详细介绍如何手动查杀U盘doc.exe病毒
U盘文件的病毒DOC.exe,它的表现特征:erin andrews
U盘插入后,即被写入win32.exe、win33.exe以及很多.exe的病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开查看,有名称为doc.exe的进程。
此病毒名为:Worm.DocKill.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体。
清除方法:
1.清除过程中不要插U盘。
2.在任务管理器中将 DOC.exe 结束。
3.在C盘查找文件doc.exe,doc1.exe,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除。
4.打开资源管理器,找到文件夹
c:\Documents and settings\All Users\[开始]菜单\程序\启动
将其中的 Windows word 这个文件删掉(现在看不到它的扩展名其实是exe)
5.运行regedit,将开机运行项目中的doc.exe清除
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
后遗症的治疗: 经该病毒感染后,系统无法显示隐藏文件和文件扩展名,即使去文件夹选项中去改设置也没用,这时需要手工去注册表改。
6.显示所有文件和文件夹
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
将CheckedValue的值改为1
7.取消“隐藏已知文件的扩展名”[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\HiddenFileExt]
将 CheckedValue的值改为0
改完后,去文件夹选项看,在“选显示所有文件和文件夹”已恢复正常了。
8.插上U盘,将其中的*.exe文件全部删除,基本上就杀灭完成了。
本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接:https://www.360docs.net/doc/f313249268.html,/tech/2009-10-28/57415.html
************************
文件夹EXE病毒 同名文件夹EXE病毒:
木马名称:Worm.Win32.AutoRun.soq
当你把你的U盘插入到一台电脑后,突然发现U盘内生成了以文件夹名字命名的文件,扩展名为exe,并且它们的图标跟windows xp默认的文件夹图标是一样的,很具有迷惑性。
一、病毒原理及相关分析
一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中****是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,并建立autorun.inf自动播放文件,和Recycled.exe的病毒文件,当不知道的人点击这个假冒的文件夹时,就会激活病毒,并打开真
正的文件夹,并且这种病毒变种很多,一般的杀毒软件都不会有所提示。
病毒名称:Worm.Win32.AutoRun.soq
病毒类型:蠕虫类
危害级别:3
感染平台:Windows
病毒行为:
1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面
2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值:XP-290F2C69(后8位随机)
类型:REG_SZ
值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)
3、添加以下启动项,实现病毒自启动:
“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。
4、下载病毒文件: hxxp://https://www.360docs.net/doc/f313249268.html,/v.gif(16,896 字节)保存为以下文件,并且运行它们:
%Windir%\System32\winvcreg.exe
%Windir%\System32\2080.EXE (名称随机)
5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移动磁盘传播的目的。
二、解决方案
专杀清除方法:
下载瑞星等杀毒软件。(网上有免费正版的,只不过好像只能使用半年左右)
手工清除方法:
1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。
2、删除病毒在System32生成的以下文件:
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)
3、删除病毒的启动项,删除以下启动项:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);
“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。
4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。点击“开始”---“运行”----输入“cmd” ,进入命令提示符,然后进入你U盘所在的根目录,具体操作如下,比如你的U盘盘符位G,那么就输入“g:”在回车就可以了。最后,输入如下命令:attrib -r -a -s -h *.* /s /d。
三、安全建议
养成右键打开U盘的习惯,建议安装360安全卫
士
或者是开启USBCleaner的Usbmon.exe保护程序
这个毒是小毒来的,只要你装了360,开启了除ARP防火墙(可根据个人再开启)其余的实时保护,就不再怕那个毒了
虽然是小毒,但是safe360最新版(比如目前的5.0)、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0版都杀不了这个毒,甚至查都查不出来,当然,病毒库都是最新的,除了专杀好象其他杀软都对这个毒忽略了,让我感到意外的是瑞星居然还能查杀,虽然我对瑞星的杀毒能力一直持怀疑态度,这个毒的数据我也提交了好几次,但是杀软和这个毒一直相安无事。
ed2k://|file|%E5%A5%A5%E5%B1%B1%E3%81%8B%E3%81%8A%E3%82%8A%20--%20%E5%A6%84%E6%83%B3%E6%AF%8D%E4%B9%B3%20%E6%9D%89%E5%8E%9F%E3%81%A8%E3%82%82%E3%81%BF.avi|778669474|BCD5B5B809BF7E2158BD5E4818AD9FB6|/