回答:
這是另一種文件夾圖示病毒,同樣具有Autorun屬性。該病毒是用易語言編寫,運行後會在系統目錄下生成類似XP-8B618895.EXE的病毒副本,其中8B618895是隨機的,並搜索移動設備,生成autorun文件,並根據移動存儲設備根目錄文件夾名生成同名EXE文件,並將原文件夾隱藏起來。另外病毒還會刪除臨時文件及Cookies,刪除IE訪問記錄TypedURL。
生成文件(以系統盤為C碟,winxp Sp3為例,U:\代表usb碟代號)
C:\WINDOWS\system32\XP-8B618895.EXE 1,501,856
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\啟動 任一捷徑指向C:\WINDOWS\system32\XP-8B618895.EXE(注意空格)
U:\autorun.inf
U:\Recycled.exe
在usb碟根目錄生成文件夾圖標同名EXE文件
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
添加註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run XP-8B618895(這裡也是隨機的,根據病毒名生成的不同而變)
查殺方式:
1.下載usbcleaner.並運行其中的foldercure.exe 下載地址:http://wwww.usbcleaner.cn
2.手動查殺:
結束進程
XP-8B618895.EXE(注意名稱不固定,最好用icesword,其圖標是文件夾容易區分)
依次刪除
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\啟動 中的捷徑指向C:\WINDOWS\system32\XP-8B618895.EXE者(注意空格)
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
刪除病毒啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
XP-8B618895(此處根據病毒名稱而定)
手動刪除U盤根目錄的文件夾圖標同名EXE文件
***************************************************************
以上案例中的*.fnr均為易語言所編譯,在使用中國製產品時比較容易遇到,當然也有病毒開發者也用易語言去編寫病毒,但除非您有上述解答中的情況出現(如出現XP-8B618895.EXE等),否則您的防毒軟體有可能僅是誤報,可不予理會或加入信任區!
留言列表