文件夹后缀变成exe的防护&解决--688IT编程网

Windows文件夹后缀变成exe的防护方法

病毒名称：Worm.Win32.AutoRun.soq

病毒类型：蠕虫类

危害级别：3

感染平台：Windows

病毒行为：

1、病毒运行后会释放以下文件：com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE（后8位随机）到系统盘的\WINDOWS\system32里面

2、新增以下注册表项，已达到病毒随系统启动而自启动的目的。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

注册表值：XP-290F2C69（后8位随机）

类型：REG_SZ

值：C:\WINDOWS\system32\XP-290F2C69.EXE（后8位随机）

3、添加以下启动项，实现病毒自启动：

“C：\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“　.lnk”指向病毒文件。

4、下载病毒文件： hxxp://df-123/v.gif（16,896 字节）保存为以下文件，并且运行它们：

%Windir%\

%Windir%\System32\2080.EXE (名称随机)

5、被感染的电脑接入移动磁盘后，病毒会遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒，以达到病毒随移动磁盘传播的目的。

二、解决方案

专杀清除方法：

到这里下载专杀“文件夹同名病毒专杀”

tzc0120.qupan/?folder=302111

建议再下载usbcleaner20081119.zip

手工清除方法：

1、结束病毒进程。打开超级巡警，选择进程管理功能，终止进程XP-290F2C69.EXE（后8位随机），，（随机名）。

2、删除病毒在System32生成的以下文件：

com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69. 2080.EXE（随机名）

3、删除病毒的启动项，删除以下启动项：

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE（后8位随机）；

“C：\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“　.lnk”。

4、显示移动磁盘里隐藏的原有文件夹，方法是：工具--文件夹选项--查看--取消"隐藏受保护的操作系统文件"前的勾，以及选择"显示所有的文件和文件夹"确定，并删除以文件夹图标为图标的exe病毒文件。

三、安全建议

养成右键打开U盘的习惯，建议安装360安全卫士

或者是开启USBCleaner的保护程序

这个毒是小毒来的，只要你装了360，开启了除ARP防火墙（可根据个人再开启）其余的实时保护，就

不再怕那个毒了

------------------qsyptw编辑----------------------

虽然是小毒，但是safe360最新版（比如目前的5.0）、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0版都杀不了这个毒，甚至查都查不出来，当然，病毒库都是最新的，除了专杀好象其他杀软都对这个毒忽略了，让我感到意外的是瑞星居然还能查杀，虽然我对瑞星的杀毒能力一直持怀疑态度，这个毒的数据我也提交了好几次，但是杀软和这个毒一直相安无事。

(进安全模式下杀.确实麻烦C:\windows\system32\XP-02B94AC1.EXE)

详细说明

在移动存储设备较多的网络环境内，出现了不少带有.exe后缀文件夹图标的病毒。此类病毒以恶搞和破坏相结合，这个叫sola病毒也可能是TxoMoU.Exe木马病毒。应该是U盘感染的，下面我们以破坏方式分析这种病毒。

病毒运行后，会在系统注入多个扩展名为dll文件，之后每次开机时，病毒体会通过加截的dll文件进入到系统进程中。进入系统进程后，病毒会检测系统是否具备系统存储设备。有的病毒可能会隐藏原文件夹，并创建和文件夹同中，外形图标相同的病毒文件，并且继续引诱用户点击病毒运行。此类文件在处理上，需要针对几个文件进行免杀，比较繁琐。　

也有的病毒体在运行后，释放一个较小的文件病毒。这种类型病毒只恶搞移动存储设备内的根目录下的文件夹，子目录下的文件夹和文件不受影响，并且这类病毒还会对系统鹰爪夹进行一些恶搞性的调整。对付这类病毒，最主要的是关注它释放的三十KB左右的病毒文件。但这类病毒也有一个显著的特点，它会向“开始菜单”的“启动”文件新一代内注入一个快捷方式，指向系统目录内的病毒文件，中毒者可以通过快捷方式的指向来查看病毒文件。

这种病毒的传播方式主要表现为：打开U盘等盘符后，病毒不断同名复制原文件夹，并以".exe"结尾，把原文件隐藏，欺骗用户去点击，从而导致用户重招，并不断复制传播，感染其他文件夹。

中此病毒后文件现状表现如下，大小一般是几十kb到几M那么大，其实伪装的病毒文件和原文件大小也是有差别的。

其实原文件是被篡改属性后被隐藏起来了，通过如下几种方式来查原文件。

一、工具→文件夹选项→查看→勾选"显示所有文件和文件夹"→确定，就能查看到了真正被隐藏了的原文件。

二、方式是通过命令提示符还原原文件属性，运行"cmd"命令，转至相应盘符，使用"dir /a"命令查看被隐藏文件，并使用"attrib"命令来恢复文件属性。

进入病毒感染盘符--查看隐藏了的原文件--用原文件和伪装的病毒文件对比--使用本命令并加相关参数恢复文

件属性，"***"代表要恢复的文件

第三种方式可以用一个bat文件来恢复，复制代码到记事本，保存为.bat文件即可，这个bat文件的代码如下。

echo.::::::::::::::::::::::::::::::::::::::::::::::::::::::

@echo:：正在还原你的文件，请稍侯......

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

FOR %%a IN ( c: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -H -S %%a*.* /s /d

ATTRIB -H -S "%userprofile%桌面*.*" /s /d

ATTRIB -H -S "%userprofile%My Documents*.*" /s /d

ping -n 120 localhost

FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO del %%a看一看.txt

del "%userprofile%桌面看一看.txt"

del "%userprofile%My Documents看一看.txt"

color 4F

color 0C

color 4F

color 0C

color 4F

color 0C

@echo 文件已还原!

有程序正在修改镜像劫持@pause

作了如上操作之后，回到盘符根目录，作好原文件的备份后(当然，这样操作是为了万无一失)，可以直接删掉病毒文件，如下图以".exe"结尾的所有感染文件。

清理完U盘里的病毒后不久，文件夹又变成了exe，或者强制恢复了文件夹属性后不久又变回隐藏属性，这是怎么回事？

答：这个无疑是你电脑本身就有此病毒，病毒程序会自动检测U盘，并自动感染里面的文件夹，所以只清理U盘里的病毒是不行的，根本的还是要干掉电脑里的病毒，要不然下次连接电脑还会中此病毒。用“usbcleaner” 比较好

TxoMoU.Exe木马病毒

1、打开“我的电脑”的“文件夹选项”的“查看”选项卡，把“显示系统文件夹的内容”前打上√，把“隐藏受保护的操作系统文件（推荐）”前的√去掉，点上“显示所有文件和文件夹”，“隐藏已知文件类型的扩展名”前的√去掉，然后“应用”，“确定”。再进一遍“查看”选项卡，看看“显示所有文件和文件夹”选上了没有。如果选上了那还好，如果那个点还是在“不显示隐藏的文件和文件夹”上面的话，那么就需要修改注册表了。

2、打开注册表（开始—→运行—→regedit），依次展开至：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，观察右边的窗口中的CheckedValue键值项，看其小图案是不是紫褐的“ab”。如果是的话，那就需要作如下操作：

按右键，选“重命名”，把这个键值名复制下来后，把这个键值名字改掉，如后面加个1；然后在空白处点右键，然后“新建”—→“DWORD值”，然后把这个新建的DWORD值重命名为“CheckedValue”，再把其值改为1，把刚才那个“CheckedValue1”删掉。

现在再重新打开“文件夹选项”的“查看”选项卡，就可以把“显示所有文件和文件夹”选上

了。

2、打开我的电脑，进入硬盘分区，右键选择“排列图标”中的“修改时间”，即选按“修改时间”的顺序排列文件，并在“文件夹选项”中的“查看”选择“应用到所有文件夹”。

3、打开每个分区的根目录，如C:/、D:/、E:/等，到隐藏文件和另一个貌似以auto开头的隐藏文件，分别删除。删除时，最好能先用unlocker解除锁定，因为我发现如果不先解锁的话，有可能貌似被删除了但却删除不干净——unlocker是一个不错的常备小工具，可以把一些正在运行中的文件给解锁。

4、打开主系统和备用系统的WINDOWS\system32文件夹，仔细察看文件修改的时间，把中毒那个时候生成可疑文件辨别清楚后，给咔嚓掉。其中一个就是那个TxoMoU.Exe，如果文件是按时间顺序排列的话，那几个病毒文件就在它的前后。

5、在同样的WINDOWS\system32文件夹，再寻2000年同一天同一个时间生成其他几个可疑文件，仔细辨别并确认后，一并清除。如中毒时间是2007年11月22日17时47分的话，那么就寻2000年11月22日17时47分左右生成的文件。

解决Ｕ盘里文件夹变ＥＸＥ文件问题

今天用U盘拷东西，发现文件夹后都有个exe，打不开删了又会生成，发现是中毒了，下面是查杀步骤：

病毒手段：

根据老白的描述，这一病毒必然是更改了注册表，将显示隐藏文件这一功能给关了，同时将所有正常文件都加上了隐藏属性，所以大家就看不到自己的文件只是看到一些EXE的病毒生成的同名文件夹．不过如果该病毒只是采用这一招的话那手段并不高明，要是我写这一病毒，我必然会同时禁止掉任务管理器，同时禁止所有的杀毒软件，一发现杀毒软件就把它的进程杀掉，最后再写个保护进程的机制，每隔几秒就自动检测病毒生成文件也就是触发文件是否被删，如果被删就再自动生成．呵呵以上只是个人的一些方法，大家就不要去写了，因为写病毒是违法的，只是让大家了解下这方面的知识罢了．对了老白说是只有Ｕ盘中．应该是利用autorun.inf 在作怪，同时提醒大家一点利用这招可以让你的所有磁盘都中毒，所以如果你右击你的磁盘发现弹出的菜单有两个打开可是一个打开为加粗状态，那就不要直接双击打开该磁盘了，改用资源管理器打开．

下解决方案：

重启电脑按F8进入安全模式（因为我没见到具体症状，所以让大家在安全模式下杀会安全些．），经下

列注册表键值拷进记事本中另存为***.reg文件，直接双击，会提示说是否导入注册表，选择是，然后会提示导入成功，执行第4步后，此时打开＂我的电脑＂－－工具－－文件

夹选项－－将里面的隐藏文件和文件夹下的显示所有文件和文件夹，隐藏受保护的操作系统文件(推荐)选中点击确定，系统文件即可显示。

1.用Wsyscheck将红可疑进程同时关掉，，，，。

2.删除病毒加入启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup\0\0]

"Script"="C:\\WINDOWS\\Cursors\\Boom.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

@="C:\\WINDOWS\\system\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

@="C:\\WINDOWS\\system32\\dllcache\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

"sys"="C:\\WINDOWS\\Fonts\\"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

@="C:\\WINDOWS\\system32\\dllcache\\"

3.删除镜像劫持：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]