文件夹EXE病毒

文件夹EXE病毒

同名文件夹EXE病毒：

木马名称：Worm.Win32.AutoRun.soq

当你把你的U盘插入到一台电脑后，突然发现U盘内生成了以文件夹名字命名的文件，扩展名为exe，更要命的是它们的图标跟文件夹是一样的，很具有迷惑性。相信很多人见到过这种情况，我已经在百度知道上回答了同一个问题N次了，但是还是有人会中奖，所以在这里建立一个百科，希望对大家有用。

一、病毒原理及相关分析

一台电脑中毒后，电脑里面会有一个XP-****.exe（其中*** *是一个大写字母与数字混合，如XP-02B94AC1.exe）的类似X P补丁的进程以及D7F45.exe的类似进程，同时建立D7F45.ex e及一个文件夹的几个启动项，当你插入U盘后，它会把原文件夹隐身，同时建立同名的EXE文件夹，例如软件.exe 这样的病毒文件夹，文件夹大小为1.44M，不知道的人双击就会中毒。

病毒名称：Worm.Win32.AutoRun.soq

病毒类型：蠕虫类

危害级别：3

感染平台：Windows

病毒行为：

1、病毒运行后会释放以下文件：com.run dp1.fne eAPI.f ne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.f

ne ul.dll XP-290F2C69.EXE（后8位随机）（其中com.run d p1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fn e 等并非病毒文件，而是汉语编程易语言的支持库文件）到系统盘的\WINDOWS\system32里面

2、新增以下注册表项，已达到病毒随系统启动而自启动的目的。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run

注册表值：XP-290F2C69（后8位随机）

类型：REG_SZ

值：C:\WINDOWS\system32\XP-290F2C69.EXE（后8位随机）

3、添加以下启动项，实现病毒自启动：

“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“.lnk”指向病毒文件。

4、下载病毒文件：hxxp:///v.gif（16,896 字节）保存为以下文件，并且运行它们：

%Windir%\System32\winvcreg.exe

%Windir%\System32\2080.EXE (名称随机)

5、被感染的电脑接入移动磁盘后，病毒会遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机

使用移动磁盘打开其文件夹时运行病毒，以达到病毒随移动磁盘传播的目的。

二、解决方案

专杀清除方法：

下载瑞星等杀毒软件。（网上有免费正版的，只不过好像只能使用半年左右）

手工清除方法：

1、结束病毒进程。打开超级巡警，选择进程管理功能，终止进程XP-290F2C69.EXE（后8位随机），winvcreg.exe，20 80.exe（随机名）。

2、删除病毒在System32生成的以下文件：

com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE wi nvcreg.exe 2080.EXE（随机名）

3、删除病毒的启动项，删除以下启动项：

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run”里的XP-290F2C69.EXE（后8位随机）；

“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“.lnk”。

4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。点击“开始”---“运行”----输入“cmd” ，进入命令提示符，然后进入你U盘所在的根目录，具体操作如下，比如你的U盘盘符位G，

那么就输入“g：”在回车就可以了。最后，输入如下命令：attrib -r -a -s -h *.* /s /d。