當前位置:網際電腦 > 文章中心 > 網絡技術 > 黑客防線 >手動清除仿文件夾圖標U盤病毒 投稿指南

手動清除仿文件夾圖標U盤病毒

最近學校的打印社幾乎都中了一種U盤病毒,凡是在中都機器插上U盤的,都會根據U盤內已有的文件夾名稱復制出同名的可執行程序,并且把自己文件圖標改成XP系統默認的文件夾圖標,并且把原來存在的文件夾隱藏,這個病毒還具有這樣的功能,被雙擊后會打開可自己一樣名字的文件夾,迷惑性非常高。中毒U盤如下圖1

   

    這個U盤病毒可以說很具有迷惑性,一般情況下你的電腦設置隱藏了文件后綴名和不顯示隱藏文件夾,由于病毒隱藏原有的文件夾并且雙擊病毒程序依然可以打開對應的文件夾,可以說防不勝防。目前這種病毒瑞星查殺不出來,360安全衛士也沒有提示。所以大家要對此病毒提高警惕,以防自己的帳號密碼以及重要數據失竊。

    用PEID查了下,病毒沒有加殼,用C32ASM打開病毒樣本“VIDEO.EXE”,之后對應16進制編輯,搜索“http” 看看有沒有病毒是否還下載其他文件。找到了一處目標,如圖2

   

    發現了一處目標,http://www.yeanq**.com/ul.htm  是一個網址,打開看了一下,是一張普通頁面,這個U盤病毒貌似一個網站推廣程序,對于其他的功能也沒做細分析。我們主要介紹如何清除這個病毒,清除不是很復雜。

 如果你裝了360安全衛士,清除不是很復雜。直接打開開機運行軟件管理,圖3

   

    在最下面看到兩個文件夾圖標沒有公司簽名的程序,兩個全部卸載就可以。這樣就防止了病毒開機直接運行。

    如果沒有裝360安全衛士,打開開機啟動文件夾 圖4

   

    雙擊紅框那里便打開了。打開后如下:圖5

   

刪除紅圈圈上那個快捷方式。這樣還沒有結束,病毒寫了兩處開機啟動,打開注冊表編輯器,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下刪掉相應的啟動鍵值,圖5

   

    之后運行資源管理器找到相應的進程結束掉,圖6

   

    最好最先執行此步驟,因為有些病毒在運行的過程中一直判斷注冊表中的啟動項是否存在,如果不存在了就進行寫入。所以先結束病毒進程是科學的。對于此病毒可以先做哪一部都可以。

    最后根據圖6找到的病毒的所在位置,WINDOWS/sysyem32文件夾下將病毒刪除,圖7

   

    這種U盤病毒的迷惑性非常強,會通過U盤廣泛傳播,如果還帶有下載其他木馬的功能,危害是相當大的,從表面來看貌似一個網站推廣的惡意程序,但還很可能帶有其他的功能,例如木馬間諜功能,可以控制目標計算機,可以隨意從受害者機器上上傳下載文件,對用戶計算機的安全造成嚴重威脅。所以警惕大家從復印社打印回來一定要對自己的U盤殺毒。像一些目前不能被殺毒軟件查殺的病毒,就需要提高警惕了。

責任編輯:beecoadmin
上一篇:中毒我幫你:手工恢復.EXE文件關聯 下一篇:巧用“記事本” 讓病毒白白運行
内蒙古十一选五遗漏号