La carpeta en el disco USB se ha convertido en un archivo exe. ¿Cómo restaurar el archivo original?
Su unidad flash USB está infectada con un virus exe. Los archivos reales están ocultos. Puede recuperarlos utilizando el siguiente software de escaneo de virus exe.
Virus EXE
1. Principio del virus y análisis relacionado
Nombre del troyano: Worm.Win32.AutoRun.soq
Cuando Cuando Después de insertar la unidad flash USB en la computadora, de repente descubrí que los archivos generados por la unidad flash USB tenían nombres de carpetas, con la extensión exe. Lo que es aún más aterrador es que sus íconos son los mismos que los de las carpetas, que. Es muy fácil confundirse. Creo que muchas personas han visto esta situación. Respondí la misma pregunta N veces en Baidu Knows, pero algunas personas aún ganan, así que creé una wiki aquí, con la esperanza de que sea útil para todos.
Después de que la computadora se envenena, un proceso similar a D7F45.exe crea D7F45.exe y varios elementos de inicio en una carpeta al mismo tiempo. hará que la carpeta original sea invisible y creará un EXE con el mismo nombre. Las carpetas, como software.exe, son carpetas de virus. El tamaño de esta carpeta es 1,44 M. Si una persona desprevenida hace doble clic en ella, provocará el virus. para infectarse.
Nombre del virus: Worm.Win32.AutoRun.soq
Tipo de virus: Worm
Nivel de daño: 3
Plataforma de infección: Windows
Comportamiento del virus:
1. Los siguientes archivos se liberarán cuando el virus se esté ejecutando: com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og .edt RegEx. fnr fne spec.fne, etc. no son archivos de virus, sino archivos de biblioteca compatibles con el lenguaje sencillo de programación china) y colóquelos en \WINDOWS\system32 del disco del sistema
2. El virus ha alcanzado la coordinación con los propósitos de inicio y reinicio del sistema.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor de registro: XP-290F2C69 (los últimos 8 dígitos son aleatorios)
Tipo: REG_SZ p >
Valor: C:\WINDOWS\system32\XP-290F2C69.EXE (los últimos 8 dígitos son aleatorios)
3. Agregue los siguientes elementos de inicio para lograr el inicio automático del virus:
".lnk" en "C:\Documentos y Configuración\Administrador\"\"Inicio"\menu "C:\Documentos y Configuración\Administrador\"\"Inicio"\menu "programa\inicio " apunta al archivo de virus.
4. Descargue el archivo del virus: hxxp://df-123.cn/v.gif (16,896 bytes), guárdelo como el siguiente archivo y ejecute:
Windir\ System32\winvcreg.exe?
¿Windir\System32\2080 .EXE (nombre aleatorio)?
5. Después de que la computadora infectada esté conectada al disco duro móvil, el virus atravesará La carpeta en el directorio raíz del disco duro móvil derivará al directorio raíz del disco duro móvil, cambiará su nombre al nombre de la carpeta detectada y cambiará los atributos de la carpeta original a oculto, de modo que cuando el usuario ejecute el virus en otras computadoras Puede abrir el disco duro móvil para abrir la carpeta, logrando así el propósito de propagar el virus con la ayuda del disco duro móvil.
Solución
Método de eliminación profesional:
Descargar software antivirus como Rising. (Hay versiones originales gratuitas en línea, pero parece que solo duran alrededor de medio año)
Método de eliminación manual:
1. Abra Super Patrol, seleccione la función de gestión de procesos y finalice los procesos XP-290F2C69.EXE (últimos 8 aleatorios), winvcreg.exe y 2080.exe (con nombres aleatorios).
2. Elimine los siguientes archivos generados por el virus en System32:
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx. fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe, 2080.exe (nombre aleatorio). EXE winvcreg.exe 2080.EXE (nombre aleatorio)?
3. Elimine los elementos de inicio del virus y elimine los siguientes elementos de inicio:
XP-290F2C69.EXE.290F2C69 en "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". EXE en "C:\Documentos y Configuración\Administrador\Menú Inicio\Programas\Inicio"
" .lnk en "C:\Documentos y Configuración\Administrador\Menú Inicio\Programas\Inicio"." .
4. Elimine manualmente los archivos con el sufijo exe y luego muestre las carpetas ocultas. Haga clic en "Inicio" --- "Ejecutar" ---- Ingrese "cmd" para ingresar al símbolo del sistema y luego ingrese el directorio raíz del disco U. Las operaciones específicas son las siguientes, por ejemplo, si su disco U tiene. la letra de unidad G, luego ingrese " g: "y presione Enter. Finalmente, ingrese el siguiente comando: attrib -r -a -s -h *./s /d.
3. Sugerencias de seguridad
Desarrollar el hábito de hacer clic derecho para. abra el disco U, se recomienda que instale 360 Security Guard
o abra el programa de protección Usbmon.exe de USBCleaner
Este virus es un pequeño veneno siempre que instale 360. , abra excepto el firewall ARP (según las circunstancias personales, vamos) y obtenga el resto de la protección en tiempo real, nunca más tendrá que pagar el precio de un firewall. Lo ignoré. Lo que me sorprendió fue que Rising pudiera detectar y matar virus. Aunque siempre he sido escéptico sobre la capacidad de Rising para detectar y matar virus, he enviado los datos de este virus varias veces, pero Ruixing y este virus siempre lo han sido. en paz.
La última noticia es que la última base de datos de virus KAV 7.0 ya puede detectar y eliminar este virus (puede ser una variante)