解决U盘文件变成EXE的问题

解决Ｕ盘里文件夹变ＥＸＥ文件问题

今天用U盘拷东西，发现文件夹后都有个exe，打不开删了又会生成，发现是中毒了，下面是查杀步骤：

病毒手段：根据老白的描述，这一病毒必然是更改了注册表，将显示隐藏文件这一功能给关了，同时将所有正常文件都加上了隐藏属性，所以大家就看不到自己的文件只是看到一些EXE的病毒生成的同名文件夹．不过如果该病毒只是采用这一招的话那手段并不高明，要是我写这一病毒，我必然会同时禁止掉任务管理器，同时禁止所有的杀毒软件，一发现杀毒软件就把它的进程杀掉，最后再写个保护进程的机制，每隔几秒就自动检测病毒生成文件也就是触发文件是否被删，如果被删就再自动生成．呵呵以上只是个人的一些方法，大家就不要去写了，因为写病毒是违法的，只是让大家了解下这方面的知识罢了．对了老白说是只有Ｕ盘中．应该是利用autorun.inf 在作怪，同时提醒大家一点利用这招可以让你的所有磁盘都中毒，所以如果你右击你的磁盘发现弹出的菜单有两个打开可是一个打开为加粗状态，那就不要直接双击打开该磁盘了，改用资源管理器打开．

好了说了一堆废话，现在说下解决方案：

重启电脑按F8进入安全模式（因为我没见到具体症状，所以让大家在安全模式下杀会安全些．），经下列注册表键值拷进记事本中另存为***.reg文件，直接双击，会提示说是否导入注册表，选择是，然后会提示导入成功，执行第4步后，此时打开＂我的电脑＂－－工具－－文件夹选项－－将里面的隐藏文件和文件夹下的显示所有文件和文件夹，隐藏受保护的操作系统文件(推荐)选中点击确定，系统文件即可显示。

1.用Wsyscheck将红色可疑进程同时关掉，Default.exe，KEYBOARD.exe，Fonts.exe，Global.exe。

2.删除病毒加入启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scri pts\Startup\0\0]

"Script"="C:\\WINDOWS\\Cursors\\Boom.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] @="C:\\WINDOWS\\system\\KEYBOARD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once]

@="C:\\WINDOWS\\system32\\dllcache\\Default.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polici es\Explorer\Run]

"sys"="C:\\WINDOWS\\Fonts\\Fonts.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc e]

@="C:\\WINDOWS\\system32\\dllcache\\Default.exe"

3.删除镜像劫持：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\auto.exe] "Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\autorun.exe] "Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\autoruns.exe] "Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\boot.exe] "Debugger"="C:\\WINDOWS\\Fonts\\fonts.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\ctfmon.exe] "Debugger"="C:\\WINDOWS\\Fonts\\Fonts.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\msconfig.exe] "Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\procexp.exe] "Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\\WINDOWS\\Fonts\\tskmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]

"GlobalFlag"="0x000010F0"

4.将 .reg 文件名关联，右键属性，更改选择"C:\WINDOWS\regedit.exe",确定即可。

5.病毒隐藏了exe文件扩展名显示，打开注册表，开始－－运行－－regedit进入注册表，删除以下键值即可。

[HKEY_CLASSES_ROOT\exefile]

"NeverShowExt"="1"

6.修复显示系统文件，将下面代码拷贝到记事本里，另存为showall.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced]