解决U盘文件变成EXE的问题

解决Ｕ盘里文件夹变ＥＸＥ文件问题

今天用U盘拷东西，发现文件夹后都有个exe，打不开删了又会生成，发现是中毒了，下面是查杀步骤：

病毒手段：根据老白的描述，这一病毒必然是更改了注册表，将显示隐藏文件这一功能给关了，同时将所有正常文件都加上了隐藏属性，所以大家就看不到自己的文件只是看到一些EXE的病毒生成的同名文件夹．不过如果该病毒只是采用这一招的话那手段并不高明，要是我写这一病毒，我必然会同时禁止掉任务管理器，同时禁止所有的杀毒软件，一发现杀毒软件就把它的进程杀掉，最后再写个保护进程的机制，每隔几秒就自动检测病毒生成文件也就是触发文件是否被删，如果被删就再自动生成．呵呵以上只是个人的一些方法，大家就不要去写了，因为写病毒是违法的，只是让大家了解下这方面的知识罢了．对了老白说是只有Ｕ盘中．应该是利用autorun.inf 在作怪，同时提醒大家一点利用这招可以让你的所有磁盘都中毒，所以如果你右击你的磁盘发现弹出的菜单有两个打开可是一个打开为加粗状态，那就不要直接双击打开该磁盘了，改用资源管理器打开．

好了说了一堆废话，现在说下解决方案：

重启电脑按F8进入安全模式（因为我没见到具体症状，所以让大家在安全模式下杀会安全些．），经下列注册表键值拷进记事本中另存为***.reg文件，直接双击，会提示说是否导入注册表，选择是，然后会提示导入成功，执行第4步后，此时打开＂我的电脑＂－－工具－－文件夹选项－－将里面的隐藏文件和文件夹下的显示所有文件和文件夹，隐藏受保护的操作系统文件(推荐)选中点击确定，系统文件即可显示。

1.用Wsyscheck将红色可疑进程同时关掉，Default.exe，KEYBOARD.exe，Fonts.exe，Global.exe。

2.删除病毒加入启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scri pts\Startup\0\0]

"Script"="C:\\WINDOWS\\Cursors\\Boom.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] @="C:\\WINDOWS\\system\\KEYBOARD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once]

@="C:\\WINDOWS\\system32\\dllcache\\Default.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polici es\Explorer\Run]

"sys"="C:\\WINDOWS\\Fonts\\Fonts.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc e]

@="C:\\WINDOWS\\system32\\dllcache\\Default.exe"

3.删除镜像劫持：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\auto.exe] "Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\autorun.exe] "Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\autoruns.exe] "Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\boot.exe] "Debugger"="C:\\WINDOWS\\Fonts\\fonts.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\ctfmon.exe] "Debugger"="C:\\WINDOWS\\Fonts\\Fonts.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\msconfig.exe] "Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\procexp.exe] "Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\https://www.360docs.net/doc/2c15421241.html,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\\WINDOWS\\Fonts\\tskmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]

"GlobalFlag"="0x000010F0"

4.将 .reg 文件名关联，右键属性，更改选择"C:\WINDOWS\regedit.exe",确定即可。

5.病毒隐藏了exe文件扩展名显示，打开注册表，开始－－运行－－regedit进入注册表，删除以下键值即可。

[HKEY_CLASSES_ROOT\exefile]

"NeverShowExt"="1"

6.修复显示系统文件，将下面代码拷贝到记事本里，另存为showall.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]

"TaskbarSizeMove"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder]

"Type"="group"

"Text"="@shell32.dll,-30498"

"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f ,00,74,\

00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53, 00,\

48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,0 0,\

"HelpID"="shell.hlp#51140"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\ClassicViewState]

"Type"="checkbox"

"Text"="@shell32.dll,-30506"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="ClassicViewState"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\ControlPanelInMyComputer] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideM yComputerIcons"

"Text"="@shell32.dll,-30497"

"Type"="checkbox"

"ValueName"="{21EC2020-3AEA-1069-A2DD-08002B30309D}" "CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000001

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51150"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\DesktopProcess]

"Type"="checkbox"

"Text"="@shell32.dll,-30507"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="SeparateProcess"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\DesktopProcess\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\DesktopProcess\Policy\SeparateProcess]

@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\DisableThumbCache]

"Type"="checkbox"

"Text"="@shell32.dll,-30517"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="DisableThumbnailCache"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51155"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\FolderSizeTip]

"Type"="checkbox"

"Text"="@shell32.dll,-30514"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="FolderContentsInfoTip"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\FriendlyTree]

"Type"="checkbox"

"Text"="@shell32.dll,-30511"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="FriendlyTree"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"HelpID"="shell.hlp#51149"

"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden]

"Text"="@shell32.dll,-30499"

"Type"="group"

"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f ,00,74,\

00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53, 00,\

48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,0 0,\

"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\HideFileExt]

"Type"="checkbox"

"Text"="@shell32.dll,-30503"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="HideFileExt"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"DefaultValue"=dword:00000001

"HelpID"="shell.hlp#51101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\NetCrawler]

"Type"="checkbox"

"Text"="@shell32.dll,-30509"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="NoNetCrawling"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51147"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\NetCrawler\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\NetCrawler\Policy\NoNetCrawling]

@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\PersistBrowsers]

"Type"="checkbox"

"Text"="@shell32.dll,-30513"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="PersistBrowsers"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"HelpID"="shell.hlp#51152"

"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\ShowCompColor]

"Type"="checkbox"

"Text"="@shell32.dll,-30512"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="ShowCompColor"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"DefaultValue"=dword:00000001

"HelpID"="shell.hlp#51130"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\ShowFullPath]

"Type"="checkbox"

"Text"="@shell32.dll,-30504"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Cabine tState"

"ValueName"="FullPath"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51100"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\ShowFullPathAddress]

"Type"="checkbox"

"Text"="@shell32.dll,-30505"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Cabine tState"

"ValueName"="FullPathAddress"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"DefaultValue"=dword:00000001

"HelpID"="shell.hlp#51107"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\ShowInfoTip]

"Type"="checkbox"

"Text"="@shell32.dll,-30502"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="ShowInfoTip"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"HelpID"="shell.hlp#51102"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\SimpleSharing]

"Type"="checkbox"

"Text"="@shell32.dll,-30518"

"HKeyRoot"=dword:80000002

"RegPath"="System\\CurrentControlSet\\Control\\LSA" "ValueName"="ForceGuest"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"HelpID"="shell.hlp#51154"

"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\SuperHidden]

"Type"="checkbox"

"Text"="@shell32.dll,-30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\WebViewBarricade]

"Type"="checkbox"

"Text"="@shell32.dll,-30510"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advan ced"

"ValueName"="WebViewBarricade"

"CheckedValue"=dword:00000001

"UncheckedValue"=dword:00000000

"HelpID"="shell.hlp#51148"

"DefaultValue"=dword:00000000

7.打开运行,输入cmd,进入相关中毒的盘符（如你的Ｕ盘是G盘则输入g: 然后输车就行）然后

dir /a (显示所有文件)

看看有没有autorun.inf文件,有的话就删，命令如下：del autorun.inf

重复上边的操作,直到把所有盘下的autorun.inf都删掉

8.现在可以安全的打开"我的电脑"了

找到和文件夹名字一样的应用程序(.exe)全删了

9.但是原来的文件夹还是隐藏的,而且不可以改.

现在去除它们的属性，一样还是开始---运行----输入cmd回车，然后进入你中毒的那个盘，这一步应该不用我说了，就是上面的g:或者Ｄ：之类了．然后输入

attrib 你要恢复的文件名-a -s -r -h

如attrib 我的文档.doc -a -s -r -h

把需要的文件夹恢复就可以了

10.最后查下系统的启动项是不是有不明程序，有则删，如果这一步你不会操作，那我建议下个360里面在高级里有一项可以查看系统的启动项并有相关提示，用它删对于不太了解的人保险系数更大．

11.下载瑞星半年免费版，安装升级到最新病毒库后，全盘杀毒！

好了杀毒结束，相信经过上述步骤病毒已经清除，电脑嘛多中中毒，自己再学着杀杀毒，就能成为高手了，呵呵开玩笑的，有还没有解决的请顶贴说明．祝大家电脑安康啊，呵呵！

文件夹变成exe,所有文件夹变成exe怎么办

文件夹变成exe，所有文件夹变成exe怎么办根据网络安全的调查，发现最近文件夹变成exe的病毒困扰了不少的网友，很多网友中招之后只能是重装系统。下面小编将为大家开放专题课程手把手教大家所有文件夹变成exe修复方法，就用杀毒软件进行清除。文件夹变成exe，所有文件夹变成exe怎么办网友最佳回答：这种情况有可能是感染病毒，而且是披了个文件夹图标的马甲，你可以大胆的删除掉!你本身的文件夹则被隐藏了!打开文件夹选项-查看-显示所有文件，找到被隐藏的文件夹，更改属性，去掉隐藏前的勾!就可以了!最后提醒你一下，记得杀杀毒啊! 所有文件夹变成exe怎么办网友电脑中文件夹变成exe后，网友如果不细心可能还不能发现电脑已经中毒，如果电脑设置的是默认的隐藏文件后缀名，用户发现的概率更低了。如果有网友怀疑电脑中了文件夹变成exe的病毒，

先将文件后缀名显示的选项打开。(请看下图详解)如果发现有很多与很多与文件夹同名的exe后缀的文件，那么就是中毒了。现在大家会发现原来杀毒工具不光能够对游戏起到很好的保护作用，对于这类文件夹变成exe的病毒也能起到一个很好的查杀，不幸中招的网友可以下载杀毒软件或者木马查杀工具进行查杀。文件夹变成exe病毒现象用户如果不幸中了这个病毒，就会发现所有的文件夹都变成了exe，同时会出现电脑卡的情况，因为CPU资源被病毒占用了，这时候就需要用杀毒软件进行查杀了。相关文章： 1.文件夹变成exe,所有文件夹变成exe怎么办

2.xlive.dll放在哪,没有找到xlive.dll怎么办 3.无法删除文件的解决办法 4.alg是什么进程能关闭吗 5.电脑空文件夹无法删除怎么办 6.c盘满了空间不足怎么办

手工清理病毒原来可以如此简单

手工清理病毒原来可以如此简单 2007-12-14来源: 进入论坛编者按：当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗？笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它，而不是重装系统，或者在重装N次系统以后无奈的选择格式化，结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒（本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒）。第一步：知己知彼，百战百胜要战胜AV终结者，我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征： 1.在多个文件夹内生成随机文件名的文件旧版本的AV终结者在任务管理器里可以查看2个随机名的进程，新的变种文件名格式发生变化，目前我遇到过2种。一种是随机8个字母+数字.exe和随机8个字母+数字.dll；另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个： C:\windows C:\windows\help C:\Windows\Temp C:\windows\system32 C:\Windows\System32\drivers C:\Program Files\ C:\Program Files\Common Files\microsoft shared\ C:\Program Files\Common Files\microsoft shared\MSInfo C:\Program Files\Internet Explorer 以及IE缓存等这个是我个人总结出来的，随着病毒的变种。获取还有其他的。我这里只提供参考。 2.感染磁盘及U盘当你的系统中了AV终结者，你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思，此时你的电脑已经中毒了，而且如果你这个时候企图插入移动硬盘、U盘，或者刻录光盘以保存重要资料，都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。当你重装完系统，必定会有双击打开硬盘寻找软件或者驱动的时候，这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦！ 3.破坏注册表导致无法显示隐藏文件我们一起来看看磁盘里的Autorun.inf，因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征，所以我们这里用到几条简单的dos命令。开始菜单-运行-输入“cmd”来到cmd界面，输入“D:” 跳转到D盘根目录，因为AV是不感染C盘根目录的，再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件，包含隐藏文件。如图：

以Safedrvse.exe为例进行蠕虫病毒行为分析与清除

以Safedrvse.exe为例进行蠕虫病毒行为分析与清除【摘要】蠕虫病毒是目前所有计算机病毒中数量最多、传播最快、危害最大的一种病毒类型。如何有效的进行蠕虫病毒的防范与清除，是目前在计算机信息安全领域面临的一个严峻问题。只有清楚掌握蠕虫病毒在计算机中的运行情况，了解其行为，才能有效的对其进行防范和清除。本文以典型的蠕虫病毒Safedrvse.exe病毒为例说明蠕虫病毒的分析与清除方法。【关键词】蠕虫病毒；行为分析；病毒防治 1.Safedrvse.exe病毒行为分析 1.1 Safedrvse.exe病毒简介 Safedrvse.exe病毒目前大范围感染高校内的计算机，使得计算机无法正常的使用。Safedrvse.exe病毒还会自动搜索和关闭杀毒软件，被长时间深度感染的计算机中的应用程序往往都会被破坏掉，使得计算机几乎无法正常使用。 1.2病毒行为分析在虚拟机系统中，通过filemon监控工具、HA_ProcessExplorer进程分析工具和icesword病毒分析工具对病毒行为进行分析。开启filemon后运行病毒程序，filemon会记录病毒的运行情况。（1）找到病毒副本 Safedrvse.exe病毒在系统中的C：＼Program Files＼Common Files目录下创建了病毒文件的副本如图1所示。打开相应的文件夹可以验证病毒副本的存在如图2所示。并且病毒还会在系统中所有盘符的根目录中生成病毒副本。图1 病毒在系统中创建副本图2在系统中的病毒副本（2）找到病毒进程进程的判定对于病毒的分析非常重要。由于Safedrvse.exe病毒将自己在系统中的进程注入到svchost.exe 进程中，使得病毒本身具有较强的隐蔽性和迷惑性。在filemon的记录中可以看到svchost.exe 进程与病毒文件之间的关系，从而可以初步断定编号为2504的进程是病毒进程。图3 病毒进程读写病毒文件在HA_ProcessExplorer工具中可以看到，其中进程号为2504的svchost.exe 进程与系统中其它svchost.exe进程不同，它是explorer.exe的子进程，说明它是用户进程而不是系统进程。图4编号为2504的svchost.exe进程是explorer.exe的子进程打开资源管理器同样可以看到只有一个svchost.exe进程是用户进程如图5所示。图5 svchost.exe进程是用户进程（3）找到病毒启动项蠕虫病毒通常会加载到注册表的自启动项中。通过查找可以发现在注册表HKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run＼Safedrvse.exe中存在病毒启动项。 2. Safedrvse.exe病毒手工清除在掌握Safedrvse.exe病毒的关键行为之后可以对其进行手工清除。（1）找到并关闭病毒进程svchost.exe。

实现在安卓系统上完美运行EXE格式文件办法

实现在安卓系统上完美运行EXE格式文件办法需要东西： 1网上下载Bochs模拟器主程序（就是一个apk程序文件） 2配置文件（已经打包好在附件里） 3系统镜像操作步骤步骤1：安装模拟器主程序（这个就不用多说了，和普通安卓应用一样）步骤2：将装有配置文件的SDL文件夹拷贝到机身内存根目录中（没有机身内存的手机请拷贝到SD卡中，不清楚拷贝到哪里的就用RE管理器拷贝到手机根目录显示sdcard的文件夹里）步骤3：将系统镜像文件改名为c.img，拷贝到步骤2中的SDL文件夹（要用什么系统就拷贝相应的镜像）步骤4：运行安装好的模拟器主程序，没有问题的话就会开机运行操作系统了教程只是个初级傻瓜教程，要想实现模拟系统实现更多的功能（优化虚拟机性能、增加磁盘等）请翻阅XDA的帖子。传送门： h t t p: // https://www.360docs.net/doc/2c15421241.html,/showthread.php?t=1459153 想要自己制作磁盘镜像来安装自己所需操作系统的请参阅这个帖子（希望能有人试试win7之类的系统）： h t t p: // https://www.360docs.net/doc/2c15421241.html,/showthread.php?t=1 465365 最后放出用的工具和镜像模拟器主程序+配置文件（配置文件已装在SDL文件夹，直接将SDL文件夹拷贝到内存根目录就行）：https://www.360docs.net/doc/2c15421241.html,/file/c2bqgy19# win98磁盘镜像：https://www.360docs.net/doc/2c15421241.html,/file/dpy6g3eq# winxp磁盘镜像：https://www.360docs.net/doc/2c15421241.html,/file/c2bqgit0# bochs的主页有一些linux和UNIX类的系统磁盘镜像，有需要的可以翻翻： h t t p://https://www.360docs.net/doc/2c15421241.html,/diskimages.html

所有文件夹变成exe的解决办法

所有文件夹变成exe的解决办法作者：不详加入时间：3/28/2008 10:37:49 AM 最近电脑中了一种很可恶的“病毒”，症状主要表现为电脑硬盘里所有的文件夹都被隐藏掉，无法用regedit进入注册表，也无法用cmd进入DOS命令行，然后创建与文件夹同名的exe可执行文件，该文件的图标与文件夹的图标完全一样，比较难以区分是文件还是文件夹。当用户双击这个文件时，屏幕会闪一下，然后打开相应的文件夹。而且系统时间会被更改为1988年的某月某日，所有创建的可执行文件时间都是一样的，文件大小为21K左右。中这种病毒以后很是麻烦，最新版的瑞星也不起作用，甚至都启动不了瑞星，用瑞星来杀毒也显示没有病毒。我的解决办法如下： 1、用光盘或U盘启动的DOS下，然后用ghost恢复之前做过备份的系统（如果没备份的话就重装系统）； 2、重启电脑进入系统，但不要打开其它盘里的任何可以看到的目录，因为此时所谓的目录可能还是那些可恶的可执行文件。打开我的电脑，点工具菜单里的文件夹选项，再点查看选项卡，按图1进行设置，点确定关闭窗口； 3、在开始菜单->运行，输入cmd回车进行DOS命令行，输入d:回车进入d盘，再输入dir /ah auto*.*回车，看有没有一个autorun.inf的文件存在。如果没有，可直接执行第四步，如果有，按以下步操作执行：在DOS命令行窗口输入 attrib –s –r –a –h autorun.inf 回车 del autorun.inf 回车然后再进入e盘、f盘等其它盘执行上面两个命令来删除那个autorun.inf的文件。做完此步后，再打开我的电脑就可以双击进步d盘或者其它盘了，此时会看到里面有一些显示为灰色的文件夹，这些都是你自己的文件夹；同时还会有一些亮的文件夹，但它们是可执行文件，千万不要去双击打开它们，如果双击就又完蛋了；

U盘中exe文件夹病毒怎么办

U盘中exe文件夹病毒怎么办当你使用U盘时发现你的U盘下面文件夹的后缀名都变成了.EXE，那恭喜你，你的U盘中了文件夹.EXE 病毒。这个毒虽然是小毒，但是通常的杀毒软件和safe360都杀不掉，怎么办。如果不清除这个病毒，当你点了中病毒的文件夹，又会感染其他的电脑。后来我问了朋友U盘中了文件夹.exe病毒应该用什么杀毒软件，朋友说那些文印店、照相馆他们都用文件夹.exe专杀-U盘杀毒专家。于是我下载了U盘杀毒专家USBkiller，并小小研究了一下，下面我展示一下我的研究成果，如何用U盘杀毒清除文件夹.exe病毒。怎样使用U盘杀毒专家（USBKiller）清除电脑中的文件夹.exe病毒呢？请参照以下步骤操作： 1. 首先确保您已经正确安装了正版的U盘杀毒专家（USBKiller），有关该下载过程，可以参考以下教程：查看如何安装U盘杀毒专家单机版 2. 将U盘等可移动存储器插入USB接口，双击打开U盘杀毒专家（USBKiller），此时会出现如下界面：

3. 选择需要扫描的对象，然后点击“开始扫描”： U盘杀毒专家（USBkiller）开始对您的电脑进行查杀病毒，等待片刻，您就可以清除病毒。 4. 扫描结束，会在任务栏里面列出查杀到的文件夹.exe病毒，并且会列出处理的结果。 5. 此时，查杀到的文件夹.EXE病毒已经完全被杀掉了，再次打开U盘，我们可以正常打开文件夹，而且清楚的看到我们的磁盘上的文件夹后面的.exe后缀名都已经消失了。利用U盘杀毒专家（USBKiller）这个文件夹.exe病毒专杀，我们可以轻松的将U盘中的文件夹.exe病毒进行剿灭。到这里了解更多关于U盘杀毒专家（USBKiller）的信息： https://www.360docs.net/doc/2c15421241.html,

解决U盘文件变成EXE的问题

解决Ｕ盘里文件夹变ＥＸＥ文件问题今天用U盘拷东西，发现文件夹后都有个exe，打不开删了又会生成，发现是中毒了，下面是查杀步骤：病毒手段：根据老白的描述，这一病毒必然是更改了注册表，将显示隐藏文件这一功能给关了，同时将所有正常文件都加上了隐藏属性，所以大家就看不到自己的文件只是看到一些EXE的病毒生成的同名文件夹．不过如果该病毒只是采用这一招的话那手段并不高明，要是我写这一病毒，我必然会同时禁止掉任务管理器，同时禁止所有的杀毒软件，一发现杀毒软件就把它的进程杀掉，最后再写个保护进程的机制，每隔几秒就自动检测病毒生成文件也就是触发文件是否被删，如果被删就再自动生成．呵呵以上只是个人的一些方法，大家就不要去写了，因为写病毒是违法的，只是让大家了解下这方面的知识罢了．对了老白说是只有Ｕ盘中．应该是利用autorun.inf 在作怪，同时提醒大家一点利用这招可以让你的所有磁盘都中毒，所以如果你右击你的磁盘发现弹出的菜单有两个打开可是一个打开为加粗状态，那就不要直接双击打开该磁盘了，改用资源管理器打开．好了说了一堆废话，现在说下解决方案：重启电脑按F8进入安全模式（因为我没见到具体症状，所以让大家在安全模式下杀会安全些．），经下列注册表键值拷进记事本中另存为***.reg文件，直接双击，会提示说是否导入注册表，选择是，然后会提示导入成功，执行第4步后，此时打开＂我的电脑＂－－工具－－文件夹选项－－将里面的隐藏文件和文件夹下的显示所有文件和文件夹，隐藏受保护的操作系统文件(推荐)选中点击确定，系统文件即可显示。 1.用Wsyscheck将红色可疑进程同时关掉，Default.exe，KEYBOARD.exe，Fonts.exe，Global.exe。

doc文件变成exe文件恢复方法

最重要的是小心防范,陌生人的东西千万不要收!包括非exe文件,我们现在发现了doc文件能隐藏exe文件，也会有人发现其他文件能隐藏exe,所以大家千万要小心手工消灭了一个感染U盘文件的病毒DOC.exe,它的表现特征： U盘插入后，即被写入win32.exe、win33.exe以及很多.exe的病毒文件，以相似图标冒充mp3和doc文档;任务管理器打开察看，有名为doc.exe的进程。此病毒名为：Worm.DocKill.b(移动杀手)，可感染Win95以上的操作系统，以及MP3、U盘、软盘等存储媒体病毒根治： 1.不要插U盘 2.在任务管理器中将 DOC.exe 结束 3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除 4.打开资源管理器，找到文件夹 c:\Documents and settings\All Users\[开始]菜单\程序\启动将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe) 5.运行regedit，将开机运行项目中的doc.exe清除在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (另有资料表明：该病毒还创建了 c:\windows\system32\hook.dll , 并将之加入了注册表启动项里，不过我这里没发现这种情况) 后遗症的治疗：经该病毒感染后，系统无法显示隐藏文件和文件扩展名，即使去文件夹选项中去改设置也没用，这时需要手工去注册表改 6.显示所有文件和文件夹

将PPT文件变为EXE可执行文件的几大步骤

将PPT文件变为EXE可执行文件的几大步骤导读:所有的电脑都可以执行EXE格式的文件，但是有些电脑上没有安装Office,也就无法查看PPT文档。那么如何将PPT文件打包成EXE可执行文件?也许,你会说,WORD的文件打包那么简单,ppt打包为EXE可执行文件也很简单吧.但是事实并非如此,不论是什么文件，打包成EXE的可执行文件在携带起来就会很方便,但对于PPT也就是PowerPoint 2003 (幻灯片)打包的方法很多人并不了解，所以，今天就为大家介绍一下新的在PowerPoint 2003(幻灯片)中打包的方法，且看以下的介绍： 1、在PowerPoint 2003中打开，创建或编辑一新的或已经存在的演示文档。在任何时候，尤其是创建新的演示文档或链接媒体做演示的时候，对文件名的命名请使用旧的DOS 8.3命名规则，就是文件名不要超过8个字符，扩展名不要超过3 个。保存演示时选文件---CD打包。…… 2、在CD打包的对话框中，给项目起个名字。你会发现活动演示已经包含在每一个默认的选项--包括在CD 编辑中新的PowerPoint 2003 查看器。选择拷贝到文件夹的选项(勿选拷贝到CD)。PowerPoint 将储存所有需要的内容-包括演示、链接的文件，查看器和两个文本文件(autorun.inf 和play.bat)。退出PowerPoint。 3、在windows 2000,xp,2003中，点开始--运行--输入"iexpress" (不含引号)。这将打开IExpress 向导，一个windows 没有公开的秘密。因为IExpress 是一系列向导驱动的屏幕显示，所以下面每一步以抓屏说明。 4、使用IExpress创建一个新的自解压引导文件,选择Create a new self extractiondirective file in IExpress，Next。 5、IExpress 需要知道如何将你的文件打包，选择第一项"Extract files and runan installation command"，Next. 6、给你想打得包一个名字，Next 7、在这一屏，IExpress 需要知道在最终用户在激活你的包时我们是否需要一个确认提示--因为我们想要我们最终完成的单独exe文件尽可能的透明，在这我们选择“Noprompt”选项，Next 8、你可以选择显示同意许可--作为演示，我们选择Don"t diaplay a licence---Next 9、该屏可能在整个IExpress 向导里面是最重要的一步。点Add---引导到你创建的PowerPoint 2003 CD包所在的文件夹，添加所有的文件然后Next。

把ppt作品变成exe格式的两种方法

“ “ 把所有需要的文件（PPT 播放程序、PPT 文件、声音视频等外部文件）都封装到一个 EXE 文件中，是肯定的，而且完全不需要其他高级程序，只要有 PowerPoint Viewer 2003 （因为 pptview97 对高版本支持不好，所以采用 2003 版本）和 WinRAR 两个软件就能实现。（一）准备： ①幻灯片源文件（你要打包的幻灯片源程序，如*.PPT/PPS/POT ）； ②Microsoft Office PowerPoint Viewer 2003（PPT 播放程序）； ③WinRAR （我用的是 3.30 中文版）。（二）步骤：第一步： ①安装 Microsoft Office PowerPoint Viewer 2003 ； ②把 C:\Program Files\Microsoft PowerPoint Viewer\ 内的文件都复制到工作文件夹 ABC 中（包括： ppvwintl.dll; unicows.dll; gdiplus.dll; icons.icl; pptview.exe; saext.dll; intldate.dll ）； ③把你要打包的 PPT 文件（如 123.ppt 和需要的声音视频文件）也复制到 ABC 文件夹内。第二步：安装 WinRAR3.30 中文版，接下来步骤全部用 WinRAR 完成。 ①选中 ABC 文件夹内的所有文件，在选中文件上点击右键，选择“添加到档案文件(A)...”。 ②出现“档案文件名字和参数”窗口。在“常规”标签中的“创建释放格式档案文件(X)”选项前打勾，并为档案文件任取一个文件名（如 123.exe ），注意以 EXE 结尾，然后点击“高级”标签。压缩方式”最好选择“存储” ，这样打开的速度最快。当然，假如空间紧张也可以适当调整。 ③在“高级”标签中点击“SFX 选项(X)…”按钮。 ④出现“高级自释放选项”窗口。在“常规”标签下的“释放后运行（F ）”中，输入：“pptview.exe 123.ppt”， pptview.exe 和 123.ppt 中间有一空格。 ⑤在“模式”标签中，在“解压到临时文件夹（T ）”前打上勾；“缄默模式”选择“全部隐藏”。这样可以在打开文件时，不出现任何提示，播放幻灯片；并在退出演示后，不在演示电脑上留下任何痕迹。 ⑥在“文字和图标”标签中，自定义 SFX 图标”中给即将生成的 EXE 文件指定一个 ICO 图标。也可以不指定，使用默认的 SFX 图标了。强烈建议指定一个个性化的图标，这样一般人就看不出这是用 WinRAR 制作的了。 ⑦确定再确定之后，开始压缩，最后生成一个 123.exe 文件。双击 123.exe ，开始播放幻灯片，退出之后在演示电脑内没有留下任何痕迹，目的达到。这样的一个 exe 文件，体积比 PPT 源文件增加了 4.5M 左右（主要是 PowerPoint Viewer 2003），假如在“压缩方式”中选择压缩选项，体积还可以进一步缩小 2M 左右。将 PPT 打包为在任何计算机都可直接自动播放的.exe 文件的方法 1.把 “你的文件.ppt” 复制一个，然后把“复件你的文件.pp t ”重命名为“你的文件.pp s ”； 2.在 powerpoint 里面，选择“文件”-“打包成 CD”； 3.在弹出的对话窗体内（图 1），“将 CD 命名为”这一栏随意取一个名字；然后点击“添加文件”，选择刚刚重命名好的“你的文件.pps”，以及在你的 PPT 里面所插入的链接内容如 MP3、SWF 等（不包括图片），确定后发现窗口内容改变了（图 2），这时选中里面的后缀名为.ppt 的文件，点删除，然后点击复制到文件夹，选择一个位置，确定；

文件夹exe病毒

文件夹exe病毒人们经常会使用手机内存卡连接到电脑下载MP3和电影，这样手机就可以听歌和看电影。这时候手机内存卡的作用就像U盘。不过当我们使用手机内存卡时，打不开文件夹，发现文件夹后缀名是.EXE。这个就中了文件.EXE病毒。这时该如何处理，处理一共有两种方法： 1.用杀毒软件自动处理 2.手动处理。我建议大家用杀毒软件自动处理，因为用杀毒软件比较快，也很方便。手动处理比较繁杂，需要的时间也比较多。下面我教大家如何用文件夹.exe病毒专杀工具-U盘杀毒专家清除文件.EXE病毒。 1. 首先确保您的个人电脑已经正确安装了正版的U盘杀毒专家（USBKiller)，您可以免费下载这款文件夹.exe病毒专杀工具：https://www.360docs.net/doc/2c15421241.html, 2. 把中了文件夹.EXE病毒的U盘插入USB接口，打开U盘杀毒专家（USBKiller），此时U盘杀毒专家会出现如下界面:

3. 选择需要扫描的设备。一共包括本地磁盘或者内存或者移动磁盘，然后点击“开始扫描”： U盘杀毒专家（USBkiller）开始对您的电脑进行全盘查杀病毒，等待一会，就可以对病毒进行强烈清除。 4. 扫描结束，会在任务栏里面展示出刚刚查杀到的文件夹.exe病毒，并且告诉你处理的结果 5.杀完毒以后还要修复文件夹的被隐藏属性，首先在主界面用鼠标左键单击“修复系统”，然后再单击“全选”，最后单击按钮开“开始修复”就能还原原来的文件夹属性。利用U盘杀毒专家（USBKiller）这个文件夹.exe病毒专杀强大的清除病毒能力，我们将不必在为文件夹.EXE 病毒烦恼。到这里了解更多关于U盘杀毒专家（USBKiller）的信息： https://www.360docs.net/doc/2c15421241.html,

解决U盘里文件夹变EXE文件问题

解决Ｕ盘里文件夹变ＥＸＥ文件问题 2009年04月16日星期四21:57 用U盘拷东西，发现文件夹后都有个exe，打不开删了又会生成，发现是中毒了，下面是查杀步骤：病毒手段：根据老白的描述，这一病毒必然是更改了注册表，将显示隐藏文件这一功能给关了，同时将所有正常文件都加上了隐藏属性，所以大家就看不到自己的文件只是看到一些EXE的病毒生成的同名文件夹．不过如果该病毒只是采用这一招的话那手段并不高明，要是我写这一病毒，我必然会同时禁止掉任务管理器，同时禁止所有的杀毒软件，一发现杀毒软件就把它的进程杀掉，最后再写个保护进程的机制，每隔几秒就自动检测病毒生成文件也就是触发文件是否被删，如果被删就再自动生成．呵呵以上只是个人的一些方法，大家就不要去写了，因为写病毒是违法的，只是让大家了解下这方面的知识罢了．对了老白说是只有Ｕ盘中．应该是利用autorun.inf 在作怪，同时提醒大家一点利用这招可以让你的所有磁盘都中毒，所以如果你右击你的磁盘发现弹出的菜单有两个打开可是一个打开为加粗状态，那就不要直接双击打开该磁盘了，改用资源管理器打开．好了说了一堆废话，现在说下解决方案：重启电脑按F8进入安全模式（因为我没见到具体症状，所以让大家在安全模式下杀会安全些．），经下列注册表键值拷进记事本中另存为***.reg文件，直接双击，会提示说是否导入注册表，选择是，然后会提示导入成功，执行第4步后，此时打开＂我的电脑＂－－工具－－文件夹选项－－将里面的隐藏文件和文件夹下的显示所有文件和文件夹，隐藏受保护的操作系统文件(推荐)选中点击确定，系统文件即可显示。 1.用Wsyscheck将红色可疑进程同时关掉，Default.exe，KEYBOARD.exe，Fonts.exe，Global.exe。 2.删除病毒加入启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup\ 0\0] "Script"="C:\\WINDOWS\\Cursors\\Boom.vbs" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

EXE病毒解决办法

有一种U盘病毒感染计算机后，并不是破坏性地全盘感染应用程序，而是使文件夹全部变成“.exe”可执行程序，这就是“文件夹.EXE”病毒！『“文件夹.EXE”』病毒名称：“文件夹.EXE”病毒；病毒别称：Worm.Win32.AutoRun.soq；病毒类型：蠕虫；病毒长度：1,415,094 字节；病毒MD5：afb08df3fef57788d839bc02f14b2159 危害等级：★★★ 感染系统：Windows 系统。开发工具：《E语言》 “文件夹.EXE”病毒行为分析： “文件夹.EXE”病毒主要通过可移动磁盘传播。就拿U盘为例，一个干净的U 盘或者未感染的U盘插入已被“文件夹.EXE”病毒感染的计算机主机USB接口上以后，病毒会在U盘根目录下生成病毒脚本安装文件“autorun.inf”和伪装文件夹的病毒程序“Recycle.exe”、“.exe”、“.exe”、“.exe”。很显然，“文件夹.EXE”的传播程序“Recycle.exe”的文件名称是在模仿回收站的文件夹“Recycler”，两者名称上就相差一个字母“r”。回收站的文件夹“RECYCLER”只有在NTFS格式文件系统的磁盘分区根目录下才会出现，该文件夹内存储着各个用户的回收站。如图，这是打开“文件夹.EXE”的配置文件“autorun.inf”显示的文件命令，意思是访问该驱动器磁盘分区后自动执行病毒程序“Recycle.exe”，也就是说“Recycle.exe”是“文件夹.EXE”的病毒样本。被“文件夹.EXE”病毒感染的U盘再插入到正常的计算机主机USB接口上以后，只要受害者一打开访问U盘，便会感染到计算机上。由于该病毒变种较多，所以绕过了许多杀毒软件的眼睛。首先会获取要感染计算机的用户临时文件目录，获取后会在这个用户的临时文件夹“C:\Documents and Settings\Administrator（受害者的用户名）\Local Settings\Temp”目录下创建一个名称为“E_N4”的文件夹，并在其目录下释放9个病毒组件，分别是“cnvpe.fne”、“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fnr”、“shell.fne”、“spec.fne”，这些扩展名为“.fne”文件均为“只读”、“系统”和“隐藏”的文件属性。文件夹“E_N4”是“E语言（即“易语言”）”程序运行时才会产生的临时文件夹，而后缀名为“.fne”的程序是“E语言”的支持库文件，不过是已经编译好的，也就是改了扩展名以后的动态链接库文件“.dll”，由此可以证明“文件夹.EXE”病毒是使用《易语言》编写的。然后会获取要感染计算机的系统目录，获取后会在“C:\WINDOWS\system32”系统目录下创建一个6位随机数字、字母组成的文件夹，文件夹的属性是“只读”、“系统”和“隐藏”的文件属性，本次测试病毒创建的文件夹名称是“5A8DCC”。病毒成功创建文件夹“5A8DCC”之后，将释放在“C:\Documents and Settings\Administrator（受害者的用户名）\Local Settings\Temp\E_N4”临时文件夹目录下的9个病毒组件复制到“C:\WINDOWS\system32\5A8DCC”目录下。

文件夹EXE病毒

ne ul.dll XP-290F2C69.EXE（后8位随机）（其中com.run d p1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fn e 等并非病毒文件，而是汉语编程易语言的支持库文件）到系统盘的\WINDOWS\system32里面 2、新增以下注册表项，已达到病毒随系统启动而自启动的目的。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run 注册表值：XP-290F2C69（后8位随机）类型：REG_SZ 值：C:\WINDOWS\system32\XP-290F2C69.EXE（后8位随机） 3、添加以下启动项，实现病毒自启动： “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“.lnk”指向病毒文件。 4、下载病毒文件：hxxp://https://www.360docs.net/doc/2c15421241.html,/v.gif（16,896 字节）保存为以下文件，并且运行它们： %Windir%\System32\winvcreg.exe %Windir%\System32\2080.EXE (名称随机) 5、被感染的电脑接入移动磁盘后，病毒会遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机

U盘中的文件夹全变成了exe格式处理方法

最近总是发现有朋友抱怨U盘中的文件夹全变成了exe格式，杀毒软件查杀后东西都没有了。。。很是头疼。一下咱们不讨论它是怎么“来的”，就讨论一下怎么叫它“走吧”。首先发现问题，大家不要惊慌。第一步：右键打开你的U盘，点工具==》文件夹选项==》查看==》在“隐藏文件和文件夹”选项下，选择“显示所有文件和文件夹”==>取出“隐藏已知文件类型的扩展名”前的对勾==》确定。第二步：此时便看到了被病毒隐藏的原文件了（先保证原文件在，再杀毒，否则容易被误杀）。此时可将变成.exe的文件手动删除，尤其是autorun.exe 文件。当然也可用360或者U盘查杀软件杀出盘中病毒。第三步：U盘中新建一个文本，拷贝如下文字： @echo off reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f attrib -s -r -h -a /s /d attrib *.* -s -r -h -a /s /d attrib * -s -r -h -a /d /s pause 然后，将文件夹后缀名改为.bat,如起名为“a.bat”。此法旨在修复被病毒隐藏的原文件。经过以上步骤，U盘里被病毒感染篡改的文件便都回到自己手上了。（当文件修复后，建议反操作第一步，恢复各类隐藏，一般人看了麻烦）

电脑文件夹后缀变EXE的中毒解决方法

一.半透明是你的文件设了隐藏属性 A.在工具-----文件夹选项------查看-----显示所有文件和文件夹 B.然后右键点击你说的“透明文件”-----属性--------把隐藏那个钩去掉 1.关于AutoRun安装信息1KB A.如果是360用了U盘免疫自动运行的话就别管他，一般同目录下都有一个说明文件的 B.如果不是我们把它叫做U盘病毒，也叫AUTO病毒。只要你的U盘一感染，你的电脑也会被感染。删是删不掉的。下面是方法：在任意盘符下新建一个记事本txt文件，把下面的东西复制进去： @echo on taskkill /im explorer.exe /f taskkill /im wscript.exe start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanc ed /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg import kill.reg del c:\autorun.* /f /q /as del %SYSTEMROOT%\system32\autorun.* /f /q /as del d:\autorun.* /f /q /as

del e:\autorun.* /f /q /as del f:\autorun.* /f /q /as del g:\autorun.* /f /q /as del h:\autorun.* /f /q /as del i:\autorun.* /f /q /as del j:\autorun.* /f /q /as del k:\autorun.* /f /q /as del l:\autorun.* /f /q /as start explorer.exe 然后，把它的txt格式改为bat格式，右键-打开，任务栏消失后大约1-3秒后出现，这是，你的auto病毒就搞定了。切记执行上面过程中把IE都关闭

彻底解决文件夹变EXE文件病毒

彻底解决文件夹变EXE文件病毒手自清除： 1.清除病毒。 a.结束进程：打开任务管理器，结束以名为XP-D41D8CD9.EXE的进程。(命令行可用TASKKILL /F /IM XP-D41D8CD9.EXE) b.删除病毒文件：打开C:\Windows\system32\目录，删除名为XP-D41D8CD9.EXE 的病毒文件。(注：此文件具有隐藏属性，需要打开资源管理器的查看隐藏文件选项，当然也可用命令行去掉隐藏属性后del掉) c.打开临时文件夹，删除所有可以删除的文件(可以借助其他软件或在资源管理器中的地址栏中输入%temp%转到) 至此，电脑中病毒已经清除完毕。 2.清除启动项：此步骤可借助其他软件完成。 a.打开注册表，定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除名为XP-D41D8CD9.EXE的项。 b. 打开启动文件夹，C:\Documents and Settings\用户名\「开始」菜单\程序\启动\,(注：可以通过在开始菜单->程序->启动项上右键选择打开，此时启动项显示为空，因为文件具有隐藏属性)通过类似1.b.的步骤删除文件夹下一个名为" .lnk"快捷方式。 3.重新显示被隐藏的文件：此病毒只感染U盘，因此，首先下载Safe360之类的软件，打开U盘监控。在这里也可用USBKiller这款垃圾软件，它能错杀三千，而不漏过一个。 a.插入U盘后会有自动检测，并删除autorun.inf文件，以去掉病毒U潘的自运行。 b.删除所有具有文件夹图标的程序。显示所有隐藏文件后，选中文件夹，将属性中的隐藏属性去掉即可。

文件夹EXE病毒同名文件夹EXE病毒

文件夹EXE病毒同名文件夹EXE病毒：木马名称：Worm.Win32.AutoRun.soq 当你把你的U盘插入到一台电脑后，突然发现U盘内生成了以文件夹名字命名的文件，扩展名为exe，更要命的是它们的图标跟文件夹是一样的，很具有迷惑性。相信很多人见到过这种情况，我已经在百度知道上回答了同一个问题N次了，但是还是有人会中奖，所以在这里建立一个百科，希望对大家有用。一、病毒原理及相关分析一台电脑中毒后，电脑里面会有一个 XP-****.exe（其中****是一个大写字母与数字混合，如XP-02B94AC1.exe）的类似XP补丁的进程以及D7F45.exe的类似进程，同时建立 D7F45.exe及一个文件夹的几个启动项，当你插入U盘后，它会把原文件夹隐身，同时建立同名的EXE文件夹，例如软件.exe 这样的病毒文件夹，文件夹大小为1.44M，不知道的人双击就会中毒。病毒名称：Worm.Win32.AutoRun.soq 病毒类型：蠕虫类危害级别：3 感染平台：Windows 病毒行为： 1、病毒运行后会释放以下文件：com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE（后8位随机）（其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件，而是汉语编程易语言的支持库文件）到系统盘的\\WINDOWS\\system32里面 2、新增以下注册表项，已达到病毒随系统启动而自启动的目的。 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 注册表值：XP-290F2C69（后8位随机）类型：REG_SZ 值：C:\\WINDOWS\\system32\\XP-290F2C69.EXE（后8位随机） 3、添加以下启动项，实现病毒自启动： “C:\\Documents and Settings\\Administrator\\「开始」菜单\\程序\\启动” 里的“.lnk”指向病毒文件。 4、下载病毒文件： hxxp://https://www.360docs.net/doc/2c15421241.html,/v.gif（16,896 字节）保存为以下文件，并且运行它们： %Windir%\\System32\\winvcreg.exe %Windir%\\System32\\2080.EXE (名称随机) 5、被感染的电脑接入移动磁盘后，病毒会遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒，以达到病毒随移动磁盘传播的目的。二、解决方案专杀清除方法：下载瑞星等杀毒软件。（网上有免费正版的，只不过好像只能使用半年左右）手工清除方法： 1、结束病毒进程。打开超级巡警，选择进程管理功能，终止进程XP-290F2C69.EXE（后8位随机），winvcreg.exe，2080.exe（随机名）。 2、删除病毒在System32生成的以下文件： com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne