最近非常流行的一个病毒,将电脑或者U盘里的文件全部用快捷方式替换,真实文件被隐藏起来,下面我们就具体了解下此种病毒吧,做好预防与杀毒工作。

一、病毒名称

病毒名称:移动盘同名文件夹病毒;文件夹EXE病毒;同名文件夹EXE病毒

木马名称:Worm.Win32.AutoRun.soq

二、中毒特征

移动盘中毒后,移动盘中的所有文件夹被隐藏起来,病毒伪装成文件夹,但露出了尾巴,也就是露出了它的扩展名exe,因为我见到的文件夹一般是没有扩展名的,而且你可以往里面放东西的,所以,见到exe你应该想到它不是文件夹了,它是一个应用程序。系统中毒后,进程中会出现一两个随机数字和字母命名的进程,病毒文件被复制到系统根目录和系统临时文件夹以及自启动和注册表中。它们可以相互感染传播,只要移动盘中毒了或者电脑中毒了,它们就会感染没有中毒的一方。该病毒经过几次变异,目前它在命名上和隐藏路径上出现了新变化,阻止显示隐藏文件,达到加强生存的能力,这个需要注意。

以下几个是中毒后的典型特征:

1、移动盘中的文件夹带exe

其实该带exe的文件夹不是文件夹,而是可执行程序,它的图标是文件夹,扩展名为.EXE,大小约为1.20M-1.50M,通常是1.44M。

2、进程中出现以数字和字母随机命名的进程

旧版病毒通常以"XP"开头,如XP-F84AA1B5.EXE。变异后是六位随机命名,如96015E.exe。

3、自启动出现两个病毒快捷方式

自启动中出现一个文件夹图标或者没有图标的快捷方式,该快捷方式没有名称,或者名称是空格,但空格通常占有一定位置这样".lnk"。同时出现在启动项中还有随机命名的病毒快捷方式。

4、常见病毒主体

病毒主体被拷贝到系统根目录和系统临时文件夹中,病毒主体主要有以下几个:

XP-*.EXE(随机命名)

96015E.exe(随机命名)

winvcreg.exe

og.dll

ul.dll

og.EDT

21c0.EDT

21c0.inf

69fe.inf

com.run

dp1.fne

eAPI.fne

internet.fne

krnln.fnr

RegEx.fnr

shell.fne

spec.fne

msdll.dll

5、移动盘中的文件夹被隐藏起来

可以通过显示隐藏文件查看,但新变异病毒会阻止查看隐藏文件。

6、自动传播

该病毒可以实现电脑和移动盘相互感染传播,特别是在没有禁用系统自动播放功能和没有免疫autoruns的系统上,一插入中毒盘,病毒就会自动打开移动盘,即使经过免疫,双击该(带EXE的文件夹)病毒,该病毒也会自动运行。

三、危害程度

目前尚不明确该毒的主要危害,据说可以自动下载木马。它对系统的危害性不是很明显,它的危害更多来自病毒自动传播上给人们带来的困扰、担忧和恐惧。该病毒07、08年开始流行,当前泛滥于办公电脑和个人电脑,新闻报道80%的办公电脑和移动盘中过该毒。

四、杀毒方式

由于该病毒的危害性不是很明显,许多杀毒软件都当它是小儿科,根本不值一提,正是这种轻视的态度造成了该病毒的泛滥,困扰着人们的工作和生活。

1、杀毒工具:

目前据说瑞星已经将其列入查杀项目,不清楚其它杀毒软件是否有此计划。

据我所知,当前能够有效查杀该病毒的有USBCleaner。

360安全卫士能够检测出来,但不一定能够完整清理。检测力强,杀毒力软,这也是360一直被人诟病的地方。

其它的如木马克星、超级巡警等专门查杀木马和专门查杀优盘的杀毒软件道理上应该都可以查杀该病毒。

当然,杀毒软件每日都在更新,今天说不能杀不代表明天不能杀。

2、病毒专杀:

网上的专杀很多,大家可以尝试,一般都能够手到病除,但要注意及时更新。推荐使用文件夹图标专杀工具。

3、手动专杀:

该病毒还是比较容易查杀的,只要找到该病毒的藏身之所你就可以将其清除。在查杀的时候,可以使用批处理来协助查杀,方法如下:

[1]将以下代码复制到记事本中,另存为"专杀同名文件夹病毒.bat"运行即可,注意格式为【.bat】。

 @echo off
title 移动盘同名文件夹病毒专杀工具(升级改进版2009.12.1)
copy %0%SYSTEMDRIVE%>nul
COLOR3C
echo 开始杀毒,正在检查……
for /f%%ain('tasklist')doecho%%a|findstr"[0-9]"|findstr/i/v"360tray.exe">>psyf.txt
for /f%%ain(psyf.txt)docls&echo发现可疑进程:%%a&taskkill/f/im%%a
taskkill /f /im XP*
taskkill explorer
taskkill/f/imexplorer.exe
echo清除病毒……
for/f%%ain(psyf.txt)do(wmicprocesswherename="%%a"getExecutablePath|find/i".exe")>>fpath.txt
for/f%%ain(fpath.txt)doifexist%%a(attrib-h-r-s-a%%)&(DEL/F/Q%%a)
for/f"delims="%%ain(psyf.txt)do(
for/r%SYSTEMROOT%\system32%%iin(%%a)do(
ifexist%%iecho%%i>nul
ifexist%%i(attrib-h-r-s%%i)
(DEL/F/Q%%i)
)
)
for/r%SYSTEMROOT%\system32%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
)>nul
for/r%temp%%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
)>nul
attrib-h-r-s%TEMP%\E_4
rd%TEMP%\E_4\
attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
echo清除病毒自启动……
::是否需要修改RUN中一个无名文件夹的二进制数值?
attrib-r-h-s-a"%USERPROFILE%\「开始」菜单\程序\启动\.lnk"
del"%USERPROFILE%\「开始」菜单\程序\启动\.lnk"/q/f
for/f"delims=."%%ain(psyf.txt)do(regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v%%a/f)
Del"%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.*"/q/f
Del"%USERPROFILE%\「开始」菜单\程序\启动\*.*"/q/f
Del"C:\Docume~1\DefaultUser\「开始」菜单\程序\启动\*.*"/q/f
delpsyf.txt,fpath.txt
start%SYSTEMROOT%\explorer.exe
cls&echo.
echo★以下清理移动盘中的EXE病毒,请插入移动盘继续!
echo.
echo◇移动盘中与文件夹名字相同的EXE程序将被清理。
echo◇移动盘中的EXE程序大小小于2M的将被清理。
echo◇请做好备份后继续。
echo.
echo.&pause
cls&echo.
for/f"skip=1"%%ain('wmiclogicaldiskwhere"drivetype='2'"getdeviceid')do(
setlocalEnableDelayedexpansion
dir%%a>nul&&IFERRORLEVEL0settvd=%%a
)>nul
echo.
echo移动盘www.2cto.com是:!tvd!
echo.
echo★正在恢复显示移动盘中的文件,请稍候……(文件过多可能会影响速度。)
echo.
for/f%%iin("!tvd!")doattrib%%~di\*.*-s-r-h-a/d/s
setlocalEnableDelayedexpansion
for/r%tvd%%%ein(.)do(
setw2=%%~fe
for/r%tvd%%%iin(*.exe)do(
setw1=%%~dpni
if!w1!==!w2!del/f/a/q%%i
)
)
for/r%tvd%%%iin(*.exe)do(
if%%~zilss2000000(ifexist%%idel/f/q/a%%i)
)
del/a/f/q%tvd%\Autorun.inf.exe
del/a/f/q%tvd%\Autorun.exe
del/a/f/q%tvd%\RECYCLER.exe
del/a/f/qRecycled.exe
del/a/f/q%tvd%\Notepad.exe
del/a/f/q%tvd%\autorun.inf
echo移动盘同名文件夹病毒专杀工具>%tvd%\autorun.inf
attrib+a+h+r+s%tvd%\autorun.inf
copy%0%tvd%>nul
cls&echo.
echo杀毒完毕!
echo.
pause

五、安全防护

安全防护意识低是导致该病毒泛滥的一大原因。请检查自己的优盘、MP3、MP4、内存卡、手机等等是否中了该病毒,中毒了请注意查杀。

特别是那种公用优盘或者公用电脑,一定要准备一个USB专杀工具,凡是插入的盘都要经过查杀再运行,这样才能有效的阻止病毒的传播。

同时,禁用系统的自动播放功能和免疫Autoruns能够有效的预防病毒的自动运行和传播。最近两年移动盘病毒泛滥的一个主要原因就是系统存在两个漏洞,autoruns和desktop。请检查你的电脑是否也存在该漏洞。

U盘中病毒,文件消失或不显示的更多相关文章

  1. 轻松解决U盘中病毒,文件变成.exe执行文件的问题

    U盘中的文件都变成.exe可执行文件是怎么回事?告诉你,你的U盘中病毒了,那么如何清除呢?小编现在就告诉你几个简单方法,轻松就能搞定U盘中病毒问题. 方法1: (1)首先使用杀毒软件把U盘杀杀毒,除去 ...

  2. U盘中病毒无法更改U盘隐藏属性,文件变成快捷方式

    问题:U盘中病毒了文件都变成快捷方式了,文件被隐藏:隐藏属性无法修改 解决方法: 1.首先给U盘杀毒[如360杀毒] 2.修改U盘隐藏属性:如下图 经过此步骤被隐藏的文件可以被显示出来了.但是U盘里的 ...

  3. Asp.Net实现无刷新文件上传并显示进度条(非服务器控件实现)(转)

    Asp.Net实现无刷新文件上传并显示进度条(非服务器控件实现) 相信通过Asp.Net的服务器控件上传文件在简单不过了,通过AjaxToolkit控件实现上传进度也不是什么难事,为什么还要自己辛辛苦 ...

  4. [Android]异步加载图片,内存缓存,文件缓存,imageview显示图片时增加淡入淡出动画

    以下内容为原创,欢迎转载,转载请注明 来自天天博客:http://www.cnblogs.com/tiantianbyconan/p/3574131.html  这个可以实现ImageView异步加载 ...

  5. clean之后R文件消失

    首先确定你的SDK是新的. 其次接下来检查你的.xml文件,文件名不能大写. 如果xml文件太多 ,那么clean一下你的项目,这时候注意看Console的提示. Console会提示你xml文件错误 ...

  6. 【原创】用JAVA实现大文件上传及显示进度信息

    用JAVA实现大文件上传及显示进度信息 ---解析HTTP MultiPart协议 (本文提供全部源码下载,请访问 https://github.com/grayprince/UploadBigFil ...

  7. 布局(layout)文件图形界面不能显示:An error has occurred. See error log for more details. java.lang.NullPointe

    #问题解析# Android工程中Layout文件夹下的布局文件图形界面无法显示,一般发生这种情况在导入工程操作后极易出现,因为可能eclipse使用的sdk版本不同,target类型不同,所用And ...

  8. Error parsing XML: not well-formed (invalid token) 报错+R文件消失解决的方法

    xml报错: 这个xml文件上右键source ->format 注意:res下的文件名称不能大写 R文件消失: 在攻克了其它问题的情况下(或者其它问题还没解决先凝视掉) 手动删除gen pro ...

  9. tomcat重启或关闭后,上传文件消失 .

    tomcat重启或关闭后,上传文件消失的问题,是因为在断电前myeclipse是启动的,断电时造成myeclipse异常关闭,再重新启动myeclipse时会重新发布项目,把先前发布的项目给覆盖了,所 ...

随机推荐

  1. maven 详解二

    转自 http://www.cnblogs.com/whgk/p/7121336.html 前一节我们明白了maven是个什么玩意,这一节就来讲讲他的一个重要的应用场景,也就是通过maven将一个ss ...

  2. CentOS6.5安装Scrapy

    1.安装命令超级简单: [root@mycentos ~]# pip install Scrapy 建立软链接: [root@mycentos ~]# ln -s /usr/local/python3 ...

  3. 配置完centos 6以后,大概需要安装的软件(主要是yum)

    根据实践,把我的经验说一下,以后我自己也可以按照这个快速安装软件. 1. 配置源.百度网盘的tools/download/linux已经放了几个挺重要的 东西了. yum -y install epe ...

  4. jquery tooltip插件

    qtip2:http://qtip2.com/ bower install qtip2 // lowercase! 引入一个css和插件即可. <script type="text/j ...

  5. cocos2d JS 创建实现换行功能的聊天文本 testLable

    -- 创建实现换行功能的文本 function LoadLabelHeroIntroduce(objLabelContent)  //传入文本 ---------------------------- ...

  6. Hibernate框架第一天

    **框架和CRM项目的整体介绍** 1. 什么是CRM * CRM(Customer Relationship Management)客户关系管理,是利用相应的信息技术以及互联网技术来协调企业与顾客间 ...

  7. sqli-labs(一)

    第一关:第一关会讲的比较详细,后面的关卡中只有特殊的地方我会单独拿出来说. 第一关是一个很简单的string类型的sql注入,并且会报错,输入参数id=',页面会报错 值得注意的是: 1.报错信息中 ...

  8. C Alyona and Spreadsheet Codeforces Round #401(Div. 2)(思维)

    Alyona and Spreadsheet 这就是一道思维的题,谈不上算法什么的,但我当时就是不会,直到别人告诉了我,我才懂了的.唉 为什么总是这么弱呢? [题目链接]Alyona and Spre ...

  9. struts2.0自定义类型转换

    在Struts2.0框架中内置了类型转换器,可以很方便的实现在八大数据类型.Date类型之间的自动转换:此外也可以根据自己的需求自定义数据转换类.如下: 首先看一下项目工程中的目录 1.在新建的web ...

  10. Maximum-SubsequenceSum

    题目 https://pintia.cn/problem-sets/900290821590183936/problems/900291257604861953 给出一段数列,求数列的最大子列和,并输 ...