我电脑文件夹全部变成EXE格式了?
发布网友
发布时间:2022-03-16 22:59
共6个回答
热心网友
时间:2022-03-17 00:28
昨天我只是习惯性地浏览一些新闻网页结果被这个名叫“TxoMoU.Exe”的新木马感染了,折腾得我都快崩溃了。这个叫TxoMoU.Exe的木马病毒,那叫凶悍,基本特征如下:
1、系统时间同样被改成2000年,日期,时间不变;
2、病毒被激发10分钟后,360安全卫士,瑞星等软件打开后直接自动关闭;
3、打开网页一定时间内关闭(有时候直接关闭,有时候输入搜索内容就被关闭);
4、该病毒夹带了另一个病毒0svth.exe(前面数字有好几个);
5、同样c:\windows\system32下有Autorun.inf这个文件;
6、最厉害的一招,更改所有HTML或者HTM文件,最后面夹带有该病毒的网页只要打开网页,即使杀完毒,该病毒同样被激发;
我只是习惯性地浏览一些新闻网页,结果TxoMoU.Exe即自动下载。中招后,瑞星防火墙才作出提示:“是否允许TxoMoU.Exe访问网络?”但这个时候已经迟了,木马已经发作,已经修改了系统时间到2000年,已经修改了浏览器主页,已经修改了注册表,禁用任务管理器,禁止文件夹选项“查看”选项卡中的“显示所有文件和文件夹”,已经在每个分区(包括U盘)的根目录下生成了两个隐藏文件sos.exe和另一个auto开头的文件(具体名称没记下来,貌似叫AutoRun.inf?),还在C:\WINDOWS\system32、C:\WINDOWS等文件夹下生成一堆相关病毒文件,甚至还把刚备份的系统还原的备份文件给废掉。
如果当时插了U盘什么的更糟,U盘感染了那是肯定的了;最令人防不胜防的是,当主机上的操作系统清理完毕后,插上U盘,准备清除U盘上的木马时,木马又会瞬间发作,把清理完毕的主机操作系统又全感染一遍。
而且,这个木马通过网页快照也能感染。本来昨晚我已经把包括U盘在内的木马给清理掉了,上网查一个碟报,没留意百度的网页快照就是来自那个网站的,一转眼包括U盘在内又全中招,而且貌似还是变种,在桌面还生成木马文件(原来那个版本没改动桌面)。
这个木马貌似是这两三天才冒出来的,在网上没搜索到什么系统介绍的清理方法,更没有见到有什么专杀工具。
下面说说我的清理过程。
首先,我会赶紧断网(拔掉网线),关机,重启,进入另一个备用系统——我一般装机都会装两个XP系统,一个作主系统用,一个作备用系统用,一旦其中一个系统中招,可以随时进入另一个系统进行杀毒操作。这是因为,在中毒之后,不少的病毒、木马文件都在运行中,根本删除不掉,或者删除后马上又恢复,即使是在安全模式下也一样;而用另一个系统去操作,则一般不会出现这种情况。
但是这个TxoMoU.Exe却比较凶悍,中招时就在每个分区的根目录下生成相关文件,进到另一个系统也很可能会随即被感染上——我的就是这样。不过,由于备用系统不是其最初发作的系统,故没发作得没那么猖狂。
进备用系统后,首先看看桌面右下角时间的年份是不是正常。如果年份变成2000年的话,那么备用系统也中招了。
第一步,把年份改回来。
第二步,打开“我的电脑”的“文件夹选项”的“查看”选项卡,把“显示系统文件夹的内容”前打上√,把“隐藏受保护的操作系统文件(推荐)”前的√去掉,点上“显示所有文件和文件夹”,“隐藏已知文件类型的扩展名”前的√去掉,然后“应用”,“确定”。再进一遍“查看”选项卡,看看“显示所有文件和文件夹”选上了没有。如果选上了那还好,如果那个点还是在“不显示隐藏的文件和文件夹”上面的话,那么就需要修改注册表了。
第三步,打开注册表(开始—→运行—→regedit),依次展开至:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,观察右边的窗口中的CheckedValue键值项,看其小图案是不是紫褐色的“ab”。如果是的话,那就需要作如下操作:
按右键,选“重命名”,把这个键值名复制下来后,把这个键值名字改掉,如后面加个1;然后在空白处点右键,然后“新建”—→“DWORD值”,然后把这个新建的DWORD值重命名为“CheckedValue”,再把其值改为1,把刚才那个“CheckedValue1”删掉。
现在再重新打开“文件夹选项”的“查看”选项卡,就可以把“显示所有文件和文件夹”选上了。
第四步,打开我的电脑,进入硬盘分区,右键选择“排列图标”中的“修改时间”,即选按“修改时间”的顺序排列文件,并在“文件夹选项”中的“查看”选择“应用到所有文件夹”。
第五步,打开每个分区的根目录,如C:/、D:/、E:/等,找到隐藏文件sos.exe和另一个貌似以auto开头的隐藏文件,分别删除。删除时,最好能先用unlocker解除锁定,因为我发现如果不先解锁的话,有可能貌似被删除了但却删除不干净——unlocker是一个不错的常备小工具,可以把一些正在运行中的文件给解锁。
第六步,打开主系统和备用系统的WINDOWS\system32文件夹,仔细察看文件修改的时间,把中毒那个时候生成可疑文件辨别清楚后,给咔嚓掉。其中一个就是那个TxoMoU.Exe,如果文件是按时间顺序排列的话,那几个病毒文件就在它的前后。
第七步,在同样的WINDOWS\system32文件夹,再寻找2000年同一天同一个时间生成其他几个可疑文件,仔细辨别并确认后,一并清除。如中毒时间是2007年11月22日17时47分的话,那么就寻找2000年11月22日17时47分左右生成的文件。
太多了还有:http://hi.baidu.com/%D7%D4%BF%BC%D1%A7%D7%D3/blog/item/442869ef494b6332acafd5a8.html
热心网友
时间:2022-03-17 01:46
热心网友
时间:2022-03-17 03:21
原来的文件都在,只不过都被病毒隐藏掉了。
而且此病毒的图标就是文件夹的图标。
热心网友
时间:2022-03-17 05:12
热心网友
时间:2022-03-17 07:20
热心网友
时间:2022-03-17 09:45
