U盘里的文件夹变成exe文件,有办法恢复吗?

U盘里的文件夹变成exe文件,有办法恢复吗?,第1张

你的U盘感染了exe病毒,实际的文件被隐藏了,你去下一个exe病毒专杀软件就可以恢复了。

EXE病毒

一、病毒原理及相关分析

木马名称:WormWin32AutoRunsoq

当你把你的U盘插入到一台电脑后,突然发现U盘内生成了以文件夹名字命名的文件,扩展名为exe,更要命的是它们的图标跟文件夹是一样的,很具有迷惑性。相信很多人见到过这种情况,我已经在百度知道上回答了同一个问题N次了,但是还是有人会中奖,所以在这里建立一个百科,希望对大家有用。

一台电脑中毒后,电脑里面会有一个 XP-exe(其中是一个大写字母与数字混合,如XP-02B94AC1exe)的类似XP补丁的进程以及D7F45exe的类似进程,同时建立D7F45exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如 软件exe 这样的病毒文件夹,文件夹大小为144M,不知道的人双击就会中毒。

病毒名称:WormWin32AutoRunsoq

病毒类型:蠕虫类

危害级别:3

感染平台:Windows

病毒行为:

1、病毒运行后会释放以下文件:comrun dp1fne eAPIfne internetfne krnlnfnr ogdll ogedt RegExfnr fne specfne uldll XP-290F2C69EXE(后8位随机)(其中comrun dp1fne eAPIfne internetfne krnlnfnr RegExfnr fne specfne 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面

2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

注册表值:XP-290F2C69(后8位随机)

类型:REG_SZ

值:C:\WINDOWS\system32\XP-290F2C69EXE(后8位随机)

3、添加以下启动项,实现病毒自启动:

“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ lnk”指向病毒文件。

4、下载病毒文件: hxxp://df-123cn/vgif(16,896 字节)保存为以下文件,并且运行它们:

%Windir%\System32\winvcregexe 

%Windir%\System32\2080EXE (名称随机) 

5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移动磁盘传播的目的。

二、解决方案

专杀清除方法:

下载瑞星等杀毒软件。(网上有免费正版的,只不过好像只能使用半年左右)

手工清除方法:

1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69EXE(后8位随机),winvcregexe,2080exe(随机名)。

2、删除病毒在System32生成的以下文件:

comrun dp1fne eAPIfne internetfne krnlnfnr ogdll ogedt RegExfnr fne specfne uldll XP-290F2C69EXE winvcregexe 2080EXE(随机名) 

3、删除病毒的启动项,删除以下启动项:

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69EXE(后8位随机);

“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ lnk”。

4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。点击“开始”---“运行”----输入“cmd” ,进入命令提示符,然后进入你U盘所在的根目录,具体 *** 作如下,比如你的U盘盘符位G,那么就输入“g:”在回车就可以了。最后,输入如下命令:attrib -r -a -s -h /s /d。

三、安全建议

养成右键打开U盘的习惯,建议安装360安全卫士

或者是开启USBCleaner的Usbmonexe保护程序

这个毒是小毒来的,只要你装了360,开启了除ARP防火墙(可根据个人再开启)其余的实时保护,就不再怕那个毒了

虽然是小毒,但是safe360最新版(比如目前的50)、KAV70、NOD32 EAV30版、NOD32 ESS30版都杀不了这个毒,甚至查都查不出来,当然,病毒库都是最新的,除了专杀好象其他杀软都对这个毒忽略了,让我感到意外的是瑞星居然还能查杀,虽然我对瑞星的杀毒能力一直持怀疑态度,这个毒的数据我也提交了好几次,但是杀软和这个毒一直相安无事。

最新消息,目前KAV70的最新病毒库已经能查杀该病毒了(可能是变种)

正常的Rundll32exe被完全破坏,只能通过备份恢复,或者通过工具——文件夹选项——查看——显示所有文件和文件夹,然后你变可看到你被感染的文件,被感染的文件会在文件夹名称后面加上exe后缀,但同时也有一个隐藏的同名文件夹,如果你想要不丢失你的被感染文件,可以打开没有exe后缀的文件夹,把里面的文件复制出来,保存于别的硬盘,然后再删除被加上exe后缀的文件夹和隐藏的同名文件夹,即可。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/12935534.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-29
下一篇 2023-05-29

发表评论

登录后才能评论

评论列表(0条)

保存