U盤中的病毒，文件消失或不顯示

最近，一種非常流行的病毒用快捷方式替換了計算機或USB閃存驅動器中的所有文件，并且隱藏了真實文件。讓我們進一步了解這種病毒，并做好預防和防病毒工作。

一、病毒名稱

病毒名稱：在移動磁盤上具有相同名稱的文件夾病毒；文件夾EXE病毒;名為EXE病毒的文件夾

木馬名稱：Worm.Win32.AutoRun.soq

二、中毒特征

移動磁盤中毒后，移動磁盤中的所有文件夾都被隱藏了，病毒冒充是一個文件夾，但是尾巴被暴露了，也就是說，其擴展名exe被暴露了，因為我看到的文件夾是通常不是擴展名，您可以將其放入其中，因此當您看到exe時，應該認為它不是文件夾，而是應用程序。系統中毒后，一個或兩個以隨機數字和字母命名的進程將出現在該進程中，并將病毒文件復制到系統根目錄，系統臨時文件夾以及自啟動和注冊表中。只要移動磁盤中毒或計算機中毒，它們就可以相互感染并傳播，它們將感染未中毒的一方。該病毒經歷了幾次突變。目前，它的命名和隱藏路徑都有新的變化。它可以防止隱藏文件的顯示，并增強生存能力。這需要引起注意。

以下是中毒的典型特征：

1、可移動磁盤中的文件夾具有exe

實際上，帶有exe的文件夾不是文件夾，而是可執行程序。它的圖標是一個文件夾，擴展名為.EXE，大小約為1.20M- 1.50M，通常為1.44M。

2、隨機出現的帶有數字和字母的進程出現在進程中

舊版本的病毒通常以“ XP”開頭，例如XP-F84AA1B5.EXE。突變后，有六個隨機名稱，例如96015E.exe。

3、自啟動以來出現了兩個病毒快捷方式

啟動過程中出現文件夾圖標或沒有圖標的快捷方式。快捷方式沒有名稱，或者名稱是一個空格，但是該空格通常占據特定位置，例如“ .lnk”。啟動項中還會出現隨機命名的病毒快捷方式。

4、常見病毒對象

病毒主體被復制到系統根目錄和系統臨時文件夾中。該病毒的主體如下：

XP-*。EXE（隨機命名）

96015E.exe（隨機命名）

winvcreg.exe

og.dll

ul.dll

og.EDT

21c0.EDT

21c0.inf

69fe.inf

com.run

dp 1.fne

eAPI.fne

internet.fne

krnln.fnr

RegEx.fnr

shell.fne

spec.fne

msdll.dll

5、可移動磁盤中的文件夾已隱藏

可以通過顯示隱藏文件來查看它，但是新的變異病毒將阻止查看隱藏文件。

6、自動傳播

該病毒可以實現計算機和移動磁盤的相互感染和傳播，尤其是在不禁用系統自動播放功能并且沒有免疫自動運行功能的系統上。插入中毒的磁盤后，病毒將自動打開移動磁盤。即使在免疫后，雙擊“此（帶有EXE的文件夾）”病毒也會自動運行。

三、傷害程度

目前，尚不清楚該毒藥的主要危害，據說該木馬可以自動下載。它對系統的危害不是很明顯，它的危害更多來自自動傳播病毒給人們帶來的麻煩，憂慮和恐懼。病毒07、在2008年流行，目前正在辦公計算機和個人計算機上傳播。新聞報道稱，有80％的辦公計算機和移動磁盤已感染該病毒。

四、防病毒方法

由于該病毒的危害性不是很明顯，因此許多防病毒軟件都將其視為兒科，這不值得一提。正是這種輕蔑的態度導致了病毒的傳播并困擾著人們的工作和生活。

1、防病毒工具：

目前，據說瑞星已將其包含在防病毒項目中。尚不清楚其他防病毒軟件是否有這樣的計劃。

據我所知，USBCleaner可以有效地檢查并殺死病毒。

360安全衛士可以檢測到它，但是它可能無法完全清除它。它具有強大的檢測能力和軟殺毒能力。這就是360一直受到批評的地方。

其他反病毒軟件，例如Trojan Marker，Super Patrol和其他反木馬以及USB閃存驅動器，都應該能夠檢測并殺死該病毒。

當然，防病毒軟件每天都會更新。說今天不能殺死并不意味著明天就不能殺死。

2、病毒殺手：

互聯網上有很多特殊的殺人事件。你可以嘗試一下。通常，您可以手動清除該疾病，但必須及時進行更新。建議使用特殊工具殺死文件夾圖標。

3、手動殺死：

該病毒相對容易檢測和殺死，只要找到該病毒的藏身之處，就可以將其刪除。查殺時，可以使用批處理來協助查殺，方法如下：

[1]將以下代碼復制到記事本中，將其另存為“特別殺死具有相同name.bat的文件夾病毒”并運行它。請注意，格式為[.bat]。

 1 @echo off
 2 title 移動盤同名文件夾病毒專殺工具(升級改進版2009.12.1)
 3 copy %0%SYSTEMDRIVE%>nul
 4 COLOR3C
 5 echo 開始殺毒,正在檢查……
 6 for /f%%ain('tasklist')doecho%%a|findstr"[0-9]"|findstr/i/v"360tray.exe">>psyf.txt
 7 for /f%%ain(psyf.txt)docls&echo發現可疑進程:%%a&taskkill/f/im%%a
 8 taskkill /f /im XP*
 9 taskkill explorer
10 taskkill/f/imexplorer.exe
11 echo清除病毒……
12 for/f%%ain(psyf.txt)do(wmicprocesswherename="%%a"getExecutablePath|find/i".exe")>>fpath.txt
13 for/f%%ain(fpath.txt)doifexist%%a(attrib-h-r-s-a%%)&(DEL/F/Q%%a)
14 for/f"delims="%%ain(psyf.txt)do(
15 for/r%SYSTEMROOT%\system32%%iin(%%a)do(
16 ifexist%%iecho%%i>nul
17 ifexist%%i(attrib-h-r-s%%i)
18 (DEL/F/Q%%i)
19 )
20 )
21 for/r%SYSTEMROOT%\system32%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
22 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
23 )>nul
24 for/r%temp%%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
25 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
26 )>nul
27 attrib-h-r-s%TEMP%\E_4
28 rd%TEMP%\E_4\
29 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
30 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
31 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
32 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
33 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
34 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
35 echo清除病毒自啟動……
36 ::是否需要修改RUN中一個無名文件夾的二進制數值?
37 attrib-r-h-s-a"%USERPROFILE%\「開始」菜單\程序\啟動\.lnk"
38 del"%USERPROFILE%\「開始」菜單\程序\啟動\.lnk"/q/f
39 for/f"delims=."%%ain(psyf.txt)do(regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v%%a/f)
40 Del"%ALLUSERSPROFILE%\「開始」菜單\程序\啟動\*.*"/q/f
41 Del"%USERPROFILE%\「開始」菜單\程序\啟動\*.*"/q/f
42 Del"C:\Docume~1\DefaultUser\「開始」菜單\程序\啟動\*.*"/q/f
43 delpsyf.txt,fpath.txt
44 start%SYSTEMROOT%\explorer.exe
45 cls&echo.
46 echo★以下清理移動盤中的EXE病毒,請插入移動盤繼續!
47 echo.
48 echo◇移動盤中與文件夾名字相同的EXE程序將被清理。
49 echo◇移動盤中的EXE程序大小小于2M的將被清理。
50 echo◇請做好備份后繼續。
51 echo.
52 echo.&pause
53 cls&echo.
54 for/f"skip=1"%%ain('wmiclogicaldiskwhere"drivetype='2'"getdeviceid')do(
55 setlocalEnableDelayedexpansion
56 dir%%a>nul&&IFERRORLEVEL0settvd=%%a
57 )>nul
58 echo.
59 echo移動盤www.2cto.com是:!tvd!
60 echo.
61 echo★正在恢復顯示移動盤中的文件,請稍候……(文件過多可能會影響速度。)
62 echo.
63 for/f%%iin("!tvd!")doattrib%%~di\*.*-s-r-h-a/d/s
64 setlocalEnableDelayedexpansion
65 for/r%tvd%%%ein(.)do(
66 setw2=%%~fe
67 for/r%tvd%%%iin(*.exe)do(
68 setw1=%%~dpni
69 if!w1!==!w2!del/f/a/q%%i
70 )
71 )
72 for/r%tvd%%%iin(*.exe)do(
73 if%%~zilss2000000(ifexist%%idel/f/q/a%%i)
74 )
75 del/a/f/q%tvd%\Autorun.inf.exe
76 del/a/f/q%tvd%\Autorun.exe
77 del/a/f/q%tvd%\RECYCLER.exe
78 del/a/f/qRecycled.exe
79 del/a/f/q%tvd%\Notepad.exe
80 del/a/f/q%tvd%\autorun.inf
81 echo移動盤同名文件夾病毒專殺工具>%tvd%\autorun.inf
82 attrib+a+h+r+s%tvd%\autorun.inf
83 copy%0%tvd%>nul
84 cls&echo.
85 echo殺毒完畢!
86 echo.
87 pause

五、安全保護

低安全意識是病毒傳播的主要原因。請檢查您的USB閃存驅動器，MP 3、 MP 4、存儲卡，手機等是否感染了病毒。如果中毒，請注意將其殺死。

特別是那種公用USB閃存驅動器或公用計算機，必須準備專用的USB殺毒工具，在運行之前必須檢查并殺死所有插入的磁盤，以有效防止病毒傳播。

同時，禁用系統的自動播放功能和免疫自動運行可以有效地防止病毒的自動運行和傳播。過去兩年中，移動磁盤病毒擴散的主要原因之一是該系統具有兩個漏洞，即自動運行和桌面漏洞。請檢查您的計算機是否也存在該漏洞。

本文來自電腦雜談，轉載請注明本文網址：
http://www.humishu.com/a/shouji/article-347114-1.html