搞定最近非常流行的一种病毒，真实文件被隐藏的方法

一、病毒名称

病毒

移动盘中毒后，移动盘中的所有文件夹被隐藏起来，病毒伪装成文件夹，但露出了尾巴，也就是露出了它的扩展名exe以下几个是中毒后的典型特征：

1的文件夹不是文件夹，而是可执行程序，它的图标是文件夹，扩展名为.EXE。

2”开头，如XP-F84AA1B5.EXE、自启动出现两个病毒快捷方式

、常见病毒主体

（随机命名）

winvcreg.exe

og.dll

ul.dll

og.EDT

21c0.EDT

21c0.inf

69fe.inf

com.run

dp1.fne

eAPI.fne

internet.fne

krnln.fnr

RegEx.fnr

shell.fne

spec.fne

msdll.dll

5、自动传播

的文件夹）病毒，该病毒也会自动运行。

、08四、杀毒方式

目前据说瑞星已经将其列入查杀项目，不清楚其它杀毒软件是否有此计划。

安全卫士能够检测出来，但不一定能够完整清理。检测力强，杀毒力软，这也是360当然，杀毒软件每日都在更新，今天说不能杀不代表明天不能杀。

2、手动专杀：

”运行即可，注意格式为【 .bat ）

copy %0 %SYSTEMDRIVE%>nul

COLOR 3C

echo 清除病毒……

for /f %%a in (psyf.txt) do (wmic process where name="%%a" get ExecutablePath |find /i ".exe")>>fpath.txt

for /f %%a in (fpath.txt) do if exist %%a (attrib -h -r -s -a %%)&(DEL /F /Q %%a)

for /f "delims=" %%a in (psyf.txt) do (

for /r %SYSTEMROOT%\system32 %%i in (%%a) do (

if exist %%i echo %%i>nul

if exist %%i (attrib -h -r -s %%i)

(DEL /F /Q %%i)

)

)

for /r %SYSTEMROOT%\system32 %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (

if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)

)>nul

for /r %temp% %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (

if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)

)>nul

attrib -h -r -s %TEMP%\E_4

rd %TEMP%\E_4\

attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"

attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"

attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"

DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"

DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"

DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"

echo 中一个无名文件夹的二进制数值？

attrib -r -h -s -a "%USERPROFILE%\启动\.lnk"

del "%USERPROFILE%\启动\.lnk" /q /f

for /f "delims=." %%a in (psyf.txt) do (reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%a /f)

Del "%ALLUSERSPROFILE%\启动\*.*" /q /f

Del "%USERPROFILE%\启动\*.*" /q /f

Del "C:\Docume~1\Default User\启动\*.*" /q /f

del psyf.txt,fpath.txt

start %SYSTEMROOT%\explorer.exe

cls&echo.

echo 病毒，请插入移动盘继续！

echo.

echo 程序将被清理。

echo 程序大小小于2M请做好备份后继续。

echo.

echo.&pause

cls&echo.

for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (

setlocal EnableDelayedexpansion

dir %%a>nul &&IF ERRORLEVEL 0 set tvd=%%a

)>nul

echo.

echo 正在恢复显示移动盘中的文件，请稍候……（文件过多可能会影响速度。）

echo.

for /f %%i in ("!tvd!") do attrib %%~di\*.* -s -r -h -a /d /s

setlocal EnableDelayedexpansion

for /r %tvd% %%e in (.) do (

set w2=%%~fe

for /r %tvd% %%i in (*.exe) do (

set w1=%%~dpni

if !w1! == !w2! del /f/a/q %%i

)

)

for /r %tvd% %%i in (*.exe) do (

if %%~zi lss 2000000 (if exist %%i del /f/q/a %%i)

)

del /a/f/q %tvd%\Autorun.inf.exe

del /a/f/q %tvd%\Autorun.exe

del /a/f/q %tvd%\RECYCLER.exe

del /a/f/q Recycled.exe

del /a/f/q %tvd%\Notepad.exe

del /a/f/q %tvd%\autorun.inf

echo 五、安全防护

、内存卡、手机等等是否中了该病毒，中毒了请注意查杀。

同时，禁用系统的自动播放功能和免疫Autoruns。请检查你的机子是否也存在该漏洞。