一、病毒相關(guān)分析： 
      病毒標(biāo)簽：
        病毒名稱：Worm.Win32.AutoRun.bqn 
        病毒類型：蠕蟲
        危害級別：2
        感染平臺：Windows
        病毒大?。?1,504(字節(jié))
        SHA1　?。?1015B9F9231018A58A3CA1B5B6A27C269F807E6
        加殼類型：PECompact V2.X-> Bitsum Technologies
        開發(fā)工具：Microsoft Visual Basic 5.0 / 6.0

     病毒行為：
        1、程序運行后，釋放副本

      %SystemRoot%\EXPL0RER.EXE
和

     %SystemRoot%\autorun.inf

     autorun.inf內(nèi)容：

 
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打開(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=EXPL0RER.EXE 



根據(jù)文件夾名來感染生成 對應(yīng)的 目錄名.exe
然后添加文件夾屬性為 只讀，系統(tǒng)，隱藏。不顯示隱藏文件的效果是真實的文件夾全沒了。
你看到的文件夾圖標(biāo)的都是病毒，因為病毒的圖標(biāo)是文件夾。
篡改注冊表，不顯示隱藏文件、系統(tǒng)文件和擴展名。

注冊表主要變化：

修改值:65 

Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
舊 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"

新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
舊 HKLM\SOFTWARE\Classes\Directory\shell\: "none"

新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
舊 HKLM\SOFTWARE\Classes\Drive\shell\: "none"

新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
舊 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
舊 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
舊 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001

 


　　二、解決方案

　　下載使用 wsyscheck ，打開 wsyscheck.exe ,進程管理－－結(jié)束病毒進程EXPL0RER.EXE并刪除。


　　1.SREng修復(fù)文件關(guān)聯(lián)   系統(tǒng)修復(fù)－－文件關(guān)聯(lián)－－全選－－自動修復(fù)

　　2.修復(fù)磁盤打開方式、文件夾打開方式


Quote:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]





3.顯示系統(tǒng)文件、隱藏文件、顯示隱藏文件夾


Quote:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002



殺毒軟件全盤掃描

使用第三方工具去掉各分區(qū)下被隱藏的文件夾，主要是去掉 系統(tǒng)屬性

最新評論