U盘中的病毒，文件消失或不显示_病毒安全_

最近，一种非常流行的病毒用快捷方式替换了计算机或USB闪存驱动器中的所有文件，并且隐藏了真实文件。让我们进一步了解这种病毒，并做好预防和防病毒工作。

一、病毒名称

病毒名称：在移动磁盘上具有相同名称的文件夹病毒；文件夹EXE病毒;名为EXE病毒的文件夹

木马名称：Worm.Win32.AutoRun.soq

二、中毒特征

移动磁盘中毒后，移动磁盘中的所有文件夹都被隐藏了，病毒冒充是一个文件夹，但是尾巴被暴露了，也就是说，其扩展名exe被暴露了，因为我看到的文件夹是通常不是扩展名，您可以将其放入其中，因此当您看到exe时，应该认为它不是文件夹，而是应用程序。系统中毒后，一个或两个以随机数字和字母命名的进程将出现在该进程中，并将病毒文件复制到系统根目录，系统临时文件夹以及自启动和注册表中。只要移动磁盘中毒或计算机中毒，它们就可以相互感染并传播，它们将感染未中毒的一方。该病毒经历了几次突变。目前，它的命名和隐藏路径都有新的变化。它可以防止隐藏文件的显示，并增强生存能力。这需要引起注意。

以下是中毒的典型特征：

1、可移动磁盘中的文件夹具有exe

实际上，带有exe的文件夹不是文件夹，而是可执行程序。它的图标是一个文件夹，扩展名为.EXE，大小约为1.20M- 1.50M，通常为1.44M。

2、随机出现的带有数字和字母的进程出现在进程中

旧版本的病毒通常以“ XP”开头，例如XP-F84AA1B5.EXE。突变后，有六个随机名称，例如96015E.exe。

3、自启动以来出现了两个病毒快捷方式

启动过程中出现文件夹图标或没有图标的快捷方式。快捷方式没有名称，或者名称是一个空格，但是该空格通常占据特定位置，例如“ .lnk”。启动项中还会出现随机命名的病毒快捷方式。

4、常见病毒对象

病毒主体被复制到系统根目录和系统临时文件夹中。该病毒的主体如下：

XP-*。EXE（随机命名）

96015E.exe（随机命名）

winvcreg.exe

og.dll

ul.dll

og.EDT

21c0.EDT

21c0.inf

69fe.inf

com.run

dp 1.fne

eAPI.fne

internet.fne

krnln.fnr

RegEx.fnr

shell.fne

spec.fne

msdll.dll

5、可移动磁盘中的文件夹已隐藏

可以通过显示隐藏文件来查看它，但是新的变异病毒将阻止查看隐藏文件。

6、自动传播

该病毒可以实现计算机和移动磁盘的相互感染和传播，尤其是在不禁用系统自动播放功能并且没有免疫自动运行功能的系统上。插入中毒的磁盘后，病毒将自动打开移动磁盘。即使在免疫后，双击“此（带有EXE的文件夹）”病毒也会自动运行。

三、伤害程度

目前，尚不清楚该毒药的主要危害，据说该木马可以自动下载。它对系统的危害不是很明显，它的危害更多来自自动传播病毒给人们带来的麻烦，忧虑和恐惧。病毒07、在2008年流行，目前正在办公计算机和个人计算机上传播。新闻报道称，有80％的办公计算机和移动磁盘已感染该病毒。

四、防病毒方法

由于该病毒的危害性不是很明显，因此许多防病毒软件都将其视为儿科，这不值得一提。正是这种轻蔑的态度导致了病毒的传播并困扰着人们的工作和生活。

1、防病毒工具：

目前，据说瑞星已将其包含在防病毒项目中。尚不清楚其他防病毒软件是否有这样的计划。

据我所知，USBCleaner可以有效地检查并杀死病毒。

360安全卫士可以检测到它，但是它可能无法完全清除它。它具有强大的检测能力和软杀毒能力。这就是360一直受到批评的地方。

其他反病毒软件，例如Trojan Marker，Super Patrol和其他反木马以及USB闪存驱动器，都应该能够检测并杀死该病毒。

当然，防病毒软件每天都会更新。说今天不能杀死并不意味着明天就不能杀死。

2、病毒杀手：

互联网上有很多特殊的杀人事件。你可以尝试一下。通常，您可以手动清除该疾病，但必须及时进行更新。建议使用特殊工具杀死文件夹图标。

3、手动杀死：

该病毒相对容易检测和杀死，只要找到该病毒的藏身之处，就可以将其删除。查杀时，可以使用批处理来协助查杀，方法如下：

[1]将以下代码复制到记事本中，将其另存为“特别杀死具有相同name.bat的文件夹病毒”并运行它。请注意，格式为[.bat]。

 1 @echo off
 2 title 移动盘同名文件夹病毒专杀工具(升级改进版2009.12.1)
 3 copy %0%SYSTEMDRIVE%>nul
 4 COLOR3C
 5 echo 开始杀毒,正在检查……
 6 for /f%%ain('tasklist')doecho%%a|findstr"[0-9]"|findstr/i/v"360tray.exe">>psyf.txt
 7 for /f%%ain(psyf.txt)docls&echo发现可疑进程:%%a&taskkill/f/im%%a
 8 taskkill /f /im XP*
 9 taskkill explorer
10 taskkill/f/imexplorer.exe
11 echo清除病毒……
12 for/f%%ain(psyf.txt)do(wmicprocesswherename="%%a"getExecutablePath|find/i".exe")>>fpath.txt
13 for/f%%ain(fpath.txt)doifexist%%a(attrib-h-r-s-a%%)&(DEL/F/Q%%a)
14 for/f"delims="%%ain(psyf.txt)do(
15 for/r%SYSTEMROOT%\system32%%iin(%%a)do(
16 ifexist%%iecho%%i>nul
17 ifexist%%i(attrib-h-r-s%%i)
18 (DEL/F/Q%%i)
19 )
20 )
21 for/r%SYSTEMROOT%\system32%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
22 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
23 )>nul
24 for/r%temp%%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do(
25 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i)
26 )>nul
27 attrib-h-r-s%TEMP%\E_4
28 rd%TEMP%\E_4\
29 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
30 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
31 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
32 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
33 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
34 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
35 echo清除病毒自启动……
36 ::是否需要修改RUN中一个无名文件夹的二进制数值?
37 attrib-r-h-s-a"%USERPROFILE%\「开始」菜单\程序\启动\.lnk"
38 del"%USERPROFILE%\「开始」菜单\程序\启动\.lnk"/q/f
39 for/f"delims=."%%ain(psyf.txt)do(regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v%%a/f)
40 Del"%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.*"/q/f
41 Del"%USERPROFILE%\「开始」菜单\程序\启动\*.*"/q/f
42 Del"C:\Docume~1\DefaultUser\「开始」菜单\程序\启动\*.*"/q/f
43 delpsyf.txt,fpath.txt
44 start%SYSTEMROOT%\explorer.exe
45 cls&echo.
46 echo★以下清理移动盘中的EXE病毒,请插入移动盘继续!
47 echo.
48 echo◇移动盘中与文件夹名字相同的EXE程序将被清理。
49 echo◇移动盘中的EXE程序大小小于2M的将被清理。
50 echo◇请做好备份后继续。
51 echo.
52 echo.&pause
53 cls&echo.
54 for/f"skip=1"%%ain('wmiclogicaldiskwhere"drivetype='2'"getdeviceid')do(
55 setlocalEnableDelayedexpansion
56 dir%%a>nul&&IFERRORLEVEL0settvd=%%a
57 )>nul
58 echo.
59 echo移动盘www.2cto.com是:!tvd!
60 echo.
61 echo★正在恢复显示移动盘中的文件,请稍候……(文件过多可能会影响速度。)
62 echo.
63 for/f%%iin("!tvd!")doattrib%%~di\*.*-s-r-h-a/d/s
64 setlocalEnableDelayedexpansion
65 for/r%tvd%%%ein(.)do(
66 setw2=%%~fe
67 for/r%tvd%%%iin(*.exe)do(
68 setw1=%%~dpni
69 if!w1!==!w2!del/f/a/q%%i
70 )
71 )
72 for/r%tvd%%%iin(*.exe)do(
73 if%%~zilss2000000(ifexist%%idel/f/q/a%%i)
74 )
75 del/a/f/q%tvd%\Autorun.inf.exe
76 del/a/f/q%tvd%\Autorun.exe
77 del/a/f/q%tvd%\RECYCLER.exe
78 del/a/f/qRecycled.exe
79 del/a/f/q%tvd%\Notepad.exe
80 del/a/f/q%tvd%\autorun.inf
81 echo移动盘同名文件夹病毒专杀工具>%tvd%\autorun.inf
82 attrib+a+h+r+s%tvd%\autorun.inf
83 copy%0%tvd%>nul
84 cls&echo.
85 echo杀毒完毕!
86 echo.
87 pause

五、安全保护

低安全意识是病毒传播的主要原因。请检查您的USB闪存驱动器，MP 3、 MP 4、存储卡，手机等是否感染了病毒。如果中毒，请注意将其杀死。

特别是那种公用USB闪存驱动器或公用计算机，必须准备专用的USB杀毒工具，在运行之前必须检查并杀死所有插入的磁盘，以有效防止病毒传播。

同时，禁用系统的自动播放功能和免疫自动运行可以有效地防止病毒的自动运行和传播。过去两年中，移动磁盘病毒扩散的主要原因之一是该系统具有两个漏洞，即自动运行和桌面漏洞。请检查您的计算机是否也存在该漏洞。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-347114-1.html