最近病毒猖獗,接连给几个冲印店的客户做系统维护。碰到一种很厉害的病毒,卡巴斯基查不出来,连号称俄罗斯第一的Dr.web升级到最新病毒库后也视而不见。请看下面这张截图:
这种病毒感染文件后(主要是文件夹),把自己伪装成文件夹,而真正的文件夹属性则被改成“隐藏、只读”,由于一般很多人在文件夹选项中都不选“显示隐藏文件和文件夹”、“隐藏受保护的系统文件”以及“隐藏已知文件的扩展名”这三个选项,那么真正的文件夹也就不会显示(已被病毒改成只读和隐藏属性),伪装成文件夹的病毒后缀 .exe也不显示,而且它的文件名和真正的文件夹名称是相同的,在这种情况下,不要说“菜鸟”,“老鸟”也会按正常的文件夹去双击!之后系统就会被感染。还有一点:如果把这个病毒文件删除了,那么真正的那个文件夹也是打不开的!系统提示找不到文件。第三点:在我把移动硬盘里重要的数据备份出来,准备格式化时,系统提示不能格式化磁盘。最后还是用win PE引导进入winpe环境后才把磁盘格式化。
在此过程中,通过调用资源管理器、msconfig,在system32文件夹中发现了几个可疑文件,下面是截图;
在杀毒软件对此无能为力和专杀工具没有出来之前,提供一种处理方法供参考:
①打开运行:输入gpedit.msc调出组策略,找到"系统",关闭所有驱动器的自动播放功能;
②再打开资源管理器→工具→文件夹选项,打开上面提到的三个选项,即在资源管理器中把所有的文件都显示出来(包括隐藏的系统文件),把常见后缀也显示出来,稍有基础的一看就明白:文件夹名称后带后缀.exe肯定有问题,那么选择真正的文件夹就很容易了。
千万不要去双击带 .exe后缀的看似是文件夹实际是病毒的文件。否则你也可能象我一样维护完别人的系统再花几个小时来搞自己的系统:)
这种病毒危害程度相当大,可能会使文件永久丢失(已经恢复过此类病毒引起的文件丢失好几例了)。主要对U盘及各种卡类破坏性很大。
下面是病毒样本下载链接,供有兴趣的朋友下载研究。。
http://www.live-share.com/files/347427/____.rar.html
[
本帖最后由 msxchina 于 2008-9-6 17:53 编辑 ]
