搞定最近非常流行的一种病毒,真实文件被隐藏的方法
2012-04-20 18:00
190 查看
一、病毒名称
病毒
移动盘中毒后,移动盘中的所有文件夹被隐藏起来,病毒伪装成文件夹,但露出了尾巴,也就是露出了它的扩展名exe以下几个是中毒后的典型特征:
1的文件夹不是文件夹,而是可执行程序,它的图标是文件夹,扩展名为.EXE。
2”开头,如XP-F84AA1B5.EXE、自启动出现两个病毒快捷方式
、常见病毒主体
(随机命名)
winvcreg.exe
og.dll
ul.dll
og.EDT
21c0.EDT
21c0.inf
69fe.inf
com.run
dp1.fne
eAPI.fne
internet.fne
krnln.fnr
RegEx.fnr
shell.fne
spec.fne
msdll.dll
5、自动传播
的文件夹)病毒,该病毒也会自动运行。
、08四、杀毒方式
目前据说瑞星已经将其列入查杀项目,不清楚其它杀毒软件是否有此计划。
安全卫士能够检测出来,但不一定能够完整清理。检测力强,杀毒力软,这也是360当然,杀毒软件每日都在更新,今天说不能杀不代表明天不能杀。
2、手动专杀:
”运行即可,注意格式为【 .bat )
copy %0 %SYSTEMDRIVE%>nul
COLOR 3C
echo 清除病毒……
for /f %%a in (psyf.txt) do (wmic process where name="%%a" get ExecutablePath |find /i ".exe")>>fpath.txt
for /f %%a in (fpath.txt) do if exist %%a (attrib -h -r -s -a %%)&(DEL /F /Q %%a)
for /f "delims=" %%a in (psyf.txt) do (
for /r %SYSTEMROOT%\system32 %%i in (%%a) do (
if exist %%i echo %%i>nul
if exist %%i (attrib -h -r -s %%i)
(DEL /F /Q %%i)
)
)
for /r %SYSTEMROOT%\system32 %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (
if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
)>nul
for /r %temp% %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (
if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
)>nul
attrib -h -r -s %TEMP%\E_4
rd %TEMP%\E_4\
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
echo 中一个无名文件夹的二进制数值?
attrib -r -h -s -a "%USERPROFILE%\启动\.lnk"
del "%USERPROFILE%\启动\.lnk" /q /f
for /f "delims=." %%a in (psyf.txt) do (reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%a /f)
Del "%ALLUSERSPROFILE%\启动\*.*" /q /f
Del "%USERPROFILE%\启动\*.*" /q /f
Del "C:\Docume~1\Default User\启动\*.*" /q /f
del psyf.txt,fpath.txt
start %SYSTEMROOT%\explorer.exe
cls&echo.
echo 病毒,请插入移动盘继续!
echo.
echo 程序将被清理。
echo 程序大小小于2M请做好备份后继续。
echo.
echo.&pause
cls&echo.
for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (
setlocal EnableDelayedexpansion
dir %%a>nul &&IF ERRORLEVEL 0 set tvd=%%a
)>nul
echo.
echo 正在恢复显示移动盘中的文件,请稍候……(文件过多可能会影响速度。)
echo.
for /f %%i in ("!tvd!") do attrib %%~di\*.* -s -r -h -a /d /s
setlocal EnableDelayedexpansion
for /r %tvd% %%e in (.) do (
set w2=%%~fe
for /r %tvd% %%i in (*.exe) do (
set w1=%%~dpni
if !w1! == !w2! del /f/a/q %%i
)
)
for /r %tvd% %%i in (*.exe) do (
if %%~zi lss 2000000 (if exist %%i del /f/q/a %%i)
)
del /a/f/q %tvd%\Autorun.inf.exe
del /a/f/q %tvd%\Autorun.exe
del /a/f/q %tvd%\RECYCLER.exe
del /a/f/q Recycled.exe
del /a/f/q %tvd%\Notepad.exe
del /a/f/q %tvd%\autorun.inf
echo 五、安全防护
、内存卡、手机等等是否中了该病毒,中毒了请注意查杀。
同时,禁用系统的自动播放功能和免疫Autoruns。请检查你的机子是否也存在该漏洞。
病毒
移动盘中毒后,移动盘中的所有文件夹被隐藏起来,病毒伪装成文件夹,但露出了尾巴,也就是露出了它的扩展名exe以下几个是中毒后的典型特征:
1的文件夹不是文件夹,而是可执行程序,它的图标是文件夹,扩展名为.EXE。
2”开头,如XP-F84AA1B5.EXE、自启动出现两个病毒快捷方式
、常见病毒主体
(随机命名)
winvcreg.exe
og.dll
ul.dll
og.EDT
21c0.EDT
21c0.inf
69fe.inf
com.run
dp1.fne
eAPI.fne
internet.fne
krnln.fnr
RegEx.fnr
shell.fne
spec.fne
msdll.dll
5、自动传播
的文件夹)病毒,该病毒也会自动运行。
、08四、杀毒方式
目前据说瑞星已经将其列入查杀项目,不清楚其它杀毒软件是否有此计划。
安全卫士能够检测出来,但不一定能够完整清理。检测力强,杀毒力软,这也是360当然,杀毒软件每日都在更新,今天说不能杀不代表明天不能杀。
2、手动专杀:
”运行即可,注意格式为【 .bat )
copy %0 %SYSTEMDRIVE%>nul
COLOR 3C
echo 清除病毒……
for /f %%a in (psyf.txt) do (wmic process where name="%%a" get ExecutablePath |find /i ".exe")>>fpath.txt
for /f %%a in (fpath.txt) do if exist %%a (attrib -h -r -s -a %%)&(DEL /F /Q %%a)
for /f "delims=" %%a in (psyf.txt) do (
for /r %SYSTEMROOT%\system32 %%i in (%%a) do (
if exist %%i echo %%i>nul
if exist %%i (attrib -h -r -s %%i)
(DEL /F /Q %%i)
)
)
for /r %SYSTEMROOT%\system32 %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (
if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
)>nul
for /r %temp% %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (
if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
)>nul
attrib -h -r -s %TEMP%\E_4
rd %TEMP%\E_4\
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
echo 中一个无名文件夹的二进制数值?
attrib -r -h -s -a "%USERPROFILE%\启动\.lnk"
del "%USERPROFILE%\启动\.lnk" /q /f
for /f "delims=." %%a in (psyf.txt) do (reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%a /f)
Del "%ALLUSERSPROFILE%\启动\*.*" /q /f
Del "%USERPROFILE%\启动\*.*" /q /f
Del "C:\Docume~1\Default User\启动\*.*" /q /f
del psyf.txt,fpath.txt
start %SYSTEMROOT%\explorer.exe
cls&echo.
echo 病毒,请插入移动盘继续!
echo.
echo 程序将被清理。
echo 程序大小小于2M请做好备份后继续。
echo.
echo.&pause
cls&echo.
for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (
setlocal EnableDelayedexpansion
dir %%a>nul &&IF ERRORLEVEL 0 set tvd=%%a
)>nul
echo.
echo 正在恢复显示移动盘中的文件,请稍候……(文件过多可能会影响速度。)
echo.
for /f %%i in ("!tvd!") do attrib %%~di\*.* -s -r -h -a /d /s
setlocal EnableDelayedexpansion
for /r %tvd% %%e in (.) do (
set w2=%%~fe
for /r %tvd% %%i in (*.exe) do (
set w1=%%~dpni
if !w1! == !w2! del /f/a/q %%i
)
)
for /r %tvd% %%i in (*.exe) do (
if %%~zi lss 2000000 (if exist %%i del /f/q/a %%i)
)
del /a/f/q %tvd%\Autorun.inf.exe
del /a/f/q %tvd%\Autorun.exe
del /a/f/q %tvd%\RECYCLER.exe
del /a/f/q Recycled.exe
del /a/f/q %tvd%\Notepad.exe
del /a/f/q %tvd%\autorun.inf
echo 五、安全防护
、内存卡、手机等等是否中了该病毒,中毒了请注意查杀。
同时,禁用系统的自动播放功能和免疫Autoruns。请检查你的机子是否也存在该漏洞。
相关文章推荐
- (转)关于最近疯狂流行的文件夹变成exe文件的病毒查杀办法
- 最近流行的一种清除浮动的别致方法
- 关于U盘中病毒将文件改为系统文件属性并隐藏文件夹的解决方法
- 关于U盘中病毒将文件改为系统文件属性并隐藏文件夹的解决方法
- autorun.inf+无法显示隐藏文件+病毒的清除方法
- 手动清除操作系统内隐藏病毒文件的方法
- 一种Linux下隐藏文件的新方法
- 解决U盘感染病毒后所有文件及文件夹被隐藏的方法
- win10系统隐藏最近使用的文件和常用文件夹方法图解
- [推荐]无法显示隐藏文件的病毒的清除方法 ---转载
- ASP二进制流方法隐藏图片文件真实地址
- 识别病毒文件的四个非常不错的方法
- .lnk文件 和一种较新的.lnk病毒及解决方法
- 最近流行的一些木马群的查杀方法
- Mac OS X下显示隐藏文件方法
- 最近流行的ARP病毒彻底清除方法
- 一种LaTeX类文件 (cls) 与主文件 (tex)的参数传递方法
- XP下修正“显示隐藏文件夹及文件”方法
- 极其方便的 注册/反注册 dll,ocx文件的方法~~~右键直接搞定
- 复制文件有一种方法出现乱码