BIOS无法进入实测解决教程
  18. 解决:tcpdump -w xxxxx.pcap 提示 Permission denied
  19. 用c语言写心理测试,单招心理测试模拟题附答案(机试可用)
  20. 哔哩哔哩直播姬和OBS源码对比

热门文章

  1. Android之ActivityManagerService详解(APP启动过程)
  2. Activity应用场景解析
  3. swift_030(Swift 的访问控制)
  4. 如何提高python的运行效率_几个提升Python运行效率的方法之间的对比
  5. Django 之ORM操作
  6. tsconfig.json编译选项
  7. Python Numpy包安装
  8. 简易OA漫谈之工作流设计(DB)
  9. exec函数组六个函数的用法和区别
  10. js数组去重解决方案